Esercitazione: Integrazione dell’accesso Single Sign-On di Microsoft Entra con l’Integrazione di Microsoft Entra e Kemp LoadMaster
Questa esercitazione descrive come integrare l’Integrazione di Microsoft Entra e Kemp LoadMaster con Microsoft Entra ID. Integrando l’Integrazione di Microsoft Entra e Kemp LoadMaster con Microsoft Entra ID è possibile:
- controllare in Microsoft Entra ID chi può accedere all’Integrazione di Microsoft Entra e Kemp LoadMaster.
- abilitare gli utenti all'accesso automatico all’Integrazione di Microsoft Entra e Kemp LoadMaster con gli account Microsoft Entra personali.
- Gestire gli account in un'unica posizione centrale.
Prerequisiti
Per iniziare, sono necessari gli elementi seguenti:
- Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
- Sottoscrizione dell’Integrazione di Microsoft Entra e Kemp LoadMaster abilitata all'accesso Single Sign-On (SSO).
Nota
Questa integrazione è disponibile anche per l'uso dall'ambiente cloud US Government di Microsoft Entra. È possibile trovare questa applicazione nella raccolta di applicazioni cloud US Government di Microsoft Entra e configurarla con la stessa procedura usata dal cloud pubblico.
Descrizione dello scenario
In questa esercitazione viene configurato e testato l'accesso Single Sign-On di Microsoft Entra in un ambiente di testing.
- l’Integrazione di Microsoft Entra e Kemp LoadMaster supporta l'accesso Single Sign-On avviato da IDP.
Aggiungere l’Integrazione di Microsoft Entra e Kemp LoadMaster dalla raccolta
Per configurare l’Integrazione di Microsoft Entra e Kemp LoadMaster in Microsoft Entra ID è necessario aggiungere l’Integrazione di Microsoft Entra e Kemp LoadMaster dalla raccolta all'elenco di app SaaS gestite.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.
- Nella sezione Aggiungi dalla raccolta digitare Integrazione di Microsoft Entra e Kemp LoadMaster nella casella di ricerca.
- Selezionare Integrazione di Microsoft Entra e Kemp LoadMaster nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.
In alternativa, è anche possibile usare Configurazione guidata app aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.
Configurare e testare l’accesso Single Sign-On di Microsoft Entra per l’Integrazione di Microsoft Entra e Kemp LoadMaster
Configurare e testare l'accesso SSO di Microsoft Entra con l’integrazione di Microsoft Entra e Kemp LoadMaster usando un utente di test chiamato B.Simon. Per il corretto funzionamento dell'accesso Single Sign-On è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato nell’Integrazione di Microsoft Entra e Kemp LoadMaster
Per configurare e testare l'accesso Single Sign-On di Microsoft Entra con l’Integrazione di Microsoft Entra e Kemp LoadMaster seguire i passaggi seguenti:
Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare questa funzionalità.
- Creare un utente di test di Microsoft Entra per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
- Assegnare l'utente di test di Microsoft Entra per abilitare B.Simon all'uso dell'accesso Single Sign-On di Microsoft Entra.
Configurare l'accesso Single Sign-On dell’Integrazione di Microsoft Entra e Kemp LoadMaster: per configurare le impostazioni di accesso Single Sign-On sul lato applicazione.
Configurare l'autenticazione basata su Kerberos
- Creare un account di delega Kerberos per l’Integrazione di Microsoft Entra e Kemp LoadMaster
- Account di delega vincolata Kerberos (KCD) per l’Integrazione di Microsoft Entra e Kemp LoadMaster
- ESP dell’Integrazione di Microsoft Entra e Kemp LoadMaster
- Creare l'utente di test dell’Integrazione di Microsoft Entra e Kemp LoadMaster: per avere una controparte di B.Simon nell’Integrazione di Microsoft Entra e Kemp LoadMaster collegata alla rappresentazione dell'utente in Microsoft Entra.
Testare l'accesso Single Sign-On: per verificare se la configurazione funziona.
Configurare l'accesso Single Sign-On di Microsoft Entra
Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Identità>Applicazioni>Applicazioni aziendali>Integrazione di Microsoft Entra e Kemp LoadMaster>Accesso Single sign-on.
Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita per modificare le impostazioni di Configurazione SAML di base.
Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti:
a. Nella casella di testo Identificatore (ID entità) digitare un URL:
https://<KEMP-CUSTOMER-DOMAIN>.com/b. Nella casella di testo URL di risposta digitare un URL:
https://<KEMP-CUSTOMER-DOMAIN>.com/Nota
Poiché questi non sono i valori reali, è necessario aggiornarli con l'identificatore e l'URL di risposta effettivi. Per ottenere questi valori contattare il team di supporto clienti dell’Integrazione di Microsoft Entra e Kemp LoadMaster. È anche possibile fare riferimento ai modelli illustrati nella sezione Configurazione SAML di base.
Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare Certificato (Base 64) e il file XML dei metadati della federazione, quindi selezionare Scarica per scaricare il file del certificato e il file XML dei metadati della federazione e salvarli nel computer.
Nella sezione Configura l’Integrazione di Microsoft Entra e Kemp LoadMaster copiare gli URL appropriati in base alle proprie esigenze.
Creare un utente di test di Microsoft Entra
In questa sezione verrà creato un utente di test di nome B.Simon.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.
- Passare a Identità>Utenti>Tutti gli utenti.
- Selezionare Nuovo utente>Crea nuovo utente nella parte superiore della schermata.
- In Proprietà utente seguire questa procedura:
- Nel campo Nome visualizzato inserire
B.Simon. - Nel campo Nome entità utente, immettere username@companydomain.extension. Ad esempio:
B.Simon@contoso.com. - Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
- Selezionare Rivedi e crea.
- Nel campo Nome visualizzato inserire
- Seleziona Crea.
Assegnare l'utente di test di Microsoft Entra
In questa sezione l’utente B.Simon verrà abilitato all'uso dell'accesso Single Sign-On, che concede l'accesso all’integrazione di Microsoft Entra e Kemp LoadMaster.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare a Identità>Applicazioni>Applicazioni aziendali>Integrazione di Microsoft Entra e Kemp LoadMaster.
- Nella pagina di panoramica dell'app selezionare Utenti e gruppi.
- Selezionare Aggiungi utente/gruppo, quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
- Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
- Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
- Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.
Configurare l'accesso Single Sign-On dell’Integrazione di Microsoft Entra e Kemp LoadMaster
Server Web di pubblicazione
Creare un servizio virtuale
Nell’interfaccia utente Web dell’Integrazione di Microsoft Entra e Kemp LoadMaster passare a > Servizi virtuali > Aggiungi nuovo.
Fare clic su Add New (Aggiungi nuovo).
Specificare i parametri per il servizio virtuale.
a. Virtual Address (Indirizzo virtuale)
b. Porta
c. Service Name (Optional) (Nome del servizio (facoltativo))
d. Protocollo
Passare alla sezione Real Servers (Server reali).
Fare clic su Add New (Aggiungi nuovo).
Specificare i parametri per il server reale.
a. Selezionare Allow Remote Addresses (Consenti indirizzi remoti)
b. Digitare l'indirizzo del server reale
c. Porta
d. Forwarding method (Metodo di inoltro)
e. Weight
f. Connection Limit (Limite connessione)
g. Fare clic su Add This Real Server (Aggiungi questo server reale)
Certificati e sicurezza
Importare il certificato nell’Integrazione di Microsoft Entra e Kemp LoadMaster
Nel portale Web dell’Integrazione di Microsoft Entra e Kemp LoadMaster passare a > Certificati e sicurezza > Certificati SSL.
In Gestisci certificati passare a > Configurazione certificato.
Fare clic su Import Certificate (Importa certificato).
Specificare il nome del file contenente il certificato. Il file può anche contenere la chiave privata. Se il file non contiene la chiave privata, è necessario specificare anche il file contenente la chiave privata. Il formato del certificato può essere PEM o PFX (IIS).
Fare clic su Choose file (Scegli file) in Certificate file (File del certificato).
Fare clic su Key file (optional) (File di chiave (facoltativo)).
Fare clic su Salva.
Accelerazione SSL
Nell’interfaccia utente Web dell’Integrazione di Microsoft Entra e Kemp LoadMaster passare a > Servizi virtuali > Visualizza/Modifica servizi.
Fare clic su Modify (Modifica) in Operation (Operazione).
Fare clic su SSL Properties (Proprietà SSL), che funziona al livello 7.
a. Fare clic su Enabled (Abilitata) in SSL Acceleration (Accelerazione SSL).
b. In Available Certificates (Certificati disponibili) selezionare il certificato importato e fare clic sul simbolo
>.c. Quando il certificato SSL desiderato viene visualizzato in Assigned Certificates (Certificati assegnati), fare clic su Set Certificates (Imposta certificati).
Nota
Assicurarsi di fare clic su Set Certificates (Imposta certificati).
Profilo SAML dell’Integrazione di Microsoft Entra e Kemp LoadMaster
Importare il certificato del provider di identità
Passare alla Console Web dell’Integrazione di Microsoft Entra e Kemp LoadMaster
Fare clic su Intermediate Certificates (Certificati intermedi) in Certificates and Authority (Certificati e autorità).
a. Fare clic su Choose file (Scegli file) in Add a new Intermediate Certificate (Aggiungi un nuovo certificato intermedio).
b. Passare al file del certificato scaricato in precedenza dall'applicazione aziendale di Microsoft Entra.
c. Fare clic su Open (Apri).
d. Specificare un nome in Certificate Name (Nome certificato).
e. Fare clic su Add Certificate (Aggiungi certificato).
Creare i criteri di autenticazione
Passare a Manage SSO (Gestisci SSO) in Virtual Services (Servizi virtuali).
a. Fare clic su Add (Aggiungi) in Add new Client Side Configuration (Aggiungi nuova configurazione lato client) dopo averle assegnato un nome.
b. In Authentication Protocol (Protocollo di autenticazione) selezionare SAML.
c. Selezionare MetaData File (File di metadati) in IdP Provisioning (Provisioning IdP).
d. Fare clic su Choose file (Scegli file).
e. Passare al file XML scaricato in precedenza dal portale di Azure.
f. Fare clic su Open (Apri) e quindi su Import IdP MetaData File (Importa file di metadati IdP).
g. Selezionare il certificato intermedio dal certificato IdP.
h. Impostare l'ID entità SP che deve corrispondere all'identità creata nel portale di Azure.
i. Fare clic su Set SP Entity ID (Imposta entità provider di servizi).
Impostare l'autenticazione
Nella Console Web dell’Integrazione di Microsoft Entra e Kemp LoadMaster
Fare clic su Virtual Services (Servizi virtuali).
Fare clic su View/Modify Services (Visualizza/Modifica servizi).
Fare clic su Modify (Modifica) e passare a ESP Options (Opzioni ESP).
a. Fare clic su Enable ESP (Abilita ESP).
b. Selezionare SAML in Client Authentication Mode (Modalità di autenticazione client).
c. Selezionare l'autenticazione lato client creata in precedenza in SSO Domain (Dominio SSO).
d. Digitare il nome host in Allowed Virtual Hosts (Host virtuali consentiti) e fare clic su Set Allowed Virtual Hosts (Imposta host virtuali consentiti).
e. Digitare /* in Allowed Virtual Directories (Directory virtuali consentite), in base ai requisiti di accesso, e fare clic su Set Allowed Directories (Imposta directory consentite).
Verificare le modifiche
Passare all'URL dell'applicazione.
Verrà visualizzata la pagina di accesso al tenant invece del messaggio di accesso non autenticato visualizzato in precedenza.
Configurare l'autenticazione basata su Kerberos
creare un account di delega Kerberos per l’Integrazione di Microsoft Entra e Kemp LoadMaster
Creare un account utente (in questo esempio AppDelegation).
a. Selezionare la scheda Editor attributi.
b. Passare a servicePrincipalName.
c. Selezionare servicePrincipalName e fare clic su Modifica.
d. Digitare http/kcduser nel campo Valore da aggiungere e fare clic su Aggiungi.
e. Fare clic su Applica e su OK. È necessario chiudere la finestra prima di riaprirla (per visualizzare la nuova scheda Delega).
Aprire di nuovo la finestra delle proprietà dell'utente e la scheda Delega diventerà disponibile.
Selezionare la scheda Delega.
a. Selezionare Utente attendibile per la delega solo ai servizi specificati.
b. Selezionare Usa un qualsiasi protocollo di autenticazione.
c. Aggiungere i server reali e aggiungere http come servizio.
d. Selezionare la casella di controllo Espansa.
e. È possibile visualizzare tutti i server con il nome host e il nome di dominio completo.
f. Fare clic su OK.
Nota
Impostare il nome dell'entità servizio nell'applicazione o nel sito Web in base alle esigenze. Per accedere all'applicazione quando è stata impostata l'identità del pool di applicazioni. Per accedere all'applicazione IIS utilizzando il nome di dominio completo, passare al prompt dei comandi del server reale e digitare SetSpn con i parametri necessari. Ad esempio: Setspn –S HTTP/sescoindc.sunehes.co.in suneshes\kdcuser.
Account di delega vincolata Kerberos (KCD) per l’Integrazione di Microsoft Entra e Kemp LoadMaster
Passare alla Console Web dell’Integrazione di Microsoft Entra e Kemp LoadMaster > Servizi virtuali > Gestisci accesso Single Sign-On.
a. Passare a Server Side Single Sign On Configurations (Configurazioni Single Sign-On lato server).
b. Digitare il nome in Add new Server-Side Configuration (Aggiungi nuova configurazione lato server) e fare clic su Add (Aggiungi).
c. Selezionare Kerberos Constrained Delegation (Delega vincolata Kerberos) in Authentication Protocol (Protocollo di autenticazione).
d. Digitare il nome di dominio in Kerberos Realm (Area autenticazione Kerberos).
e. Fare clic su Set Kerberos realm (Imposta area autenticazione Kerberos).
f. Digitare l'indirizzo IP del controller di dominio in Kerberos Key Distribution Center (Centro distribuzione chiavi Kerberos).
g. Fare clic su Set Kerberos KDC (Imposta delega vincolata Kerberos).
h. Digitare il nome utente della delega vincolata Kerberos in Kerberos Trusted User Name (Nome utente attendibile Kerberos).
i. Fare clic su Set KCD trusted user name (Imposta nome utente attendibile delega vincolata Kerberos).
j. Digitare la password in Kerberos Trusted User Password (Password utente attendibile Kerberos).
k. Fare clic su Set KCD trusted user password (Imposta password attendibile delega vincolata Kerberos).
ESP dell’Integrazione di Microsoft Entra e Kemp LoadMaster
Passare a Servizi virtuali > Visualizza/Modifica servizi.
a. Fare clic su Modify (Modifica) sul nome alternativo del servizio virtuale.
b. Fare clic su ESP Options (Opzioni ESP).
c. In Server Authentication Mode (Modalità di autenticazione server) selezionare KCD (Delega vincolata Kerberos).
d. In Server-Side Configuration (Configurazione lato server) selezionare il profilo lato server creato in precedenza.
Creare l'utente di test dell’Integrazione di Microsoft Entra e Kemp LoadMaster
In questa sezione viene creato un utente chiamato B.Simon nell’integrazione di Microsoft Entra e Kemp LoadMaster. Collaborare con il team di supporto tecnico clienti dell’Integrazione di Microsoft Entra e Kemp LoadMaster per aggiungere gli utenti nella piattaforma dell’Integrazione di Microsoft Entra e Kemp LoadMaster Gli utenti devono essere creati e attivati prima di usare l'accesso Single Sign-On.
Testare l'accesso SSO
In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.
Facendo clic su Testa questa applicazione si accederà automaticamente all'integrazione di Microsoft Entra e Kemp LoadMaster per cui è stato configurato l'accesso SSO.
È possibile usare App personali Microsoft. Facendo clic sul riquadro dell’Integrazione di Microsoft Entra e Kemp LoadMaster in My Apps, si accederà automaticamente all'integrazione di Microsoft Entra e Kemp LoadMaster per cui è stato configurato l'accesso SSO. Per altre informazioni su App personali, vedere l'introduzione ad App personali.
Passaggi successivi
Dopo aver configurato l’Integrazione di Microsoft Entra e Kemp LoadMaster, è possibile applicare il controllo sessione che protegge in tempo reale dall'esfiltrazione e dall'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo della sessione con Microsoft Defender for Cloud Apps.