Condividi tramite

Esercitazione: Configurare l'accesso ibrido sicuro con Microsoft Entra ID e Silverfort

  • Articolo

Silverfort usa la tecnologia senza agente né proxy per connettere gli asset in locale e nel cloud a Microsoft Entra ID. Questa soluzione consente alle organizzazioni di applicare la protezione delle identità, la visibilità e l'esperienza utente tra gli ambienti in Microsoft Entra ID. Consente inoltre la valutazione e il monitoraggio universali basati su rischi delle attività di autenticazione per ambienti locali e cloud e aiuta a prevenire le minacce.

In questa esercitazione si apprenderà come integrare l'implementazione locale di Silverfort con Microsoft Entra ID.

Altre informazioni:

Silverfort connette gli asset con Microsoft Entra ID. Gli asset collegati tramite bridge vengono visualizzati come normali applicazioni in Microsoft Entra ID e possono essere protetti con accesso condizionale, Single Sign-On (SSO), autenticazione a più fattori, controllo e altro ancora. Gli asset connessi tramite Silverfort includono:

  • Applicazioni legacy e proprietarie
  • Desktop remoto e Secure Shell (SSH)
  • Strumenti da riga di comando e altre soluzioni di accesso amministratore
  • Condivisioni file e database
  • Infrastruttura e sistemi industriali

Silverfort integra asset aziendali e piattaforme IAM (Identity and Access Management) di terze parti, tra cui Active Directory Federation Services (AD FS) e Remote Authentication Dial-In User Service (RADIUS) in Microsoft Entra ID. Lo scenario include ambienti ibridi e multi-cloud.

Usare questa esercitazione per configurare e testare il bridge usato da Microsoft Entra ID nel tenant di Microsoft Entra per comunicare con l'implementazione di Silverfort. Dopo la configurazione, è possibile creare criteri di autenticazione Silverfort che consentono di collegare tramite bridge le richieste di autenticazione provenienti dalle origini di identità a Microsoft Entra ID per l'accesso SSO. Una volta collegata tramite bridge, un'applicazione può essere gestita in Microsoft Entra ID.

Architettura di autenticazione di Silverfort con Microsoft Entra

Il diagramma seguente illustra l'architettura di autenticazione orchestrata da Silverfort in un ambiente ibrido.

Diagramma dell'architettura

Flusso utente

  1. Gli utenti inviano la richiesta di autenticazione al provider di identità originale (IdP) tramite protocolli come Kerberos, SAML, NTLM, OIDC e LDAP.
  2. Le risposte vengono instradate così come sono a Silverfort per la convalida del relativo stato di autenticazione.
  3. Silverfort offre visibilità, individuazione e un bridge di collegamento a Microsoft Entra ID.
  4. Se l'applicazione è collegata tramite bridge, la decisione di autenticazione passa a Microsoft Entra ID. Microsoft Entra ID valuta i criteri di accesso condizionale e convalida l'autenticazione.
  5. La risposta dello stato di autenticazione passa così com'è da Silverfort al provider di identità.
  6. Il provider di identità concede o nega l'accesso alla risorsa.
  7. Gli utenti ricevono una notifica in cui è indicato se la richiesta di accesso è stata concessa o negata.

Prerequisiti

Per eseguire questa esercitazione, è necessario distribuire Silverfort nel tenant o nell'infrastruttura. Per distribuire Silverfort nel tenant o nell'infrastruttura, passare a silverfort.com Silverfort per installare l'app desktop Silverfort nelle workstation.

Configurare Silverfort Microsoft Entra Adapter nel tenant di Microsoft Entra:

  • Un account Azure con una sottoscrizione attiva
  • Uno dei ruoli seguenti nell'account Azure:
    • Amministratore applicazione cloud
    • Amministratore di applicazioni
    • Proprietario dell'entità servizio
  • L'applicazione Silverfort Microsoft Entra Adapter nella raccolta di applicazioni Microsoft Entra è preconfigurata per il supporto dell'accesso SSO. Dalla raccolta aggiungere Silverfort Microsoft Entra Adapter al tenant come applicazione Enterprise.

Configurare Silverfort e creare i criteri

  1. Da un browser accedere alla console di amministrazione di Silverfort.

  2. Nel menu principale passare a Settings (Impostazioni) e quindi scorrere fino a Microsoft Entra ID Bridge Connector nella sezione General (Generale).

  3. Confermare l'ID del tenant e quindi selezionare Authorize (Autorizza).

  4. Seleziona Salva modifiche.

  5. Nella finestra di dialogo Permissions requested (Autorizzazioni richieste) selezionare Accept (Accetta).

  6. Viene visualizzato un messaggio di completamento della registrazione in una nuova scheda. Chiudere la scheda.

    immagine che mostra la registrazione completata

  7. Nella pagina Settings (Impostazioni) selezionare Save Changes (Salva modifiche).

  8. Accedere all'account Microsoft Entra. Nel riquadro sinistro selezionare Applicazioni aziendali. L'applicazione Silverfort Microsoft Entra Adapter risulta registrata.

  9. Nella console di amministrazione di Silverfort passare alla pagina Policies (Criteri) e selezionare Create Policy (Crea criteri). Viene visualizzata la finestra di dialogo New Policy (Nuovi criteri).

  10. Immettere un nome per i criteri in Policy Name (Nome criteri) e specificare il nome dell'applicazione da creare in Azure. Se ad esempio si aggiungono più server o applicazioni per tali criteri, specificare un nome in base alle risorse coperte dai criteri. Nell'esempio vengono creati criteri per il server SL-APP1.

immagine che mostra la definizione di criteri

  1. Specificare i valori di Auth Type (Tipo di autenticazione) e Protocol (Protocollo).

  2. Nel campo Users and Groups (Utenti e gruppi) selezionare l'icona di modifica per configurare gli utenti interessati dai criteri. L'autenticazione di questi utenti stabilisce un bridge con Microsoft Entra ID.

immagine che mostra utenti e gruppi

  1. Cercare e selezionare utenti, gruppi o unità organizzative (OU).

immagine che mostra la ricerca di utenti

  1. Gli utenti selezionati vengono visualizzati nella casella SELECTED (SELEZIONATI).

immagine che mostra l'utente selezionato

  1. In Source (Origine) selezionare l'origine per cui vengono applicati i criteri. In questo esempio è selezionata l'opzione All Devices (Tutti i dispositivi).

    immagine che mostra l'origine

  2. Impostare il campo Destination (Destinazione) su SL-App1. Facoltativo: è possibile selezionare l'icona di modifica per modificare o aggiungere altre risorse o gruppi di risorse.

    immagine che mostra la destinazione

  3. Come azione selezionare Entra ID BRIDGE.

  4. Seleziona Salva. Viene chiesto di attivare i criteri.

  5. Nella sezione Entra ID Bridge i criteri vengono visualizzati nella pagina Policies (Criteri).

  6. Tornare all'account Microsoft Entra e passare ad Applicazioni aziendali. Viene visualizzata la nuova applicazione Silverfort. È possibile includere questa applicazione nei criteri di accesso condizionale.

Altre informazioni: Esercitazione: Proteggere gli eventi di accesso utente con l'autenticazione a più fattori di Microsoft Entra.

Passaggi successivi