Sdílet prostřednictvím

Integrace jednotného přihlašování microsoftu Entra s nástrojem Ochrany adresářových služeb

  • Článek

V tomto kurzu se dozvíte, jak integrovat nástroj Directory Services Protector s Microsoft Entra ID. Při integraci ochrany adresářových služeb s Microsoft Entra ID můžete:

  • Řízení v Microsoft Entra ID, který má přístup k modulu Ochrany adresářových služeb.
  • Povolte uživatelům, aby se pomocí svých účtů Microsoft Entra automaticky přihlásili k ochraně adresářových služeb.
  • Spravujte účty v jednom centrálním umístění.

Požadavky

Pokud chcete integrovat ID Microsoft Entra s nástrojem Ochrany adresářových služeb, potřebujete:

  • Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
  • Předplatné s povoleným jednotným přihlašováním k adresářovým službám (SSO).

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

  • Ochrana adresářových služeb podporuje jednotné přihlašování iniciované pomocí protokolu SP i IDP .
  • Ochrana adresářových služeb podporuje zřizování uživatelů za běhu .

Pokud chcete nakonfigurovat integraci ochrany adresářových služeb do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat ochranu adresářových služeb z galerie.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
  3. V části Přidat z galerie zadejte do vyhledávacího pole modul Ochrany adresářových služeb.
  4. Na panelu výsledků vyberte Modul ochrany adresářových služeb a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro ochranu adresářových služeb

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s nástrojem Ochrany adresářových služeb pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v modulu Ochrany adresářových služeb.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s nástrojem Ochrany adresářových služeb, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
    1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
    2. Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
  2. Konfigurace jednotného přihlašování k adresářovým službám – konfigurace nastavení jednotného přihlašování na straně aplikace
    1. Vytvořte testovacího uživatele ochrany adresářových služeb – aby měl protějšk B.Simon v modulu Ochrany adresářových služeb, který je propojený s reprezentací uživatele Microsoft Entra.
  3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování Microsoft Entra v Centru pro správu Microsoft Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte na Jednotné přihlašování pro aplikace Identity>Applications Enterprise Applications>>Directory Services Protector.>

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Snímek obrazovky ukazuje, jak upravit základní konfiguraci SAML.

  5. Pokud máte soubor metadat poskytovatele služeb, proveďte v části Základní konfigurace SAML následující kroky:

    a. Klikněte na Nahrát soubor metadat.

    Snímek obrazovky ukazuje, jak nahrát soubor metadat.

    b. Kliknutím na logo složky vyberte soubor metadat a klikněte na Nahrát.

    Snímek obrazovky ukazuje, jak zvolit soubor metadat.

    c. Po úspěšném nahrání souboru metadat se hodnoty identifikátoru a adresy URL odpovědi automaticky vyplní v části Základní konfigurace SAML.

    Snímek obrazovky znázorňující obrázek souboru metadat

    Poznámka:

    Pokud se hodnoty identifikátoru a adresy URL odpovědi automaticky nenaplní, vyplňte hodnoty ručně podle vašeho požadavku.

  6. Pokud chcete nakonfigurovat aplikaci v režimu inicializace sp, proveďte následující krok:

    Do textového pole Přihlásit se na adresu URL zadejte adresu URL pomocí následujícího vzoru: https://<HOSTNAME>.<DOMAIN>.<EXTENSION>/DSP/Login/SsoLogin

    Poznámka:

    Hodnota Přihlašovací adresa URL není skutečná. Aktualizujte tuto hodnotu skutečným přihlašovacím adresou URL. Pokud chcete získat tuto hodnotu, obraťte se na tým podpory ochrany adresářových služeb. Můžete se také podívat na vzory uvedené v části Základní konfigurace SAML v Centru pro správu Microsoft Entra.

  7. Týmová aplikace pro ochranu adresářových služeb očekává kontrolní výrazy SAML v určitém formátu, což vyžaduje přidání vlastních mapování atributů na konfiguraci atributů tokenu SAML. Následující snímek obrazovky ukazuje seznam výchozích atributů.

    Snímek obrazovky znázorňující obrázek konfigurace atributů

  8. Kromě výše uvedeného očekává týmová aplikace týmu ochrany adresářových služeb několik dalších atributů, které se předávají zpět v odpovědi SAML, které jsou uvedené níže. Tyto atributy jsou také předem vyplněné, ale můžete je zkontrolovat podle svých požadavků.

    Název Zdrojový atribut
    role user.assignedroles

    Poznámka:

    Klikněte sem , abyste věděli, jak nakonfigurovat roli v Microsoft Entra ID.

  9. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte XML federačních metadat a vyberte Stáhnout a stáhněte certifikát a uložte ho do počítače.

    Snímek obrazovky s odkazem ke stažení certifikátu

  10. V části Nastavení ochrany adresářových služeb zkopírujte odpovídající adresy URL podle vašeho požadavku.

    Snímek obrazovky ukazuje, jak zkopírovat odpovídající adresu URL konfigurace.

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele v Centru pro správu Microsoft Entra s názvem B.Simon.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
  2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
  3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
  4. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Zobrazovaný název zadejte B.Simon.
    2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
    4. Vyberte Zkontrolovat a vytvořit.
  5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování Microsoft Entra tím, že udělíte přístup k ochraně adresářových služeb.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
  2. Přejděte na Ochranu adresářových služeb podnikových aplikací aplikací>>identit.>
  3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
    1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
    2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
    3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace jednotného přihlašování pro ochranu adresářových služeb

  1. Přihlaste se k webu společnosti Ochrany adresářových služeb jako správce.

  2. Přejděte na Nastavení (ikona ozubeného kola)> Ověřování SAML datových připojení>a přepněte na přepínač Povoleno.

  3. V kroku 1 – Zprostředkovatel identity vyberte z rozevírací nabídky ID Microsoft Entra a klikněte na ULOŽIT.

  4. V kroku 2 – Data požadovaná zprostředkovatelem identity SAML vyberte tlačítko POTVRDIT a STÁHNĚTE SOUBOR METADATA XML pro nahrání souboru metadat v části Základní konfigurace SAML v Centru pro správu Microsoft Entra a klikněte na ULOŽIT.

    Snímek obrazovky znázorňující nastavení zprostředkovatele identity

  5. V kroku 3 – Atributy a deklarace identity uživatelů teď tyto informace nepotřebujeme, abychom mohli přeskočit ke kroku 4.

  6. V kroku 4 – Data přijatá od zprostředkovatele identity SAML podporuje DSP import z adresy URL metadat a import XML metadat poskytovaných Microsoft Entra ID.

    1. Vyberte přepínač Adresa URL federačních metadat aplikace a vložte adresu URL metadat do pole z ID Microsoft Entra a pak vyberte IMPORTOVAT.

    2. Vyberte přepínač pro použití xml importu federačních metadat a kliknutím na IMPORTOVAT XML nahrajte soubor XML federačních metadat z Centra pro správu Microsoft Entra.

    3. Klikněte na ULOŽIT.

  7. V horní části okna ověřování SAML v programu DSP by se teď měl zobrazovat stav nakonfigurovaný.

Vytvoření testovacího uživatele ochrany adresářových služeb

V této části se vytvoří uživatel Britta Simon v modulu Ochrany adresářových služeb. Ochrana adresářových služeb podporuje zřizování uživatelů za běhu, které je ve výchozím nastavení povolené. V této části není žádná položka akce. Pokud uživatel ještě v nástroji Ochrany adresářových služeb neexistuje, vytvoří se po ověření nový.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

Inicializovaná aktualizace:

  • Klikněte na Otestovat tuto aplikaci v Centru pro správu Microsoft Entra. Tím se přesměruje na přihlašovací adresu URL pro ochranu adresářových služeb, kde můžete zahájit tok přihlášení.

  • Přejděte přímo na přihlašovací adresu URL pro ochranu adresářových služeb a spusťte tok přihlášení odsud.

Iniciovaný protokol IDP:

  • Klikněte na Otestovat tuto aplikaci v Centru pro správu Microsoft Entra a měli byste být automaticky přihlášení k modulu Ochrany adresářových služeb, pro který jste nastavili jednotné přihlašování.

K otestování aplikace v libovolném režimu můžete také použít Microsoft Moje aplikace. Když kliknete na dlaždici Ochrana adresářových služeb v Moje aplikace, pokud je nakonfigurovaný v režimu SP, budete přesměrováni na přihlašovací stránku aplikace pro inicializace toku přihlášení a pokud je nakonfigurovaný v režimu IDP, měli byste být automaticky přihlášení k modulu Ochrany adresářových služeb, pro který jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Jakmile nakonfigurujete ochranu adresářových služeb, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.