Condividi tramite


Integrazione di Microsoft Entra SSO con Kemp LoadMaster Microsoft Entra integration

In questo articolo, imparerai come integrare Kemp LoadMaster con Microsoft Entra ID. Integrando l’Integrazione di Microsoft Entra e Kemp LoadMaster con Microsoft Entra ID è possibile:

  • Controlla in Microsoft Entra ID chi ha accesso all'integrazione di Microsoft Entra con Kemp LoadMaster.
  • Abilitare l'accesso automatico degli utenti all'integrazione di Microsoft Entra con Kemp LoadMaster utilizzando i loro account di Microsoft Entra.
  • Gestire gli account in un'unica posizione centrale.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

  • Abbonamento abilitato per l'integrazione di Kemp LoadMaster con Microsoft Entra per l'accesso Single Sign-On (SSO).

Nota

Questa integrazione è disponibile anche per l'uso dall'ambiente cloud US Government di Microsoft Entra. È possibile trovare questa applicazione nella raccolta di applicazioni cloud US Government di Microsoft Entra e configurarla con la stessa procedura usata dal cloud pubblico.

Descrizione dello scenario

In questo articolo viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

  • L'integrazione di Microsoft Entra e Kemp LoadMaster supporta l'accesso Single Sign-On avviato da IDP.

Per configurare l'integrazione Kemp LoadMaster Microsoft Entra in Microsoft Entra ID, è necessario aggiungere l'integrazione Kemp LoadMaster Microsoft Entra dalla galleria al tuo elenco di app SaaS gestite.

  1. Accedi al Centro di amministrazione di Microsoft Entra almeno come un Amministratore dell'applicazione cloud.
  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.
  3. Nella sezione Aggiungi dalla raccolta digitare Integrazione Kemp LoadMaster con Microsoft Entra nella casella di ricerca.
  4. Selezionare Integrazione Kemp LoadMaster Microsoft Entra dal pannello dei risultati e quindi aggiungere l'applicazione. Attendere alcuni secondi che l'app venga aggiunta al tenant.

In alternativa, è anche possibile usare la Configurazione guidata dell'app aziendale. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Scopri di più sulle procedure guidate di Microsoft 365.

Configurare e testare l’accesso Single Sign-On (SSO) di Microsoft Entra per l’integrazione di Kemp LoadMaster con Microsoft Entra

Configurare e testare Microsoft Entra SSO con l'integrazione di Kemp LoadMaster e Microsoft Entra usando un utente di test chiamato B.Simon. Per far funzionare l'SSO, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato nell'integrazione Kemp LoadMaster Microsoft Entra.

Per configurare e testare l'accesso Single Sign-On di Microsoft Entra con l'integrazione Microsoft Entra con Kemp LoadMaster, seguire i passaggi seguenti:

  1. Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare questa funzionalità.

    1. Creare un utente di test di Microsoft Entra : per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
    2. Assegnare l'utente di test di Microsoft Entra - per abilitare B.Simon all'uso di Microsoft Entra Single Sign-On.
  2. Configurare l'integrazione di Kemp LoadMaster con Microsoft Entra per Single Sign-On - per configurare le impostazioni di Single Sign-On sul lato dell'applicazione.

  3. Server Web di pubblicazione

    1. Creare un servizio virtuale
    2. Certificati e sicurezza
    3. Integrazione di Kemp LoadMaster con Microsoft Entra - Profilo SAML
    4. Verificare le modifiche
  4. Configurare l'autenticazione basata su Kerberos

    1. Creare un account di delega Kerberos per l'integrazione di Kemp LoadMaster Microsoft Entra
    2. Account di delega vincolata Kerberos (KCD) per l’Integrazione di Microsoft Entra e Kemp LoadMaster
    3. Integrazione di ESP Kemp LoadMaster con Microsoft Entra
    4. Creare l'utente di test dell’Integrazione di Microsoft Entra e Kemp LoadMaster: per avere una controparte di B.Simon nell’Integrazione di Microsoft Entra e Kemp LoadMaster collegata alla rappresentazione dell'utente in Microsoft Entra.
  5. Testare l'accesso Single Sign-On: per verificare se la configurazione funziona.

Configurare il Single Sign-On di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

  1. Accedi al centro di amministrazione di Microsoft Entra come minimo con il ruolo di Amministratore delle applicazioni cloud.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Kemp LoadMaster Microsoft Entra integrazione>Single sign-on.

  3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  4. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita per modificare le impostazioni di Configurazione SAML di base.

    Modificare la configurazione SAML di base

  5. Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti:

    a. Nella casella di testo Identificatore (ID entità) digitare un URL: https://<KEMP-CUSTOMER-DOMAIN>.com/

    b. Nella casella di testo URL di risposta digitare un URL: https://<KEMP-CUSTOMER-DOMAIN>.com/

    Nota

    Poiché questi non sono i valori reali, è necessario aggiornarli con l'identificatore e l'URL di risposta effettivi. Per ottenere questi valori, contattare il team di supporto clienti per l’integrazione di Kemp LoadMaster e Microsoft Entra. È anche possibile fare riferimento ai modelli illustrati nella sezione Configurazione SAML di base.

  6. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare Certificato (Base 64) e il file XML dei metadati della federazione, quindi selezionare Scarica per scaricare il file del certificato e il file XML dei metadati della federazione e salvarli nel computer.

    Collegamento per il download del certificato

  7. Nella sezione Configura l'integrazione di Kemp LoadMaster con Microsoft Entra, copia gli URL appropriati in base alle tue esigenze.

    Copiare gli URL di configurazione

Creare un utente di test di Microsoft Entra

In questa sezione verrà creato un utente di test di nome B.Simon.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.
  2. Passare a Identità>Utenti>Tutti gli utenti.
  3. Selezionare Nuovo utente>Crea nuovo utente nella parte superiore della schermata.
  4. In Proprietà utente seguire questa procedura:
    1. Nel campo Nome visualizzato inserire B.Simon.
    2. Nel campo Nome principale utente, inserisci username@companydomain.extension. Ad esempio: B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
    4. Selezionare Rivedi e crea.
  5. Seleziona Crea.

Assegnare l'utente di test di Microsoft Entra

In questa sezione, abiliterai B.Simon all'uso del Single Sign-On concedendo accesso all'integrazione di Kemp LoadMaster con Microsoft Entra.

  1. Accedi al portale di amministrazione di Microsoft Entra come almeno un Amministratore delle applicazioni cloud.
  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Integrazione Kemp LoadMaster Microsoft Entra.
  3. Nella pagina di panoramica dell'app selezionare Utenti e gruppi.
  4. Selezionare Aggiungi utente/gruppo, quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
    1. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
    2. Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
    3. Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.

Configurare l'integrazione SSO tra Kemp LoadMaster e Microsoft Entra

Server Web di pubblicazione

Creare un servizio virtuale

  1. Nell'interfaccia utente Web di integrazione di Microsoft Entra con Kemp LoadMaster, vai a > Servizi Virtuali > Aggiungi Nuovo.

  2. Fare clic su Add New (Aggiungi nuovo).

  3. Specificare i parametri per il servizio virtuale.

    Screenshot che mostra la pagina

    a. Virtual Address (Indirizzo virtuale)

    b. Porta

    c. Service Name (Optional) (Nome del servizio (facoltativo))

    d. Protocollo

  4. Passare alla sezione Real Servers (Server reali).

  5. Fare clic su Add New (Aggiungi nuovo).

  6. Specificare i parametri per il server reale.

    Screenshot che mostra la pagina

    a. Selezionare Consenti indirizzi remoti

    b. Digitare l'indirizzo del server reale

    c. Porta

    d. Forwarding method (Metodo di inoltro)

    e. Peso

    f. Connection Limit (Limite connessione)

    g. Fare clic su Add This Real Server (Aggiungi questo server reale)

Certificati e sicurezza

Importare il certificato nell'integrazione tra Microsoft Entra e Kemp LoadMaster

  1. Vai al portale Web dell'integrazione di Kemp LoadMaster Microsoft Entra > Certificati e sicurezza > Certificati SSL.

  2. Vai su Gestisci certificati e > Configurazioni certificati.

  3. Fare clic su Import Certificate (Importa certificato).

  4. Specificare il nome del file contenente il certificato. Il file può anche contenere la chiave privata. Se il file non contiene la chiave privata, è necessario specificare anche il file contenente la chiave privata. Il formato del certificato può essere PEM o PFX (IIS).

  5. Fare clic su Choose file (Scegli file) in Certificate file (File del certificato).

  6. Fare clic su Key file (optional) (File di chiave (facoltativo)).

  7. Fare clic su Salva.

Accelerazione SSL

  1. Passare all'interfaccia utente web di Kemp LoadMaster > Servizi virtuali > Visualizza/Modifica servizi.

  2. Fare clic su Modifica sotto Operazione.

  3. Fare clic su SSL Properties (Proprietà SSL), che funziona al livello 7.

    Screenshot che mostra la sezione

    a. Fare clic su Enabled (Abilitata) in SSL Acceleration (Accelerazione SSL).

    b. In Available Certificates (Certificati disponibili) selezionare il certificato importato e fare clic sul simbolo >.

    c. Quando il certificato SSL desiderato viene visualizzato in Assigned Certificates (Certificati assegnati), fare clic su Set Certificates (Imposta certificati).

    Nota

    Assicurati di fare clic su Imposta certificati.

Integrazione di Microsoft Entra: Profilo SAML per Kemp LoadMaster

Importare il certificato IdP

Passare alla Console Web di integrazione di Kemp LoadMaster Microsoft Entra.

  1. Fare clic su Intermediate Certificates (Certificati intermedi) in Certificates and Authority (Certificati e autorità).

    Screenshot che mostra la sezione

    a. Fare clic su Choose file (Scegli file) in Add a new Intermediate Certificate (Aggiungi un nuovo certificato intermedio).

    b. Passare al file del certificato scaricato in precedenza dall'applicazione aziendale di Microsoft Entra.

    c. Fare clic su Open (Apri).

    d. Inserisci un nome nel campo Nome Certificato.

    e. Fare clic su Add Certificate (Aggiungi certificato).

Creare la politica di autenticazione

Passare a Gestisci SSO in Servizi virtuali.

Screenshot che mostra la pagina

a. Fare clic su Add (Aggiungi) in Add new Client Side Configuration (Aggiungi nuova configurazione lato client) dopo averle assegnato un nome.

b. In Authentication Protocol (Protocollo di autenticazione) selezionare SAML.

c. Selezionare il file di metadati all'interno di IdP Provisioning.

d. Fare clic su Choose file (Scegli file).

e. Passare al file XML scaricato in precedenza dal portale di Azure.

f. Fare clic su Open (Apri) e quindi su Import IdP MetaData File (Importa file di metadati IdP).

g. Selezionare il certificato intermedio dal certificato IdP.

h. Impostare l'ID entità SP che deve corrispondere all'identità creata nel portale di Azure.

i. Fare clic su Set SP Entity ID (Imposta entità provider di servizi).

Impostare l'autenticazione

Nella Console Web per l'integrazione di Microsoft Entra con Kemp LoadMaster

  1. Fare clic su Virtual Services (Servizi virtuali).

  2. Fare clic su View/Modify Services (Visualizza/Modifica servizi).

  3. Fare clic su Modify (Modifica) e passare a ESP Options (Opzioni ESP).

    Screenshot che visualizza la pagina

    a. Fare clic su Enable ESP (Abilita ESP).

    b. Selezionare SAML nella modalità di autenticazione client.

    c. Selezionare l'autenticazione lato client precedentemente creata nel dominio SSO.

    d. Digitare il nome host in Allowed Virtual Hosts (Host virtuali consentiti) e fare clic su Set Allowed Virtual Hosts (Imposta host virtuali consentiti).

    e. Digitare /* in "Directory virtuali consentite" in base ai requisiti di accesso e fare clic su "Imposta directory consentite".

Verificare le modifiche

Navigare all'URL dell'applicazione.

Verrà visualizzata la pagina di accesso al tenant invece del messaggio di accesso non autenticato visualizzato in precedenza.

Screenshot che mostra la pagina di accesso del tenant

Configurare l'autenticazione basata su Kerberos

Creare un account di delega Kerberos per l'integrazione di Kemp LoadMaster con Microsoft Entra

  1. Creare un account utente (in questo esempio AppDelegation).

    a. Selezionare la scheda Editor Attributi.

    b. Navigare a servicePrincipalName.

    c. Selezionare servicePrincipalName e fare clic su Modifica.

    d. Digitare http/kcduser nel campo Valore da aggiungere e fare clic su Aggiungi.

    e. Fare clic su Applica e su OK. È necessario chiudere la finestra prima di riaprirla (per visualizzare la nuova scheda Delega).

  2. Aprire di nuovo la finestra delle proprietà dell'utente e la scheda Delega diventerà disponibile.

  3. Selezionare la scheda Delega.

    Screenshot che mostra la finestra

    a. Selezionare Considera affidabile questo utente solo per la delega ai servizi specificati.

    b. Selezionare Usa un qualsiasi protocollo di autenticazione.

    c. Aggiungere i server reali e aggiungere http come servizio.

    d. Selezionare la casella di controllo Espansa.

    e. È possibile visualizzare tutti i server con il nome host e il nome di dominio completo.

    f. Fare clic su OK.

Nota

Impostare l'SPN nell'applicazione o nel sito Web, se applicabile. Per accedere all'applicazione quando è stata impostata l'identità del pool di applicazioni. Per accedere all'applicazione IIS utilizzando il nome di dominio completo, passare al prompt dei comandi del server reale e digitare SetSpn con i parametri necessari. Ad esempio: Setspn –S HTTP/sescoindc.sunehes.co.in suneshes\kdcuser.

Integrazione di Kemp LoadMaster Microsoft Entra - Account di Delega Vincolata Kerberos (KCD)

Passare alla Console Web dei Servizi di Integrazione di Kemp LoadMaster Microsoft Entra > Servizi virtuali > Gestione SSO.

Screenshot che mostra la pagina

a. Passare alle configurazioni del Single Sign-On lato server.

b. Digitare il nome in Add new Server-Side Configuration (Aggiungi nuova configurazione lato server) e fare clic su Add (Aggiungi).

c. Selezionare Kerberos Constrained Delegation (Delega vincolata Kerberos) in Authentication Protocol (Protocollo di autenticazione).

d. Digitare il nome di dominio nel realm Kerberos.

e. Fare clic su Imposta dominio Kerberos.

f. Digitare l'indirizzo IP del controller di dominio nel Centro di Distribuzione delle Chiavi Kerberos.

g. Fare clic su Imposta KDC di Kerberos.

h. Digitare il nome utente KCD in Kerberos Trusted User Name (Nome utente attendibile Kerberos).

i. Fare clic su Set KCD trusted user name (Imposta nome utente attendibile delega vincolata Kerberos).

j. Digitare la password in Kerberos Trusted User Password (Password utente attendibile Kerberos).

k. Imposta la password utente attendibile KCD.

Integrazione ESP di Microsoft Entra e Kemp LoadMaster

Passare a Servizi virtuali > Visualizza/Modifica servizi.

Web server di integrazione Kemp LoadMaster con Microsoft Entra

a. Fare clic su Modifica sul soprannome del servizio virtuale.

b. Fare clic su ESP Options (Opzioni ESP).

c. In modalità di autenticazione server, selezionare KCD.

d. In Server-Side Configuration (Configurazione lato server) selezionare il profilo lato server creato in precedenza.

Creare un utente di test per l'integrazione di Kemp LoadMaster con Microsoft Entra

In questa sezione viene creato un utente chiamato B.Simon nell’integrazione di Microsoft Entra e Kemp LoadMaster. Collaborare con il team di supporto clienti per l'integrazione di Kemp LoadMaster e Microsoft Entra per aggiungere gli utenti alla piattaforma di integrazione di Kemp LoadMaster e Microsoft Entra. Gli utenti devono essere creati e attivati prima di usare l'accesso Single Sign-On.

Test SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

  • Facendo clic su Testa questa applicazione si accederà automaticamente all'integrazione di Microsoft Entra e Kemp LoadMaster per cui è stato configurato l'accesso SSO.

  • È possibile usare App personali Microsoft. Facendo clic sul riquadro dell’Integrazione di Microsoft Entra e Kemp LoadMaster in My Apps, si accederà automaticamente all'integrazione di Microsoft Entra e Kemp LoadMaster per cui è stato configurato l'accesso SSO. Per altre informazioni su App personali, vedere l'introduzione ad App personali.

Dopo aver configurato l’Integrazione di Microsoft Entra e Kemp LoadMaster, è possibile applicare il controllo sessione che protegge in tempo reale dall'esfiltrazione e dall'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo della sessione con Microsoft Defender for Cloud Apps.