Condividi tramite

Integrare l'accesso Single Sign-On di Microsoft Entra con il connettore SAML Maverics Orchestrator

  • Articolo

Maverics Orchestrator di Strata consente di integrare facilmente applicazioni locali con Microsoft Entra ID per l'autenticazione e il controllo di accesso. Maverics Orchestrator è in grado di modernizzare l'autenticazione e l'autorizzazione per le app che attualmente si basano su intestazioni, cookie e altri metodi di autenticazione proprietari. Le istanze di Maverics Orchestrator possono essere distribuite in locale o nel cloud.

Questa esercitazione sull’accesso ibrido illustra come eseguire la migrazione di un'applicazione Web locale attualmente protetta da un prodotto per la gestione degli accessi Web legacy in modo da usare Microsoft Entra ID per l'autenticazione e il controllo di accesso. I passaggi principali sono indicati di seguito.

  1. Configurazione di Maverics Orchestrator
  2. Proxy di un'applicazione
  3. Registrazione di un'applicazione aziendale in Microsoft Entra ID
  4. Autenticazione tramite Microsoft Entra ID e autorizzazione dell'accesso all'applicazione
  5. Aggiunta di intestazioni per l'accesso facile alle applicazioni
  6. Uso di più applicazioni

Prerequisiti

  • Una sottoscrizione di Microsoft Entra ID. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
  • Un account Maverics Identity Orchestrator Platform. Registrarsi su maverics.strata.io.
  • Almeno un'applicazione che usa l'autenticazione basata su intestazione. Negli esempi si userà un'applicazione denominata Sonar che sarà raggiungibile su https://localhost:8443.

Passaggio 1: Configurazione di Maverics Orchestrator

Dopo aver effettuato la registrazione di un account Maverics in maverics.strata.io, usare l'esercitazione dell’Area risorse intitolata Attività iniziali: Ambiente di valutazione. Questa esercitazione illustra il processo dettagliato di creazione di un ambiente di valutazione, il download di un agente di orchestrazione e l'installazione dell'agente di orchestrazione sul computer.

Passaggio 2: Estensione dell'ID Microsoft Entra a un'app con una ricetta

Successivamente, usare l'esercitazione dell’Area risorse, Estendere Microsoft Entra ID a un'app legacy non standard. Questa esercitazione offre una ricetta .json che configura automaticamente un'infrastruttura di identità, un'applicazione basata su intestazione e un flusso utente parzialmente completo.

Passaggio 3: Registrazione di un'applicazione aziendale in Microsoft Entra ID

Verrà ora creata una nuova applicazione aziendale in Microsoft Entra ID, usata per l'autenticazione degli utenti finali.

Nota

Quando si sfruttano le funzionalità di Microsoft Entra ID, ad esempio l'accesso condizionale, è importante creare un'applicazione aziendale per ogni applicazione locale. Ciò consente l'accesso condizionale per app, la valutazione dei rischi per app, le autorizzazioni assegnate per app e così via. In genere, un'applicazione aziendale in Microsoft Entra ID esegue il mapping su un connettore di Azure in Maverics.

  1. Nel tenant di Microsoft Entra ID passare ad Applicazioni aziendali, fare clic su Nuova applicazione e cercare Maverics Identity Orchestrator SAML Connector nella raccolta Microsoft Entra ID, quindi selezionarlo.

  2. Nel riquadro Proprietà di Maverics Identity Orchestrator SAML Connector impostare Assegnazione utenti obbligatoria su No per abilitare l'applicazione per tutti gli utenti della directory.

  3. Nel riquadro Panoramica di Maverics Identity Orchestrator SAML Connector selezionare Configura l'accesso Single Sign-On e quindi selezionare SAML.

  4. Nel riquadro SAML-based sign on (Accesso basato su SAML) di Maverics Identity Orchestrator SAML Connector modificare Configurazione SAML di base selezionando il pulsante Modifica (icona a forma di matita).

    Screenshot del pulsante Modifica per

  5. Immettere un ID entità di: https://sonar.maverics.com. L'ID entità deve essere univoco per le app del tenant e può essere un valore arbitrario. Questo valore viene usato per definire il campo samlEntityID del connettore di Azure nella sezione successiva.

  6. Immettere un URL di risposta di: https://sonar.maverics.com/acs Questo valore viene usato per definire il campo samlConsumerServiceURL del connettore di Azure nella sezione successiva.

  7. Immettere un URL di accesso di: https://sonar.maverics.com/. Questo campo non verrà usato da Maverics, ma è necessario in Microsoft Entra ID, per consentire agli utenti di accedere all'applicazione tramite il portale App personali di Microsoft Entra ID.

  8. Seleziona Salva.

  9. Nella sezione Certificato di firma SAML selezionare il pulsante Copia per copiare l'URL dei metadati di federazione dell'app e salvarlo nel computer in uso.

    Screenshot del pulsante Copia per

Passaggio 4: Autenticazione tramite Microsoft Entra ID e autorizzazione dell'accesso all'applicazione

Procedere con il passaggio 4 dell'argomento dell’Area risorse, Estendere Microsoft Entra ID a un'app legacy non standard per modificare il flusso utente in Maverics. Questa procedura illustra il processo di aggiunta di intestazioni all'applicazione upstream e quello di distribuzione del flusso utente.

Dopo aver distribuito il flusso utente, per verificare che l'autenticazione funzioni come previsto, effettuare una richiesta a una risorsa dell'applicazione tramite il proxy Maverics. L'applicazione protetta ora dovrebbe ricevere intestazioni nella richiesta.

È possibile modificare le chiavi di intestazione se l'applicazione prevede intestazioni diverse. Tutte le attestazioni restituite da Microsoft Entra ID come parte del flusso SAML possono essere utilizzate nelle intestazioni. Ad esempio, è possibile includere un'altra intestazione di secondary_email: azureSonarApp.email, dove azureSonarApp è il nome del connettore e email è un'attestazione restituita da Microsoft Entra ID.

Scenari avanzati

Migrazione delle identità

Non è possibile mantenere lo strumento di gestione degli accessi Web di fine vita, ma non è possibile eseguire la migrazione degli utenti senza reimpostazioni massive delle password? Maverics Orchestrator supporta la migrazione delle identità tramite migrationgateways.

Moduli server Web

Non si vuole rielaborare la rete e il traffico proxy attraverso Maverics Orchestrator? Non è un problema, Maverics Orchestrator può essere associato a moduli server Web per offrire le stesse soluzioni senza proxy.

Conclusione

A questo punto, è stato installato Maverics Orchestrator, è stata creata e configurata un'applicazione aziendale in Microsoft Entra ID e configurato Orchestrator per il proxy verso un'applicazione protetta, richiedendo l'autenticazione e l'applicazione dei criteri. Per altre informazioni su come usare Maverics Orchestrator per i casi d'uso di gestione delle identità distribuite, contattare Strata.