Udostępnij za pośrednictwem

Samouczek: integracja logowania jednokrotnego firmy Microsoft z aplikacją BeyondTrust Remote Support

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować usługę BeyondTrust Remote Support z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji BeyondTrust Remote Support z identyfikatorem Entra firmy Microsoft możesz wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do usługi BeyondTrust Remote Support.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji BeyondTrust Remote Support przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji BeyondTrust Remote Support z obsługą logowania jednokrotnego.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

  • Usługa BeyondTrust Remote Support obsługuje logowanie jednokrotne inicjowane przez dostawcę usług
  • Usługa BeyondTrust Remote Support obsługuje aprowizowanie użytkowników just in time

Aby skonfigurować integrację aplikacji BeyondTrust Remote Support z usługą Microsoft Entra ID, należy dodać usługę BeyondTrust Remote Support z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz BeyondTrust Remote Support w polu wyszukiwania.
  4. Wybierz pozycję BeyondTrust Remote Support z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego firmy Microsoft dla aplikacji BeyondTrust Remote Support

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z aplikacją BeyondTrust Remote Support przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji BeyondTrust Remote Support.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z rozwiązaniem BeyondTrust Remote Support, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    • Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
    • Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
  2. Skonfiguruj logowanie jednokrotne beyondTrust Remote Support — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    • Tworzenie użytkownika testowego aplikacji BeyondTrust Remote Support — aby mieć w aplikacji BeyondTrust Remote Support odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity Applications Enterprise Applications BeyondTrust Remote Support Single sign-on (Aplikacje dla przedsiębiorstw w aplikacji>Identity>Applications>BeyondTrust Remote Support>— logowanie jednokrotne).

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę edycji/pióra dla podstawowej konfiguracji protokołu SAML, aby edytować ustawienia.

    Edit Basic SAML Configuration

  5. W sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

    a. W polu Identyfikator wpisz adres URL, korzystając z następującego wzorca: https://<HOSTNAME>.bomgar.com

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<HOSTNAME>.bomgar.com/saml/sso

    c. W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<HOSTNAME>.bomgar.com/saml

    Uwaga

    Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Te wartości zostaną wyjaśnione w dalszej części samouczka.

  6. Aplikacja BeyondTrust Remote Support oczekuje asercji SAML w określonym formacie, co wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych.

    image

  7. Oprócz powyższych, aplikacja BeyondTrust Remote Support oczekuje, że kilka atrybutów zostanie przekazanych z powrotem w odpowiedzi SAML, które są pokazane poniżej. Te atrybuty są również wstępnie wypełnione, ale można je przejrzeć zgodnie z wymaganiami.

    Nazwisko Atrybut źródłowy
    Username user.userprincipalname
    FirstName user.givenname
    LastName user.surname
    Email user.mail
    Grupy user.groups

    Uwaga

    Podczas przypisywania grup microsoft Entra dla aplikacji BeyondTrust Remote Support opcja "Grupy zwrócone w oświadczeniu" musi zostać zmodyfikowana z none do securityGroup. Grupy zostaną zaimportowane do aplikacji jako identyfikatory obiektów. Identyfikator obiektu grupy Microsoft Entra można znaleźć, sprawdzając właściwości w interfejsie Microsoft Entra ID. Będzie to wymagane do odwołowania się do odpowiednich zasad grupy i przypisywania grup firmy Microsoft.

  8. Podczas ustawiania unikatowego identyfikatora użytkownika ta wartość musi być ustawiona na NameID-Format: Persistent. Wymagamy, aby był to identyfikator trwały, aby poprawnie zidentyfikować i skojarzyć użytkownika z odpowiednimi zasadami grupy w celu uzyskania uprawnień. Kliknij ikonę edycji, aby otworzyć okno dialogowe Atrybuty użytkownika i oświadczenia , aby edytować wartość Unikatowego identyfikatora użytkownika.

  9. W sekcji Zarządzanie oświadczeniem kliknij format Wybierz identyfikator nazwy i ustaw wartość Na trwałe, a następnie kliknij przycisk Zapisz.

    User Attributes and Claims

  10. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    The Certificate download link

  11. W sekcji Konfigurowanie usługi BeyondTrust Remote Support skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Copy configuration URLs

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz dla użytkownika B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji BeyondTrust Remote Support.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do aplikacji>dla przedsiębiorstw Identity>Applications>BeyondTrust Remote Support.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie logowania jednokrotnego zdalnego wsparcia pozatrust

  1. W innym oknie przeglądarki internetowej zaloguj się do aplikacji BeyondTrust Remote Support jako Administracja istrator.

  2. Przejdź do pozycji Użytkownicy i dostawcy zabezpieczeń>.

  3. Kliknij ikonę Edytuj w obszarze Dostawcy SAML.

    SAML Providers edit icon

  4. Rozwiń sekcję Dostawca usług Ustawienia.

  5. Kliknij pozycję Pobierz metadane dostawcy usług lub możesz skopiować wartości Identyfikator jednostki i adres URL usługi ACS i użyć tych wartości w sekcji Podstawowa konfiguracja protokołu SAML.

    Download Service Provider Metadata

  6. W sekcji Identity Provider Ustawienia kliknij pozycję Upload Identity Provider Metadata (Przekaż metadane dostawcy tożsamości) i znajdź pobrany plik XML metadanych.

  7. Identyfikator jednostki, adres URL usługi logowania jednokrotnego i certyfikat serwera zostaną automatycznie przekazane, a powiązanie protokołu SSO URL musi zostać zmienione na HTTP POST.

    Screenshot shows the Identity Provider Settings section where you perform these actions.

  8. Kliknij przycisk Zapisz.

Tworzenie użytkownika testowego aplikacji BeyondTrust Remote Support

W tej sekcji w aplikacji BeyondTrust Remote Support jest tworzony użytkownik o nazwie Britta Simon. Usługa BeyondTrust Remote Support obsługuje aprowizację użytkowników typu just in time, która jest domyślnie włączona. W tej sekcji nie musisz niczego robić. Jeśli użytkownik jeszcze nie istnieje w usłudze BeyondTrust Remote Support, zostanie utworzony po uwierzytelnieniu.

Postępuj zgodnie z poniższą procedurą, która jest obowiązkowa do konfigurowania zdalnej pomocy technicznej BeyondTrust.

W tym miejscu skonfigurujemy Ustawienia aprowizacji użytkowników. Wartości używane w tej sekcji zostaną przywołyne z sekcji Atrybuty użytkownika i oświadczenia . Skonfigurowaliśmy to jako wartości domyślne, które są już importowane w momencie tworzenia, jednak wartość można dostosować w razie potrzeby.

Screenshot shows the User Provision Settings where you can configure user values.

Uwaga

Grupy i atrybut poczty e-mail nie są niezbędne do tej implementacji. Jeśli przy użyciu grup Entra firmy Microsoft i przypisaniu ich do zasad grupy zdalnej pomocy technicznej BeyondTrust w celu uzyskania uprawnień, identyfikator obiektu grupy musi być przywołyny za pośrednictwem jej właściwości w witrynie Azure Portal i umieszczony w sekcji "Dostępne grupy". Po zakończeniu tego działania identyfikator obiektu/grupa usługi AD będzie teraz dostępna do przypisania do zasad grupy dla uprawnień.

Screenshot shows the I T section with Membership type, Source, Type, and Object I D.

Screenshot shows the Basic Settings page for a group policy.

Uwaga

Alternatywnie można ustawić domyślne zasady grupy dla dostawcy zabezpieczeń SAML2. Definiując tę opcję, przypisze to wszystkich użytkowników, którzy uwierzytelniają się za pośrednictwem protokołu SAML, uprawnienia określone w zasadach grupy. Zasady Ogólne elementy członkowskie są uwzględniane w ramach usługi BeyondTrust Remote Support/Privileged Remote Access z ograniczonymi uprawnieniami, które mogą służyć do testowania uwierzytelniania i przypisywania użytkowników do odpowiednich zasad. Użytkownicy nie będą wypełniać listy użytkowników SAML2 za pośrednictwem /login > Users & Security do momentu pierwszej pomyślnej próby uwierzytelnienia. Dodatkowe informacje na temat zasad grupy można znaleźć pod następującym linkiem: https://www.beyondtrust.com/docs/remote-support/getting-started/admin/group-policies.htm

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania usługi BeyondTrust Remote Support, pod którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania zdalnego pomocy technicznej BeyondTrust i zainicjuj przepływ logowania z tego miejsca.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka BeyondTrust Remote Support w Moje aplikacje nastąpi przekierowanie do adresu URL logowania usługi BeyondTrust Remote Support. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu zdalnej pomocy technicznej BeyondTrust można wymusić kontrole sesji, co chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrolki sesji rozszerzają dostęp warunkowy. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.