Integracja logowania jednokrotnego (SSO) z Microsoft Entra z aplikacją Kumolus

Z tego artykułu dowiesz się, jak zintegrować aplikację Kumolus z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu rozwiązania Kumolus z usługą Microsoft Entra ID można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do usługi Kumolus.
• Zezwalaj swoim użytkownikom na automatyczne logowanie do usługi Kumolus przy użyciu kont Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.

Warunki wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

• Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz Utworzyć konto bezpłatnie.
• Jedna z następujących ról:
  • administrator aplikacji
  • Administrator aplikacji w chmurze
  • właściciel aplikacji.

• Subskrypcja aplikacji Kumolus z obsługą logowania jednokrotnego.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

• Usługa Kumolus obsługuje logowanie jednokrotne inicjowane przez dostawcę usług i dostawcę tożsamości
• Usługa Kumolus obsługuje aprowizowanie użytkowników just in time

Dodawanie aplikacji Kumolus z galerii

Aby skonfigurować integrację aplikacji Kumolus z identyfikatorem Entra firmy Microsoft, należy dodać aplikację Kumolus z galerii do swojej listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej Administrator aplikacji w chmurze.
2. Przejdź do aplikacji Identity>Applications>Dla przedsiębiorstw>Nowa aplikacja.
3. W sekcji Dodaj z galerii wpisz Kumolus w polu wyszukiwania.
4. Wybierz Kumolus z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund, zanim aplikacja zostanie dodana do Twojej dzierżawy.

Alternatywnie możesz również użyć Kreatora konfiguracji aplikacji Enterprise. W tym kreatorze możesz dodać aplikację do twojej dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role oraz przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego (SSO) Microsoft Entra dla aplikacji Kumolus

Skonfiguruj i przetestuj autoryzację jednokrotnego logowania Microsoft Entra w usłudze Kumolus przy użyciu użytkownika testowego o nazwie B.Simon. Aby SSO działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem w Kumolus.

Aby skonfigurować i przetestować Microsoft Entra SSO z aplikacją Kumolus, wykonaj następujące kroki:

1. Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
   1. Utwórz testowego użytkownika Microsoft Entra — aby przetestować logowanie jednokrotne Microsoft Entra z użytkownikiem B.Simon.
   2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z logowania jednokrotnego Microsoft Entra.
2. Skonfiguruj jednokrotne logowanie Kumolus — aby ustawić funkcję logowania jednokrotnego po stronie aplikacji.
   1. Utwórz użytkownika testowego Kumolus — aby mieć w aplikacji Kumolus odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
3. test SSO — aby zweryfikować, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego Microsoft Entra

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne Microsoft Entra (SSO).

1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej Administrator aplikacji w chmurze.

2. Przejdź do Identity>aplikacje przedsiębiorstw>Kumolus>jednokrotne logowanie>.

3. Na stronie Wybierz metodę logowania jednokrotnego wybierz SAML.

4. Na stronie Konfigurowanie logowania jednokrotnego z SAML, kliknij ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

   

5. W sekcji Podstawowa konfiguracja SAML, jeśli chcesz skonfigurować aplikację w trybie inicjowanym przez IDP, wprowadź wartości dla następujących pól:

   a. W polu tekstowym Identyfikator , wpisz adres URL, korzystając z następującego wzorca: https://<SUBDOMAIN>.kumolus.net/sso/metadata

   b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<SUBDOMAIN>.kumolus.net/sso/acs

6. Kliknij Konfiguruj dodatkowe adresy URL i wykonaj następujący krok, jeśli chcesz skonfigurować aplikację w trybie inicjowanym SP :

   W polu tekstowym adresu URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<SUBDOMAIN>.kumolus.net/

   Notatka

   Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Aby uzyskać te wartości, skontaktuj się z zespołem pomocy technicznej klienta usługi Kumolus . Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

7. Aplikacja Kumolus oczekuje asercji SAML w określonym formacie, co wymaga dodania niestandardowych mapowań atrybutów do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych.

   

8. Oprócz powyższych aplikacja Kumolus oczekuje, że kilka atrybutów zostanie przekazanych z powrotem w odpowiedzi SAML, które są pokazane poniżej. Te atrybuty są również wstępnie wypełnione, ale można je przejrzeć według własnych potrzeb.

   Nazwa	Atrybut źródłowy
   Adres e-mail	użytkownik.poczta
   rola	user.assignedroles

   Notatka

   Kumolus oczekuje ról dla użytkowników przypisanych do aplikacji. Skonfiguruj te role w identyfikatorze Entra firmy Microsoft, aby umożliwić użytkownikom przypisanie odpowiednich ról. Aby dowiedzieć się, jak skonfigurować role w identyfikatorze Entra firmy Microsoft, zobacz tutaj.

9. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu SAML w sekcji certyfikatu podpisywania SAML znajdź xml metadanych federacji i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

   

10. W sekcji Konfigurowanie Kumolus skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Skopiuj adresy URL konfiguracji

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Użytkowników.
2. Przejdź do Identity>Users>Wszyscy użytkownicy.
3. Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownikaw górnej części ekranu.
4. W ustawieniach User wykonaj następujące kroki:
   1. W polu nazwa wyświetlana wprowadź B.Simon.
   2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extension. Na przykład B.Simon@contoso.com.
   3. Zaznacz pole wyboru Pokaż hasło, a następnie zapisz wartość wyświetlaną w polu Hasło.
   4. Wybierz pozycję Recenzuj i utwórz.
5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji Kumolus.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
2. Przejdź do witryny Identity>Applications>Enterprise applications>Kumolus.
3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.
4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania.
5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
6. Jeśli masz skonfigurowane role zgodnie z opisem w powyższym artykule, możesz wybrać ją z listy rozwijanej Wybierz rolę.
7. W oknie dialogowym Dodaj przypisanie kliknij przycisk Przypisz.

Konfigurowanie jednokrotnego logowania Kumolus

Aby skonfigurować logowanie jednokrotne po stronie kumolus, należy wysłać pobrany plik XML metadanych federacji i odpowiednie adresy URL skopiowane z konfiguracji aplikacji do zespołu pomocy technicznej usługi Kumolus. Aby prawidłowo skonfigurować połączenie SAML SSO po obu stronach, dokonują odpowiednich ustawień.

Tworzenie użytkownika testowego aplikacji Kumolus

W tej sekcji w usłudze Kumolus jest tworzony użytkownik o nazwie B.Simon. Usługa Kumolus obsługuje dostarczanie dokładnie na czas (just-in-time), które jest domyślnie włączone. W tej sekcji nie ma dla Ciebie żadnych zadań do wykonania. Jeśli użytkownik jeszcze nie istnieje w usłudze Kumolus, zostanie utworzony podczas próby uzyskania dostępu do usługi Kumolus.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego Microsoft Entra przy użyciu następujących opcji.

Zainicjowane przez SP:

• Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania Kumolus, pod którym można zainicjować przepływ logowania.

• Przejdź bezpośrednio do adresu URL logowania do Kumolus i zainicjuj przepływ logowania stamtąd.

Zainicjowane przez IDP

• Kliknij Przetestuj tę aplikację, a powinno nastąpić automatyczne zalogowanie do Kumolus, dla którego skonfigurowano SSO.

Możesz również przetestować aplikację w dowolnym trybie za pomocą panelu dostępu firmy Microsoft. Po kliknięciu kafelka Kumolus w panelu dostępu, jeśli jest skonfigurowany w trybie SP, nastąpi przekierowanie na stronę logowania do aplikacji, aby rozpocząć proces logowania. Natomiast, jeśli jest skonfigurowany w trybie IDP, powinno nastąpić automatyczne zalogowanie do aplikacji Kumolus, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat panelu dostępu, zobacz Wprowadzenie do panelu dostępu.

Powiązana zawartość

Po skonfigurowaniu narzędzia Kumolus można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.