Zelfstudie: Integratie van Microsoft Entra SSO met Kemp LoadMaster Microsoft Entra-integratie

In deze zelfstudie leert u hoe u Kemp LoadMaster Microsoft Entra-integratie integreert met Microsoft Entra ID. Wanneer u Kemp LoadMaster Microsoft Entra-integratie integreert met Microsoft Entra ID, kunt u het volgende doen:

• In Microsoft Entra ID beheren wie toegang heeft tot Kemp LoadMaster Microsoft Entra-integratie.
• Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Kemp LoadMaster Microsoft Entra-integratie.
• Beheer uw accounts op één centrale locatie.

Vereisten

U hebt het volgende nodig om aan de slag te gaan:

• Een Microsoft Entra-abonnement. Als u geen abonnement hebt, kunt u een gratis account krijgen.
• Een abonnement op Kemp LoadMaster Microsoft Entra Integration waarvoor eenmalige aanmelding is ingeschakeld.

Notitie

Deze integratie is ook beschikbaar voor gebruik vanuit de Microsoft Entra US Government Cloud-omgeving. U vindt deze toepassing in de Microsoft Entra US Government Cloud Application Gallery en configureert deze op dezelfde manier als vanuit de openbare cloud.

Beschrijving van scenario

In deze zelfstudie configureert en test u eenmalige aanmelding van Microsoft Entra in een testomgeving.

• Kemp LoadMaster Microsoft Entra Integration ondersteunt door IDP geïnitieerde eenmalige aanmelding.

Kemp LoadMaster Microsoft Entra Integration toevoegen vanuit de galerie

Voor het configureren van de integratie van Kemp LoadMaster Microsoft Entra-integratie met Microsoft Entra ID moet u Kemp LoadMaster Microsoft Entra-integratie vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.
3. Typ in de sectie Toevoegen uit de galerie Kemp LoadMaster Microsoft Entra-integratie in het zoekvak.
4. Selecteer Kemp LoadMaster Microsoft Entra-integratie in het resultatenvenster en voeg vervolgens de app toe. Wacht enkele seconden tot de app aan de tenant is toegevoegd.

U kunt ook de wizard Enterprise App Configuration gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Eenmalige aanmelding van Microsoft Entra configureren en testen voor Kemp LoadMaster Microsoft Entra-integratie

Configureer en test eenmalige aanmelding van Microsoft Entra met Kemp LoadMaster Microsoft Entra-integratie met behulp van een testgebruiker met de naam B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Kemp LoadMaster Microsoft Entra-integratie.

Voer de volgende stappen uit om eenmalige aanmelding van Microsoft Entra met Kemp LoadMaster Microsoft Entra-integratie te configureren en te testen:

1. Configureer eenmalige aanmelding van Microsoft Entra - zodat uw gebruikers deze functie kunnen gebruiken.

   1. Een Microsoft Entra-testgebruiker maken : eenmalige aanmelding van Microsoft Entra testen met B.Simon.
   2. Wijs de Microsoft Entra-testgebruiker toe om B.Simon in staat te stellen eenmalige aanmelding van Microsoft Entra te gebruiken.

2. Eenmalige aanmelding voor Kemp LoadMaster Microsoft Entra Integration configureren : als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.

3. Webserver publiceren

   1. Een virtuele service maken
   2. Certificaten en beveiliging
   3. Kemp LoadMaster Microsoft Entra integration SAML Profile
   4. Wijzigingen toepassen

4. Verificatie op basis van Kerberos configureren

   1. Een Kerberos-delegatieaccount maken voor Kemp LoadMaster Microsoft Entra-integratie
   2. Kemp LoadMaster Microsoft Entra integration KCD (Kerberos Delegation Accounts)
   3. Kemp LoadMaster Microsoft Entra integration ESP
   4. Testgebruiker voor Kemp LoadMaster Microsoft Entra Integration maken : als u een tegenhanger van B.Simon in Kemp LoadMaster Microsoft Entra-integratie wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.

5. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Eenmalige aanmelding voor Microsoft Entra configureren

Volg deze stappen om eenmalige aanmelding van Microsoft Entra in te schakelen.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Identity>Applications Enterprise-toepassingen>>Kemp LoadMaster Microsoft Entra integration>Single sign-on.

3. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

4. Op de pagina Eenmalige aanmelding instellen met SAML klikt u op het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.

   

5. In de sectie Standaard-SAML-configuratie voert u de waarden in voor de volgende velden:

   a. Typ een URL in het vak Id (Entiteits-id): https://<KEMP-CUSTOMER-DOMAIN>.com/

   b. Typ een URL in het tekstvak Antwoord-URL: https://<KEMP-CUSTOMER-DOMAIN>.com/

   Notitie

   Dit zijn geen echte waarden. Werk deze waarden bij met de werkelijke id en antwoord-URL. Neem contact op met het klantondersteuningsteam van Kemp LoadMaster Microsoft Entra Integration om deze waarden te verkrijgen. U kunt ook verwijzen naar de patronen die worden weergegeven in de sectie Standaard SAML-configuratie.

6. Ga op de pagina Eenmalige aanmelding met SAML instellen, in de sectie SAML-handtekeningcertificaat, naar Certificaat (base64) en XML-bestand met federatieve metagegevens en selecteer Downloaden om het certificaat en de XML-bestanden met federatieve metagegevens te downloaden. Sla deze vervolgens op de computer op.

   

7. In de sectie Kemp LoadMaster Microsoft Entra-integratie instellen kopieert u de juiste URL('s) op basis van uw behoeften.

   

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
3. Selecteer Nieuwe gebruiker Nieuwe gebruiker> maken bovenaan het scherm.
4. Voer in de gebruikerseigenschappen de volgende stappen uit:
   1. Voer in het veld Weergavenaam de tekst in B.Simon.
   2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld: B.Simon@contoso.com.
   3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
   4. Selecteer Controleren + maken.
5. Selecteer Maken.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door toegang te verlenen tot Kemp LoadMaster Microsoft Entra-integratie.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
2. Blader naar Identity>Applications Enterprise-toepassingen>>Kemp LoadMaster Microsoft Entra-integratie.
3. Selecteer gebruikers en groepen op de overzichtspagina van de app.
4. Selecteer Gebruiker/groep toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
   1. Selecteer in het dialoogvenster Gebruikers en groepen de optie B.Simon in de lijst Gebruikers. Klik vervolgens op de knop Selecteren onderaan het scherm.
   2. Als u verwacht dat er een rol aan de gebruikers moet worden toegewezen, kunt u de rol selecteren in de vervolgkeuzelijst Selecteer een rol. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
   3. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen.

Eenmalige aanmelding voor Kemp LoadMaster Microsoft Entra Integration configureren

Webserver publiceren

Een virtuele service maken

1. Ga naar Kemp LoadMaster Microsoft Entra integration LoadMaster Web UI > Virtual Services > Add New.

2. Klik op Nieuwe toevoegen.

3. Geef de parameters voor de virtuele service op.

   

   a. Virtueel adres

   b. Poort

   c. Servicenaam (optioneel)

   d. Protocol

4. Ga naar de sectie Real Servers.

5. Klik op Nieuwe toevoegen.

6. Geef de parameters voor de echte server op.

   

   a. Selecteer Allow Remote Addresses

   b. Typ het adres van de echte server

   c. Poort

   d. Doorstuurmethode

   e. Gewicht

   f. Verbindingslimiet

   g. Klik op Add This Real Server

Certificaten en beveiliging

Certificaat importeren op Kemp LoadMaster Microsoft Entra-integratie

1. Ga naar Kemp LoadMaster Microsoft Entra integration Web Portal > Certificates & Security > SSL Certificates.

2. Onder Certificaatconfiguratie beheren > .

3. Klik op Import Certificate.

4. Geef de naam op van het bestand dat het certificaat bevat. Het bestand kan ook de privésleutel bevatten. Als het bestand de privésleutel niet bevat, moet het bestand dat de privésleutel bevat ook worden opgegeven. Het certificaat kan de indeling .pem of .pfx-indeling (IIS) hebben.

5. Klik in Choose file op Certificate File.

6. Klik op Key File (optioneel).

7. Klik op Save.

SSL-versnelling

1. Ga naar Kemp LoadMaster Web UI > Virtual Services > View/Modify Services.

2. Klik onder Operation op Modify.

3. Klik op SSL-eigenschappen (die werkt op laag 7).

   

   a. Klik in SSL Acceleration op Enabled.

   b. Selecteer onder Available certificates het geïmporteerde certificaat en klik op het symbool >.

   c. Zodra het gewenste SSL-certificaat wordt weergegeven in Assigned certificates, klikt u op Set certificates.

   Notitie

   Vergeet niet op Set certificates te klikken.

Kemp LoadMaster Microsoft Entra integration SAML Profile

IdP-certificaat importeren

Ga naar Kemp LoadMaster Microsoft Entra Integration Web Console.

1. Click onder Certificates and Authority op Intermediate Certificates.

   

   a. Click in Add a new Intermediate Certificate op Choose file.

   b. Navigeer naar het certificaatbestand dat u eerder hebt gedownload van Microsoft Entra Enterprise Application.

   c. Klik op Open.

   d. Geef een naam op in Certificate Name.

   e. Klik op Add Certificate.

Authenticatiebeleid maken

Ga onder Virtual Services naar Manage SSO.

a. Click onder Add new Client Side Configuration op Add nadat u deze een naam hebt gegeven.

b. Selecteer onder Authentication Protocol de optie SAML.

c. Select onder IdP Provisioning de optie MetaData File.

d. Klik op Choose File.

e. Ga via Azure Portal naar het eerder gedownloade XML-bestand.

f. Klik op Open vervolgens op Import IdP MetaData file.

g. Selecteer onder IdP Certificate het tussenliggende certificaat.

h. Stel de SP-entiteits-id in die overeenkomt met de identiteit die is gemaakt in Azure Portal.

i. Klik op Set SP Entity ID.

Verificatie instellen

Op Kemp LoadMaster Microsoft Entra Integration Web Console.

1. Klik op Virtual Services.

2. Klik op View/Modify Services.

3. Klik op Modify en ga naar ESP Options.

   

   a. Klik op Enable ESP.

   b. Selecteer SAML in Client Authentication Mode.

   c. Selecteer in SSO Domain de eerder gemaakte verificatie aan de clientzijde.

   d. Typ onder Allowed Virtual Hosts een hostnaam en klik op Set Allowed Virtual Hosts.

   e. Typ /* in Allowed Virtual Directories (op basis van toegangsvereisten) en klik op Set Allowed Directories.

Wijzigingen toepassen

Blader naar de toepassings-URL.

U ziet de aanmeldingspagina voor tenants in plaats van eerder niet-geverifieerde toegang.

Verificatie op basis van Kerberos configureren

Een Kerberos-delegatieaccount maken voor Kemp LoadMaster Microsoft Entra-integratie

1. Maak een gebruikersaccount (in dit voorbeeld AppDelegation).

   a. Selecteer het tabblad Kenmerkeditor.

   b. Ga naar servicePrincipalName.

   c. Selecteer servicePrincipalName en klik op Bewerken.

   d. Typ http/kcduser in het veld Toe te voegen waarde en klik op Toevoegen.

   e. Klik op Toepassen en OK. Het venster moet worden gesloten voordat u het opnieuw opent (om het nieuwe tabblad Delegation te zien).

2. Open het venster met gebruikerseigenschappen opnieuw. Het tabblad Delegering wordt beschikbaar.

3. Selecteer het tabblad Delegering.

   

   a. Selecteer Deze gebruiker mag alleen aan opgegeven services delegeren.

   b. Selecteer Elk willekeurig protocol voor authenticatie gebruiken.

   c. Voeg de echte servers toe en voeg http toe als de service.

   d. Schakel het selectievakje Uitgebreid in.

   e. U kunt alle servers met zowel de hostnaam als de FQDN zien.

   f. Klik op OK.

Notitie

Stel de SPN op de toepassing/website in zoals van toepassing is. Ga als volgt te werk om toegang te krijgen tot de toepassing wanneer de identiteit van de groep van toepassingen is ingesteld. Als u toegang wilt krijgen tot de IIS-toepassing met behulp van de FQDN-naam, gaat u naar de Real Server-opdrachtprompt en typt u SetSpn met de vereiste parameters. Bijvoorbeeld: Setspn –S HTTP/sescoindc.sunehes.co.in suneshes\kdcuser.

Kemp LoadMaster Microsoft Entra integration KCD (Kerberos Delegation Accounts)

Ga naar Kemp LoadMaster Microsoft Entra integration Web Console > Virtual Services > Manage SSO.

a. Navigeer naar configuraties voor eenmalige aanmelding aan de serverzijde.

b. Typ in Add new Server-Side Configuration een naam en klik op Add.

c. Selecteer in Authentication Protocol de optie Kerberos Constrained Delegation.

d. Typ in Kerberos Realm de domeinnaam.

e. Klik op Set Kerberos Realm.

f. Typ in Kerberos Key Distribution Center het IP-adres van de domeincontroller.

g. Klik op Set Kerberos KDC.

h. Typ in Kerberos Trusted User Name de KCD-gebruikersnaam.

i. Klik op Set KDC trusted user name.

j. Typ het wachtwoord in Kerberos Trusted User Password.

k. Klik op Set KCD trusted user password.

Kemp LoadMaster Microsoft Entra integration ESP

Ga naar de weergave/wijzigingsservices van virtuele services > .

a. Klik voor de bijnaam van de virtuele service op Modify.

b. Klik op ESP Options.

c. Selecteer onder Server Authentication Mode de optie KCD.

d. Selecteer onder Server-Side configuration het eerder gemaakte profiel aan de serverzijde.

Testgebruiker voor Kemp LoadMaster Microsoft Entra Integration maken

In deze sectie maakt u een gebruiker met de naam B.Simon in Kemp LoadMaster Microsoft Entra Integration. Werk samen met het klantondersteuningsteam van Kemp LoadMaster Microsoft Entra integration om de gebruikers toe te voegen aan het Kemp LoadMaster Microsoft Entra integration platform. Er moeten gebruikers worden gemaakt en geactiveerd voordat u eenmalige aanmelding kunt gebruiken.

Eenmalige aanmelding testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

• Klik op Deze toepassing testen en u wordt automatisch aangemeld bij de kemp LoadMaster Microsoft Entra-integratie waarvoor u eenmalige aanmelding hebt ingesteld.

• U kunt Microsoft Mijn apps gebruiken. Wanneer u in de Mijn apps op de tegel Kemp LoadMaster Microsoft Entra Integration klikt, wordt u automatisch aangemeld bij de azure-integratie van Kemp LoadMaster Microsoft Entra waarvoor u eenmalige aanmelding hebt ingesteld. Zie Introduction to My Apps (Inleiding tot Mijn apps) voor meer informatie over Mijn apps.

Volgende stappen

Zodra u Kemp LoadMaster Microsoft Entra-integratie hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.