Integration des einmaligen Anmeldens (Single Sign-On, SSO) von Microsoft Entra mit BeyondTrust Remote Support
In diesem Tutorial erfahren Sie, wie Sie BeyondTrust Remote Support in Microsoft Entra ID integrieren. Die Integration von BeyondTrust Remote Support in Microsoft Entra ID ermöglicht Folgendes:
- Steuern Sie in Microsoft Entra ID, wer Zugriff auf BeyondTrust Remote Support hat.
- Ermöglichen Sie es Ihren Benutzern, sich mit ihren Microsoft Entra-Konten automatisch bei BeyondTrust Remote Support anzumelden.
- Verwalten Sie Ihre Konten an einem zentralen Ort.
Voraussetzungen
Für die ersten Schritte benötigen Sie Folgendes:
- Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
- Ein BeyondTrust Remote Support-Abonnement, für das einmaliges Anmelden aktiviert ist
Beschreibung des Szenarios
In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.
- BeyondTrust Remote Support unterstützt SP-initiiertes einmaliges Anmelden.
- BeyondTrust Remote Support unterstützt die Just-in-Time-Benutzerbereitstellung.
Hinzufügen von BeyondTrust Remote Support aus dem Katalog
Zum Konfigurieren der Integration von BeyondTrust Remote Support in Microsoft Entra ID müssen Sie BeyondTrust Remote Support über den Katalog der Liste mit den verwalteten SaaS-Apps hinzufügen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
- Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff BeyondTrust Remote Support in das Suchfeld ein.
- Wählen Sie im Ergebnisbereich BeyondTrust Remote Support aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.
Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra für BeyondTrust Remote Support
Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit BeyondTrust Remote Support mithilfe eines Testbenutzers mit dem Namen B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in BeyondTrust Remote Support eingerichtet werden.
Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit BeyondTrust Remote Support die folgenden Schritte aus:
- Konfigurieren des einmaligen Anmeldens von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
- Erstellen Sie einen Microsoft Entra-Testbenutzer, um Microsoft Entra-SSO mit dem Testbenutzer B. Simon zu testen.
- Zuweisen der Microsoft Entra-Testbenutzerin, um B.Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
- Konfigurieren des einmaligen Anmeldens für BeyondTrust Remote Support , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
- Erstellen eines BeyondTrust Remote Support-Testbenutzers, um eine Entsprechung von B. Simon in BeyondTrust Remote Support zu erhalten, die mit der Benutzerdarstellung in Microsoft Entra verknüpft ist.
- Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert
Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra
Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>BeyondTrust Remote Support>Einmaliges Anmelden.
Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.
Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Bearbeitungs- bzw. Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.
Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte für die folgenden Felder ein:
a. Geben Sie im Feld Bezeichner eine URL im folgenden Format ein:
https://<HOSTNAME>.bomgar.com
.b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein:
https://<HOSTNAME>.bomgar.com/saml/sso
c. Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein:
https://<HOSTNAME>.bomgar.com/saml
Hinweis
Hierbei handelt es sich um Beispielwerte. Sie müssen diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL aktualisieren. Diese Werte werden später in diesem Tutorial erklärt.
BeyondTrust Remote Support erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.
Darüber hinaus wird von BeyondTrust Remote Support erwartet, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen.
Name Quellattribut Username user.userprincipalname FirstName user.givenname LastName user.surname Email user.mail Gruppen user.groups Hinweis
Wenn Sie Microsoft Entra-Gruppen für die BeyondTrust Remote Support-Anwendung zuweisen, müssen Sie die Option „Im Anspruch zurückgegebene Gruppen“ von „None“ in „SecurityGroup“ ändern. Die Gruppen werden als Objekt-IDs in die Anwendung importiert. Die Objekt-ID der Microsoft Entra-Gruppe finden Sie, indem Sie die Eigenschaften in der Schnittstelle von Microsoft Entra ID überprüfen. Dies ist erforderlich, um auf Microsoft Entra-Gruppen zu verweisen und sie den richtigen Gruppenrichtlinien zuzuweisen.
Beim Festlegen der eindeutigen Benutzer-ID muss dieser Wert auf das folgende NameID-Format festgelegt werden: Beständig. Eine beständige ID ist erforderlich, damit der Benutzer richtig identifiziert und den richtigen Gruppenrichtlinien für die Berechtigungen zugeordnet werden kann. Klicken Sie auf das Bearbeitungssymbol, um das Dialogfeld Benutzerattribute und Ansprüche zu öffnen und den Wert der eindeutigen Benutzer-ID zu bearbeiten.
Klicken Sie im Bereich Anspruch verwalten auf Namensbezeichnerformat auswählen, legen Sie den Wert auf Beständig fest, und klicken Sie auf Speichern.
Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.
Kopieren Sie im Abschnitt BeyondTrust Remote Support einrichten die entsprechenden URLs gemäß Ihren Anforderungen.
Erstellen einer Microsoft Entra-Testbenutzerin
In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
- Browsen Sie zu Identität>Benutzer>Alle Benutzer.
- Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
- Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
- Geben Sie im Feld Anzeigename den Namen
B.Simon
ein. - Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel:
B.Simon@contoso.com
. - Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
- Klicken Sie auf Überprüfen + erstellen.
- Geben Sie im Feld Anzeigename den Namen
- Klicken Sie auf Erstellen.
Zuweisen der Microsoft Entra-Testbenutzerin
In diesem Abschnitt ermöglichen Sie B. Simon die Verwendung des einmaligen Anmeldens, indem Sie Zugriff auf BeyondTrust Remote Support gewähren.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudanwendungsadministrator an.
- Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>BeyondTrust Remote Support.
- Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
- Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
- Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
- Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
- Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.
Konfigurieren von SSO für BeyondTrust Remote Support
Melden Sie sich in einem anderen Webbrowserfenster bei BeyondTrust Remote Support als Administrator an.
Navigieren Sie zu Users & Security (Benutzer und Sicherheit) >Security Providers (Sicherheitsanbieter).
Klicken Sie unter SAML Providers (SAML-Anbieter) auf das Symbol Bearbeiten.
Erweitern Sie den Abschnitt mit den Dienstanbietereinstellungen.
Klicken Sie auf Download Service Provider Metadata, oder kopieren Sie die Werte Entity ID und ACS URL, und verwenden Sie sie im Abschnitt Grundlegende SAML-Konfiguration.
Klicken Sie im Abschnitt „Identity Provider Settings“ auf Upload Identity Provider Metadata, und suchen Sie die XML-Metadatendatei, die Sie heruntergeladen haben.
Entity ID (Entitäts-ID), Single Sign-On Service URL (Dienst-URL für einmaliges Anmelden)und Server Certificate (Serverzertifikat) werden automatisch hochgeladen, und SSO URL Protocol Binding (SSO-URL-Protokollbindung) muss in HTTP POST geändert werden.
Klicken Sie auf Speichern.
Erstellen eines Testbenutzers für BeyondTrust Remote Support
In diesem Abschnitt wird in BeyondTrust Remote Support ein Benutzer mit dem Namen Britta Simon erstellt. BeyondTrust Remote Support unterstützt die Just-In-Time-Benutzerbereitstellung (standardmäßig aktiviert). Für Sie steht in diesem Abschnitt kein Aktionselement zur Verfügung. Ist ein Benutzer noch nicht in BeyondTrust Remote Support vorhanden, wird nach der Authentifizierung ein neuer Benutzer erstellt.
Befolgen Sie das unten beschriebene Verfahren, das für die Konfiguration von BeyondTrust Remote Support erforderlich ist.
Hier werden die Einstellungen für die Benutzerbereitstellung konfiguriert. Auf die in diesem Abschnitt verwendeten Werte wird im Abschnitt Benutzerattribute und Ansprüche verwiesen. Wir haben diese als Standardwerte konfiguriert, die zum Zeitpunkt der Erstellung bereits importiert werden. Der Wert kann jedoch bei Bedarf angepasst werden.
Hinweis
Die Gruppen- und E-Mail-Attribute sind für diese Implementierung nicht erforderlich. Wenn Sie Microsoft Entra-Gruppen verwenden und diese den BeyondTrust Remote Support-Gruppenrichtlinien für Berechtigungen zuweisen, muss über die Eigenschaften im Azure-Portal auf die Objekt-ID der Gruppe verwiesen werden, und sie muss im Abschnitt „Verfügbare Gruppen“ abgelegt werden. Nachdem dieser Vorgang abgeschlossen ist, ist die Objekt-ID/AD-Gruppe für die Zuweisung zu einer Gruppenrichtlinie für Berechtigungen verfügbar.
Hinweis
Alternativ kann eine Standardgruppenrichtlinie für den SAML2-Sicherheitsanbieter festgelegt werden. Wenn Sie diese Option definieren, werden dadurch allen Benutzern, die sich über SAML authentifizieren, die in der Gruppenrichtlinie angegebenen Berechtigungen zugewiesen. Die Richtlinie „General Members“ (Allgemeine Mitglieder) ist in BeyondTrust Remote Support/Privileged Remote Access mit beschränkten Berechtigungen enthalten und kann verwendet werden, um die Authentifizierung zu testen und Benutzer den korrekten Richtlinien zuzuweisen. Benutzer werden über /login > Benutzer und Sicherheit erst dann in die SAML2-Benutzerliste eingetragen, wenn der erste erfolgreiche Authentifizierungsversuch erfolgt. Weitere Informationen zu Gruppenrichtlinien finden Sie unter den folgenden Links: https://www.beyondtrust.com/docs/remote-support/getting-started/admin/group-policies.htm
Testen des einmaligen Anmeldens
In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.
Klicken Sie auf Diese Anwendung testen. Dadurch werden Sie zur Anmelde-URL von BeyondTrust Remote Support weitergeleitet, wo Sie den Anmeldeflow initiieren können.
Rufen Sie direkt die BeyondTrust Remote Support-Anmelde-URL auf, und initiieren Sie den Anmeldeflow.
Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie in „Meine Apps“ auf die Kachel „BeyondTrust Remote Support“ klicken, werden Sie zur Anmelde-URL für BeyondTrust Remote Support weitergeleitet. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.
Nächste Schritte
Nach dem Konfigurieren von BeyondTrust Remote Support können Sie Sitzungssteuerungen erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützen. Sitzungssteuerungen basieren auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.