Freigeben über

Microsoft Entra Single Sign-On (SSO)-Integration mit BeyondTrust Remote Support

  • Artikel

In diesem Lernprogramm erfahren Sie, wie Sie BeyondTrust Remote Support mit Microsoft Entra ID integrieren. Wenn Sie BeyondTrust Remote Support mit Microsoft Entra ID integrieren, können Sie:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf den BeyondTrust Remote Support hat.
  • Ermöglichen Sie Es Ihren Benutzern, automatisch bei beyondTrust Remote Support mit ihren Microsoft Entra-Konten angemeldet zu sein.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

Um zu beginnen, benötigen Sie die folgenden Elemente:

  • Ein Microsoft Entra-Abonnement. Wenn Sie kein Abonnement haben, können Sie ein kostenloses Kontoerhalten.
  • BeyondTrust Remote Support Abonnement mit aktivierter Single Sign-On (SSO).

Szenariobeschreibung

In diesem Lernprogramm konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

  • BeyondTrust Remote Support unterstützt die durch SP initiierte SSO-Integration.
  • BeyondTrust Remote Support unterstützt Just In Time Benutzerbereitstellung

Um die Integration von BeyondTrust Remote Support in Microsoft Entra ID zu konfigurieren, müssen Sie beyondTrust Remote Support aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Cloud-Anwendungsadministratoran.
  2. Navigieren Sie zu Identity>Applications>Enterprise-Anwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Hinzufügen aus der GalerieBeyondTrust Remote Support in das Suchfeld ein.
  4. Wählen Sie BeyondTrust Remote Support aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App-Konfigurations-Assistentenverwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra SSO für BeyondTrust Remote Support

Konfigurieren und Testen von Microsoft Entra SSO mit BeyondTrust Remote Support mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, müssen Sie eine Verknüpfungsbeziehung zwischen einem Microsoft Entra-Benutzer und dem zugehörigen Benutzer in BeyondTrust Remote Support einrichten.

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO mit BeyondTrust Remote Support zu konfigurieren und zu testen:

  1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
  2. Configure BeyondTrust Remote Support SSO – so konfigurieren Sie die Einstellungen für einmaliges Anmelden auf Anwendungsseite.
  3. SSO- testen – um zu überprüfen, ob die Konfiguration funktioniert.

Konfigurieren von Microsoft Entra SSO

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.

  1. Melden Sie sich im Microsoft Entra-Admin-Center als zumindest Cloud-Anwendungsadministratoran.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>BeyondTrust Remote Support>Einmaliges Anmelden.

  3. Wählen Sie auf der Seite Einmalanmeldung die Option SAMLaus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden mit SAML auf das Bearbeiten-Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

    Grundlegende SAML-Konfiguration bearbeiten

  5. Geben Sie im Abschnitt Basic SAML Configuration die Werte für die folgenden Felder ein:

    ein. Geben Sie im Feld Bezeichner eine URL mit dem folgenden Muster ein: https://<HOSTNAME>.bomgar.com

    b. Geben Sie im Textfeld Antwort-URL eine URL mit dem folgenden Muster ein: https://<HOSTNAME>.bomgar.com/saml/sso

    c. Geben Sie im Textfeld Anmelde-URL eine URL mit dem folgenden Muster ein: https://<HOSTNAME>.bomgar.com/saml

    Anmerkung

    Diese Werte sind nicht real. Aktualisieren Sie diese Werte mit der realen Kennung, der Antwort-URL und der Sign-On-URL. Sie erhalten diese Werte später im Tutorial erklärt.

  6. BeyondTrust Remote Support-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format, was erfordert, dass Sie Ihrer SAML-Tokenattributekonfiguration benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

    Bild

  7. Zusätzlich zu oben erwartet die BeyondTrust Remote Support-Anwendung, dass einige weitere Attribute in SAML-Antwort zurückgegeben werden, die unten angezeigt werden. Diese Attribute sind auch bereits ausgefüllt, aber Sie können sie gemäß Ihren Anforderungen überprüfen.

    Name Source-Attribut
    Nutzername user.userprincipalname
    Vorname benutzer.vorname
    Nachname benutzer.nachname
    E-Mail Benutzer.E-Mail
    Gruppen Benutzergruppen

    Anmerkung

    Beim Zuweisen von Microsoft Entra-Gruppen für die BeyondTrust Remote Support-Anwendung muss die Option "In Anspruch zurückgegebene Gruppen" von "None" in "SecurityGroup" geändert werden. Die Gruppen werden als Objekt-IDs in die Anwendung importiert. Die Objekt-ID der Microsoft Entra-Gruppe finden Sie, indem Sie die Eigenschaften in der Microsoft Entra ID-Schnittstelle überprüfen. Dies ist erforderlich, um Microsoft Entra-Gruppen zuzuweisen und auf die richtigen Gruppenrichtlinien zu verweisen.

  8. Beim Festlegen des eindeutigen Benutzerbezeichners muss dieser Wert auf NameID-Format festgelegt werden: Persistent. Dies muss ein persistenter Bezeichner sein, um den Benutzer ordnungsgemäß zu identifizieren und den richtigen Gruppenrichtlinien für Berechtigungen zuzuordnen. Klicken Sie auf das Bearbeitungssymbol, um das Dialogfeld Benutzerattribute & Ansprüche zu öffnen, um den Wert "Eindeutiger Benutzerbezeichner" zu bearbeiten.

  9. Klicken Sie im Abschnitt Verwalten des Anspruchs- auf das Namensbezeichnerformat auswählen, und legen Sie den Wert auf persistente fest, und klicken Sie auf Speichern.

    Benutzerattribute und Ansprüche

  10. Suchen Sie auf der Seite Einmaliges Anmelden mit der SAML- im Bereich SAML-Signaturzertifikat nach Verbundmetadaten-XML und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    Link zum Herunterladen des Zertifikats

  11. Kopieren Sie im Abschnitt "BeyondTrust Remote Support einrichten" die entsprechenden URL(n) basierend auf Ihrer Anforderung.

    Kopieren von Konfigurations-URLs

Erstellen eines Microsoft Entra-Testbenutzers

In diesem Abschnitt erstellen Sie einen Testbenutzer namens "B.Simon".

  1. Melden Sie sich beim Microsoft Entra Admin-Center als mindestens Benutzeradministratoran.
  2. Navigieren Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuer Benutzer erstellenaus.
  4. Führen Sie in den eigenschaften User die folgenden Schritte aus:
    1. Geben Sie im Feld AnzeigenameB.Simonein.
    2. Geben Sie im Feld Benutzerprinzipalnamenusername@companydomain.extensionein. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie dann den Wert, der im Feld Kennwort angezeigt wird.
    4. Wählen Sie Überprüfen undErstellen.
  5. Wählen Sie Erstellenaus.

Zuweisen des Microsoft Entra-Testbenutzers

In diesem Abschnitt aktivieren Sie B.Simon, einmaliges Anmelden zu verwenden, indem Sie Zugriff auf beyondTrust Remote Support gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin-Zentrum als mindestens einem CloudAnwendungsadministratoran.
  2. Navigieren Sie zu Identity>Applications>Enterprise-Anwendungen>BeyondTrust Remote Support.
  3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppenaus.
  4. Wählen Sie Benutzer-/Gruppen-hinzufügen und dann Benutzer und Gruppen im Dialogfeld Zuweisung hinzufügen aus.
    1. Wählen Sie im Dialogfeld Benutzer und GruppenB.Simon aus der Liste "Benutzer" aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
    2. Wenn Sie erwarten, dass eine Rolle den Benutzern zugewiesen wird, können Sie diese aus dem Dropdown-Menü Rolle auswählen auswählen. Wenn für diese App keine Rolle eingerichtet wurde, wird die Rolle "Standardzugriff" ausgewählt.
    3. Klicken Sie im Dialogfeld Aufgabe hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren von BeyondTrust Remote Support SSO

  1. Melden Sie sich in einem anderen Webbrowserfenster als Administrator bei BeyondTrust Remote Support an.

  2. Navigieren Sie zu Benutzer & Sicherheitsanbieter>Sicherheitsanbieter.

  3. Klicken Sie auf das "Bearbeiten"-Symbol im SAML-Anbieter.

    SAML-Anbieter-Symbol

  4. Erweitern Sie den Abschnitt Dienstanbietereinstellungen.

  5. Klicken Sie auf Metadaten des Dienstanbieters herunterladen oder kopieren Sie die Werte für die Entitäts-ID und ACS-URL und verwenden Sie diese im Abschnitt Basis-SAML-Konfiguration.

    Metadaten des Dienstanbieters herunterladen

  6. Klicken Sie im Abschnitt "Einstellungen für Identitätsanbieter" auf Metadaten des Identitätsanbieters hochladen, und suchen Sie die METADATEN-XML-Datei, die Sie heruntergeladen haben.

  7. Die Entitäts-ID, die Einzeldienst-URL Sign-On und das Serverzertifikat werden automatisch hochgeladen, und die SSO-URL-Protokollbindung muss auf HTTP POSTgeändert werden.

    Screenshot zeigt den Abschnitt

  8. Klicken Sie auf Speichern.

Erstellen des Testbenutzers "BeyondTrust Remote Support"

In diesem Abschnitt wird ein Benutzer namens Britta Simon in BeyondTrust Remote Support erstellt. BeyondTrust Remote Support unterstützt die Just-in-Time-Benutzerbereitstellung, die standardmäßig aktiviert ist. Es gibt kein Aktionselement für Sie in diesem Abschnitt. Wenn ein Benutzer in BeyondTrust Remote Support noch nicht vorhanden ist, wird nach der Authentifizierung ein neuer erstellt.

Befolgen Sie das folgende Verfahren, das für die Konfiguration der BeyondTrust-Remoteunterstützung obligatorisch ist.

Wir konfigurieren hier die Einstellungen für die Benutzerbereitstellung. Die in diesem Abschnitt verwendeten Werte werden im Abschnitt Benutzerattribute & Claims referenziert. Wir haben dies so konfiguriert, dass es sich um die Standardwerte handelt, die zum Zeitpunkt der Erstellung bereits importiert wurden, der Wert kann jedoch bei Bedarf angepasst werden.

Screenshot zeigt die Einstellungen für die Benutzerbereitstellung, in denen Sie Benutzerwerte konfigurieren können.

Anmerkung

Die Gruppen und das E-Mail-Attribut sind für diese Implementierung nicht erforderlich. Wenn Sie Microsoft Entra-Gruppen verwenden und sie den BeyondTrust Remotesupport-Gruppenrichtlinien für Berechtigungen zuweisen, müssen Sie die Objekt-ID der Gruppe über ihre Eigenschaften im Azure-Portal referenzieren und im Abschnitt „Verfügbare Gruppen“ platzieren. Nachdem dies abgeschlossen wurde, ist die Objekt-ID/AD-Gruppe jetzt zur Nutzung in einer Gruppenrichtlinie für Berechtigungen verfügbar.

Screenshot zeigt den Abschnitt

Screenshot zeigt die Seite

Anmerkung

Alternativ kann eine Standardgruppenrichtlinie für den SAML2-Sicherheitsanbieter festgelegt werden. Durch Definieren dieser Option wird allen Benutzern, die sich über SAML authentifizieren, die in der Gruppenrichtlinie angegebenen Berechtigungen zugewiesen. Die Richtlinie "Allgemeine Mitglieder" ist in BeyondTrust Remote Support/Privileged Remote Access mit eingeschränkten Berechtigungen enthalten, die zum Testen der Authentifizierung und Zuweisen von Benutzern zu den richtigen Richtlinien verwendet werden können. Benutzer erscheinen erst nach dem ersten erfolgreichen Authentifizierungsversuch in der Liste "SAML2-Benutzer" unter /login > Benutzer & Sicherheit. Weitere Informationen zu Gruppenrichtlinien finden Sie unter folgendem Link: https://www.beyondtrust.com/docs/remote-support/getting-started/admin/group-policies.htm

Testen von SSO

In diesem Abschnitt testen Sie Ihre Microsoft Entra Single Sign-On-Konfiguration mit den folgenden Optionen.

  • Klicken Sie auf Testen Sie diese Anwendung, um zur BeyondTrust Remote Support Anmelde-URL weitergeleitet zu werden, wo Sie den Anmeldefluss initiieren können.

  • Wechseln Sie direkt zur Anmelde-URL von BeyondTrust Remote Support und initiieren Sie den Anmeldevorgang.

  • Sie können Microsoft My Apps verwenden. Wenn Sie in "Meine Apps" auf die Kachel "BeyondTrust Remote Support" klicken, werden Sie zur BeyondTrust Remote Support Anmelde-URL umgeleitet. Weitere Informationen zu "My Apps" finden Sie unter Einführung in die "My Apps".

Nächste Schritte

Nachdem Sie die BeyondTrust-Remoteunterstützung konfiguriert haben, können Sie Sitzungssteuerelemente erzwingen, die Exfiltration und Infiltration der vertraulichen Daten Ihrer Organisation in Echtzeit schützen. Sitzungssteuerungen bauen auf bedingtem Zugriff auf. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud Appserzwingen.