Udostępnij za pośrednictwem


Integracja logowania jednokrotnego firmy Microsoft Entra z łącznikiem SAML programu Maverics Orchestrator

Program Maverics Orchestrator firmy Strata umożliwia prostą integrację aplikacji lokalnych z identyfikatorem Entra firmy Microsoft na potrzeby uwierzytelniania i kontroli dostępu. Program Maverics Orchestrator umożliwia modernizację uwierzytelniania i autoryzacji dla aplikacji, które obecnie korzystają z nagłówków, plików cookie i innych zastrzeżonych metod uwierzytelniania. Wystąpienia programu Maverics Orchestrator można wdrażać lokalnie lub w chmurze.

W tym samouczku dotyczącym dostępu hybrydowego pokazano, jak migrować lokalną aplikację internetową, która jest obecnie chroniona przez starszy produkt do zarządzania dostępem do internetu w celu używania identyfikatora Entra firmy Microsoft do uwierzytelniania i kontroli dostępu. Poniżej przedstawiono podstawowe kroki:

  1. Konfigurowanie programu Maverics Orchestrator
  2. Tworzenie serwera proxy aplikacji
  3. Rejestrowanie aplikacji dla przedsiębiorstw w usłudze Microsoft Entra ID
  4. Uwierzytelnianie za pomocą identyfikatora Entra firmy Microsoft i autoryzowania dostępu do aplikacji
  5. Dodawanie nagłówków na potrzeby bezproblemowego dostępu do aplikacji
  6. Praca z wieloma aplikacjami

Wymagania wstępne

  • Subskrypcja identyfikatora Entra firmy Microsoft. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Konto platformy Programu Maverics Identity Orchestrator. Zarejestruj się w maverics.strata.io.
  • Co najmniej jedna aplikacja korzystająca z uwierzytelniania opartego na nagłówku. W naszych przykładach będziemy pracować z aplikacją o nazwie Sonar, która będzie osiągalna pod adresem https://localhost:8443.

Krok 1. Konfigurowanie programu Maverics Orchestrator

Po zarejestrowaniu się na koncie maverics w maverics.strata.io skorzystaj z naszego samouczka z centrum szkoleniowego zatytułowanego Wprowadzenie: środowisko ewaluacyjne. Ten samouczek przeprowadzi Cię przez szczegółowy proces tworzenia środowiska ewaluacyjnego, pobierania orkiestratora i instalowania orkiestratora na komputerze.

Krok 2. Rozszerzanie identyfikatora Entra firmy Microsoft na aplikację przy użyciu przepisu

Następnie użyj samouczka Centrum szkoleniowego, rozszerz identyfikator entra firmy Microsoft na starszą, nie standardową aplikację. Ten samouczek zawiera przepis .json, który automatycznie konfiguruje sieć szkieletową tożsamości, aplikację opartą na nagłówkach i częściowo kompletny przepływ użytkownika.

Krok 3. Rejestrowanie aplikacji dla przedsiębiorstw w usłudze Microsoft Entra ID

Teraz utworzymy nową aplikację dla przedsiębiorstw w usłudze Microsoft Entra ID, która jest używana do uwierzytelniania użytkowników końcowych.

Uwaga

W przypadku korzystania z funkcji identyfikatora Entra firmy Microsoft, takich jak dostęp warunkowy, ważne jest utworzenie aplikacji dla przedsiębiorstw dla aplikacji lokalnej. Pozwala to na dostęp warunkowy dla aplikacji, ocenę ryzyka dla aplikacji, uprawnienia przypisane przez aplikację itp. Ogólnie rzecz biorąc, aplikacja dla przedsiębiorstw w usłudze Microsoft Entra ID jest mapowana na łącznik platformy Azure w usłudze Maverics.

  1. W dzierżawie identyfikatora Entra firmy Microsoft przejdź do pozycji Aplikacje dla przedsiębiorstw, kliknij pozycję Nowa aplikacja i wyszukaj łącznik SAML programu Maverics Identity Orchestrator w galerii identyfikatorów Entra firmy Microsoft, a następnie wybierz go.

  2. W okienku Właściwości łącznika SAML programu Maverics Identity Orchestrator ustaw ustawienie Wymagane przypisanie użytkownika? na wartość Nie, aby umożliwić aplikacji pracę dla wszystkich użytkowników w katalogu.

  3. W okienku Omówienie łącznika SAML programu Maverics Identity Orchestrator wybierz pozycję Skonfiguruj logowanie jednokrotne, a następnie wybierz pozycję SAML.

  4. W okienku logowania opartego na protokole SAML łącznika SAML programu Maverics Identity Orchestrator edytuj podstawową konfigurację PROTOKOŁU SAML, wybierając przycisk Edytuj (ikona ołówka).

    Zrzut ekranu przedstawiający przycisk Edytuj

  5. Wprowadź identyfikator jednostki: https://sonar.maverics.com. Identyfikator jednostki musi być unikatowy w aplikacjach w dzierżawie i może być dowolną wartością. Ta wartość jest używana podczas definiowania samlEntityID pola dla naszego łącznika platformy Azure w następnej sekcji.

  6. Wprowadź adres URL odpowiedzi: https://sonar.maverics.com/acs. Ta wartość jest używana podczas definiowania samlConsumerServiceURL pola dla naszego łącznika platformy Azure w następnej sekcji.

  7. Wprowadź adres URL logowania: https://sonar.maverics.com/. To pole nie będzie używane przez program Maverics, ale jest wymagane w identyfikatorze Entra firmy Microsoft, aby umożliwić użytkownikom uzyskiwanie dostępu do aplikacji za pośrednictwem portalu microsoft Entra ID Moje aplikacje.

  8. Wybierz pozycję Zapisz.

  9. W sekcji Certyfikat podpisywania SAML wybierz przycisk Kopiuj, aby skopiować adres URL metadanych federacji aplikacji, a następnie zapisz go na komputerze.

    Zrzut ekranu przedstawiający przycisk Kopiowania

Krok 4. Uwierzytelnianie za pośrednictwem identyfikatora Entra firmy Microsoft i autoryzowania dostępu do aplikacji

Kontynuuj pracę z krokiem 4 tematu Centrum szkoleniowego, rozszerzanie identyfikatora firmy Microsoft na starszą, standardową aplikację w celu edytowania przepływu użytkownika w usłudze Maverics. Te kroki przeprowadzą Cię przez proces dodawania nagłówków do aplikacji nadrzędnej i wdrażania przepływu użytkownika.

Po wdrożeniu przepływu użytkownika w celu potwierdzenia, że uwierzytelnianie działa zgodnie z oczekiwaniami, prześlij żądanie do zasobu aplikacji za pośrednictwem serwera proxy usługi Maverics. Chroniona aplikacja powinna teraz odbierać nagłówki w żądaniu.

Możesz edytować klucze nagłówków, jeśli aplikacja oczekuje różnych nagłówków. Wszystkie oświadczenia, które pochodzą z identyfikatora Entra firmy Microsoft w ramach przepływu SAML, są dostępne do użycia w nagłówkach. Na przykład możemy dołączyć inny nagłówek , secondary_email: azureSonarApp.emailgdzie azureSonarApp jest nazwą łącznika i email jest oświadczeniem zwróconym z identyfikatora Entra firmy Microsoft.

Scenariusze zaawansowane

Migracja tożsamości

Nie można wytrzymać narzędzia do zarządzania dostępem do internetu, ale nie ma możliwości migrowania użytkowników bez masowych resetowania haseł? Program Maverics Orchestrator obsługuje migrację tożsamości przy użyciu polecenia migrationgateways.

Moduły serwera sieci Web

Nie chcesz przerobić ruchu sieciowego i serwera proxy za pośrednictwem programu Maverics Orchestrator? Nie jest to problem, program Maverics Orchestrator może być sparowany z modułami serwera internetowego, aby oferować te same rozwiązania bez użycia serwera proxy.

Zawijanie

Na tym etapie zainstalowano program Maverics Orchestrator, utworzono i skonfigurowano aplikację dla przedsiębiorstw w usłudze Microsoft Entra ID, a program Orchestrator skonfigurował serwer proxy do chronionej aplikacji, jednocześnie wymagając uwierzytelniania i wymuszania zasad. Aby dowiedzieć się więcej na temat sposobu używania programu Maverics Orchestrator w przypadku przypadków użycia rozproszonego zarządzania tożsamościami, skontaktuj się z stratą.