Condividi tramite


Integrazione di Microsoft Entra Single Sign-On (SSO) con BeyondTrust Remote Support

In questo articolo si apprenderà come integrare BeyondTrust Remote Support con Microsoft Entra ID. Integrando BeyondTrust Remote Support con Microsoft Entra ID, è possibile:

  • Controllare in Microsoft Entra ID chi può accedere a BeyondTrust Remote Support.
  • Consenti ai tuoi utenti di accedere automaticamente a BeyondTrust Remote Support con i loro account Microsoft Entra.
  • Gestire gli account in un'unica posizione centrale.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

  • Sottoscrizione abilitata al Single Sign-On (SSO) di BeyondTrust Remote Support.

Descrizione dello scenario

In questo articolo viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

  • BeyondTrust Remote Support supporta l'accesso SSO avviato da SP
  • BeyondTrust Remote Support supporta provisioning utenti JIT

Per configurare l'integrazione di BeyondTrust Remote Support in Microsoft Entra ID, è necessario aggiungere BeyondTrust Remote Support dalla raccolta all'elenco di app SaaS gestite.

  1. Accedi al Centro di amministrazione di Microsoft Entra come almeno un Amministratore delle applicazioni cloud .
  2. Sfoglia a Identity>Applications>Enterprise applications>New application.
  3. Nella sezione Aggiungere dalla raccolta, inserisci BeyondTrust Remote Support nella casella di ricerca.
  4. Selezionare BeyondTrust Remote Support nel pannello dei risultati e quindi aggiungere l'app. Attendi qualche secondo mentre l'app viene aggiunta al tenant.

In alternativa, è possibile utilizzare anche Assistente di configurazione dell'app aziendale. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso Single Sign-On di Microsoft Entra per BeyondTrust Remote Support

Configurare e testare l'accesso SSO di Microsoft Entra con BeyondTrust Remote Support usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in BeyondTrust Remote Support.

Per configurare e testare l'accesso SSO di Microsoft Entra con BeyondTrust Remote Support, seguire questa procedura:

  1. Configurare il Single Sign-On di Microsoft Entra per permettere ai tuoi utenti di utilizzare questa funzione.
    • Creare un utente di test di Microsoft Entra : per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
    • Assegnare l'utente di test di Microsoft Entra - per consentire a B.Simon di utilizzare il Single Sign-On di Microsoft Entra.
  2. Configurare BeyondTrust Remote Support SSO: per configurare le impostazioni di Single Sign-On sul lato applicazione.
  3. Testare SSO: per verificare se la configurazione funziona.

Configurare il Single Sign-On (SSO) di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Cloud Application Administrator .

  2. Vai a Identità>Applicazioni>Applicazioni aziendali>Supporto remoto BeyondTrust>Accesso singolo.

  3. Nella pagina Selezionare un metodo Single Sign-On selezionare SAML.

  4. Nella pagina Configura accesso Single Sign-On con SAML fare clic sull'icona di modifica/penna per Configurazione SAML di base per modificare le impostazioni.

    Modificare la configurazione SAML di base

  5. Nella sezione configurazione SAML di base immettere i valori per i campi seguenti:

    un. Nella casella Identificatore digitare un URL usando il modello seguente: https://<HOSTNAME>.bomgar.com

    b. Nella casella di testo URL di risposta digitare un URL nel formato seguente: https://<HOSTNAME>.bomgar.com/saml/sso

    c. Nella casella di testo URL di accesso digitare un URL usando il modello seguente: https://<HOSTNAME>.bomgar.com/saml

    Nota

    Questi valori non sono reali. Aggiornare questi valori con l'identificatore effettivo, l'URL di risposta e l'URL di Sign-On. Questi valori verranno illustrati più avanti nell'articolo.

  6. L'applicazione BeyondTrust Remote Support prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione degli attributi del token SAML. Lo screenshot seguente mostra l'elenco degli attributi predefiniti.

    'immagine

  7. Oltre a quanto sopra, l'applicazione BeyondTrust Remote Support prevede il passaggio di altri attributi nella risposta SAML, come illustrato di seguito. Questi attributi sono anche pre-popolati, ma puoi esaminarli in base alle tue esigenze.

    Nome Attributo di origine
    Nome utente user.userprincipalname
    Nome utente.nome
    Cognome utente.cognome
    E-mail email.utente
    Gruppi gruppi.utente

    Nota

    Quando si assegnano gruppi di Microsoft Entra per l'applicazione BeyondTrust Remote Support, l'opzione "Gruppi restituiti nell'attestazione" dovrà essere modificata da None a SecurityGroup. I gruppi verranno importati nell'applicazione come ID oggetto. L'ID oggetto del gruppo Microsoft Entra è reperibile controllando le proprietà nell'interfaccia MICROSOFT Entra ID. Sarà necessario fare riferimento ai gruppi di Microsoft Entra e assegnare i gruppi di Microsoft Entra ai criteri di gruppo corretti.

  8. Quando si imposta l'identificatore utente univoco, questo valore deve essere impostato su NameID-Format: persistente. È necessario che sia un identificatore permanente per identificare e associare correttamente l'utente ai criteri di gruppo corretti per le autorizzazioni. Fare clic sull'icona di modifica per aprire la finestra di dialogo Attributi utente & Dichiarazioni e modificare il valore dell'Identificatore utente univoco.

  9. Nella sezione Gestisci attestazioni, fare clic su Scegli il formato dell'identificatore del nome e impostare il valore su Persistente, quindi fare clic su Salva.

    attributi utente e dichiarazioni

  10. Nella pagina Configurare l'accesso Single Sign-On con SAML, nella sezione Certificato di Firma SAML, trova i metadati XML della federazione e seleziona Download per scaricare il certificato e salvarlo sul tuo computer.

    Collegamento di download del certificato

  11. Nella sezione Configura BeyondTrust Remote Support copiare gli URL appropriati in base alle esigenze.

    Copiare gli URL di configurazione

Creare un utente di test di Microsoft Entra

In questa sezione verrà creato un utente di test di nome B.Simon.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore utente .
  2. Passare a Identity>Utenti>Tutti gli utenti.
  3. Selezionare Nuovo utente>Crea nuovo utente, nella parte superiore della schermata.
  4. Nelle proprietà User seguire questa procedura:
    1. Nel campo Nome visualizzato immettere B.Simon.
    2. Nel campo Nome principale utente immettere il username@companydomain.extension. Ad esempio, B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi annotare il valore visualizzato nella casella Password.
    4. Selezionare Rivedi e crea.
  5. Selezionare Crea.

Assegna l'utente di test di Microsoft Entra

In questa sezione, abiliterai B.Simon a utilizzare il Single Sign-On concedendo l'accesso a BeyondTrust Remote Support.

  1. Accedi al centro di amministrazione di Microsoft Entra come almeno un Amministratore delle Applicazioni Cloud .
  2. Accedere a Identity>Applications>Enterprise applications>BeyondTrust Remote Support.
  3. Nella pagina di panoramica dell'app selezionare Utenti e gruppi.
  4. Selezionare Aggiungi utente/gruppo, quindi selezionare Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
    1. Nella finestra di dialogo utenti e gruppi selezionare B.Simon dall'elenco Utenti, quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
    2. Se si prevede che un ruolo venga assegnato agli utenti, è possibile selezionarlo dall'elenco a discesa Selezionare un ruolo. Se non è stato configurato alcun ruolo per questa app, viene visualizzato il ruolo "Accesso predefinito" selezionato.
    3. Nella finestra di dialogo Aggiungi assegnazione, fare clic sul pulsante Assegna.

Configurare SSO di BeyondTrust Remote Support

  1. In un'altra finestra del Web browser accedere a BeyondTrust Remote Support come amministratore.

  2. Passare a utenti & sicurezza>provider di sicurezza.

  3. Fare clic sull'icona Modifica nei provider SAML.

    provider SAML icona di modifica

  4. Espandi la sezione Impostazioni del Provider di Servizi.

  5. Fare clic su Scarica metadati del provider di servizi oppure copiare il ID entità e i valori di URL ACS e usare questi valori nella sezione Configurazione SAML di base.

    scaricare i metadati del provider di servizi

  6. Nella sezione Impostazioni provider di identità, fare clic su Carica metadati provider di identità e individuare il file XML dei metadati che hai scaricato.

  7. L'ID entità , l'URL del servizio singolo Sign-On e il certificato del server verranno caricati automaticamente, e sarà necessario modificare l'associazione al protocollo SSO in HTTP POST .

    Screenshot mostra la sezione Identity Provider Settings in cui si eseguono queste azioni.

  8. Fare clic su Salva.

Creare l'utente di test di BeyondTrust Remote Support

In questa sezione viene creato un utente di nome Britta Simon in BeyondTrust Remote Support. BeyondTrust Remote Support supporta il provisioning degli utenti Just-in-Time (JIT), che è abilitato per impostazione predefinita. In questa sezione non è presente alcun elemento di azione. Se non esiste già un utente in BeyondTrust Remote Support, ne viene creato uno nuovo dopo l'autenticazione.

Seguire la procedura seguente, obbligatoria per la configurazione di BeyondTrust Remote Support.

Le impostazioni di provisioning utente verranno configurate qui. I valori usati in questa sezione verranno indicati nella sezione Attributi utente & attestazioni. Questa impostazione è stata configurata come valori predefiniti già importati al momento della creazione, ma il valore può essere personalizzato, se necessario.

Screenshot mostra le impostazioni di provisioning utente in cui è possibile configurare i valori utente.

Nota

I gruppi e l'attributo di posta elettronica non sono necessari per questa implementazione. Se si usano i gruppi di Microsoft Entra e li si assegna a BeyondTrust Remote Support Group Policies per le autorizzazioni, l'ID oggetto del gruppo dovrà essere fatto riferimento tramite le relative proprietà nel portale di Azure e inserito nella sezione "Gruppi disponibili". Al termine dell'operazione, l'ID oggetto/gruppo di Active Directory sarà ora disponibile per l'assegnazione a un criterio di gruppo per le autorizzazioni.

Screenshot mostra la sezione I T con tipo di appartenenza, origine, tipo e oggetto I D.

La schermata mostra la pagina Impostazioni di Base per un criterio di gruppo.

Nota

In alternativa, è possibile impostare criteri di gruppo predefiniti nel provider di sicurezza SAML2. Definendo questa opzione, a tutti gli utenti che eseguono l'autenticazione tramite SAML verranno assegnate le autorizzazioni specificate nei criteri di gruppo. Il criterio Membri generali è incluso in BeyondTrust Remote Support/Privileged Remote Access con autorizzazioni limitate, che possono essere usate per testare l'autenticazione e assegnare gli utenti ai criteri corretti. Gli utenti non popolano l'elenco utenti SAML2 tramite /login > Users & Security fino al primo tentativo di autenticazione riuscito. Altre informazioni sui criteri di gruppo sono disponibili nel collegamento seguente: https://www.beyondtrust.com/docs/remote-support/getting-started/admin/group-policies.htm

Testare SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

  • Fare clic su Testare questa applicazione, verrà eseguito il reindirizzamento all'URL di accesso di BeyondTrust Remote Support, in cui è possibile avviare il flusso di accesso.

  • Passare direttamente all'URL di accesso di BeyondTrust Remote Support e avviare il flusso di accesso da questa posizione.

  • È possibile usare Microsoft My Apps. Quando si fa clic sul riquadro BeyondTrust Remote Support nelle mie app, si verrà reindirizzati all'URL di accesso di BeyondTrust Remote Support. Per altre informazioni sulle app personali, vedere Introduzione alle app personali.

Dopo aver configurato BeyondTrust Remote Support, è possibile applicare i controlli sessione che consentono di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. I controlli di sessione derivano dall'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.