Udostępnij za pośrednictwem

Integracja Microsoft Entra SSO z aplikacją PolicyStat

  • Artykuł

Z tego artykułu dowiesz się, jak zintegrować element PolicyStat z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu elementu PolicyStat z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj, kto ma dostęp do PolicyStat w usłudze Microsoft Entra ID.
  • Zezwól swoim użytkownikom na automatyczne logowanie się do PolicyStat za pomocą kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Warunki wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Subskrypcja aplikacji PolicyStat z obsługą logowania jednokrotnego.

Notatka

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

  • Usługa PolicyStat obsługuje funkcję logowania jednokrotnego inicjowaną przez SP.

  • Funkcja PolicyStat obsługuje aprowizowanie użytkowników just in time.

Aby skonfigurować integrację elementu PolicyStat z identyfikatorem Entra firmy Microsoft, należy dodać element PolicyStat z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
  2. Przejdź do Identity>Aplikacje>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodaj z galerii wpisz PolicyStat w polu wyszukiwania.
  4. Wybierz pozycję PolicyStat z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, w trakcie gdy aplikacja jest dodawana do Twojej dzierżawy.

Alternatywnie możesz również użyć Kreatora konfiguracji aplikacji korporacyjnych . W tym kreatorze możesz dodać aplikację do swojej dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację SSO. Dowiedz się więcej o asystentach Microsoft 365.

Konfigurowanie i testowanie jednokrotnego logowania Microsoft Entra dla PolicyStat

Skonfiguruj i przetestuj Microsoft Entra SSO z usługą PolicyStat przy użyciu użytkownika testowego o nazwie B.Simon. Aby jednokrotne logowanie działało, należy ustanowić połączenie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem w usługach PolicyStat.

Aby skonfigurować i przetestować Microsoft Entra SSO z PolicyStat, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
    2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby umożliwić aplikacji B.Simon korzystanie z logowania jednokrotnego firmy Microsoft Entra.
  2. Skonfiguruj logowanie jednokrotne PolicyStat SSO — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Utwórz testowego użytkownika PolicyStat — aby mieć w PolicyStat odpowiednik użytkownika B.Simon, który jest połączony z reprezentacją użytkownika w Microsoft Entra.
  3. test SSO — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie Microsoft Entra Single Sign-On

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne Microsoft Entra.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.

  2. Przejdź do Identity>Aplikacje>Aplikacje dla przedsiębiorstw>PolicyStat>logowanie jednokrotne.

  3. Na stronie Wybierz metodę jednokrotnego logowania wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego z SAML, kliknij ikonę ołówka obok Podstawowa konfiguracja SAML, aby edytować ustawienia.

    edytowanie podstawowej konfiguracji protokołu SAML

  5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    1. W polu tekstowym Identyfikator (ID jednostki) wpisz adres URL, korzystając z następującego wzorca: https://<companyname>.policystat.com/saml2/metadata/

    2. W polu adres logowania wpisz adres URL, korzystając z następującego wzorca: https://<companyname>.policystat.com

      Notatka

      Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora i adresu URL logowania. Aby uzyskać te wartości, skontaktuj się z zespołem pomocy technicznej klienta PolicyStat. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Na stronie Konfigurowanie pojedynczego Sign-On przy użyciu SAML, w sekcji Certyfikat podpisywania SAML, kliknij Pobierz, aby pobrać plik Metadata XML federacji z dostępnych opcji zgodnie ze swoimi potrzebami i zapisz go na komputerze.

    link pobierania certyfikatu

  7. Aplikacja PolicyStat oczekuje asercji SAML w określonym formacie, co wymaga dodania niestandardowych mapowań atrybutów do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych. Kliknij ikonę Edytuj, aby otworzyć okno dialogowe Atrybuty użytkownika.

    Zrzut ekranu przedstawiający okno dialogowe

  8. Oprócz powyższych, aplikacja PolicyStat oczekuje przekazania kilku dodatkowych atrybutów z powrotem w odpowiedzi SAML. W sekcji User Claims w oknie dialogowym Atrybuty użytkownika wykonaj następujące kroki, aby dodać atrybut tokenu SAML, jak pokazano w poniższej tabeli:

    Nazwa Atrybut źródłowy
    UID WyodrębnijPrefiksMaila([mail])

    1. Kliknij przycisk Dodaj nowe oświadczenie, aby otworzyć okno dialogowe Zarządzanie oświadczeniami użytkowników.

      Zrzut ekranu przedstawiający sekcję

      Zrzut ekranu pokazujący okno dialogowe

    2. W polu tekstowym Nazwa wpisz nazwę atrybutu wyświetlaną w tym wierszu.

    3. Pozostaw przestrzeń nazw pustą.

    4. Wybierz Źródło jako Transformation.

    5. Z listy Transformation wpisz wartość atrybutu wyświetlaną dla tego wiersza.

    6. Z listy Parametr 1 wpisz wartość atrybutu wyświetlaną dla tego wiersza.

    7. Wybierz pozycję Zapisz.

  9. W sekcji Konfigurowanie PolicyStat skopiuj odpowiednie adresy URL zgodnie z potrzebami.

    Kopiuj adresy URL konfiguracji

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator użytkownika.
  2. Przejdź do Identity>Users>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownikaw górnej części ekranu.
  4. W właściwościach User wykonaj następujące czynności:
    1. W polu nazwa wyświetlana wprowadź B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extension. Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło, a następnie zapisz wartość wyświetlaną w polu Hasło.
    4. Wybierz Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz dla użytkownika B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji PolicyStat.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
  2. Przejdź do Identity>Applications>Enterprise applications>PolicyStat.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy .
  4. Wybierz Dodaj użytkownika/grupy, a następnie wybierz Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania.
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę. Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie SSO PolicyStat

  1. W innym oknie przeglądarki internetowej zaloguj się do firmowej witryny PolicyStat jako administrator.

  2. Kliknij kartę Administrator, a następnie kliknij Pojedyncza Sign-On konfiguracja w okienku nawigacji po lewej stronie.

    Menu Administratora

  3. Kliknij Twoje metadane dostawcy tożsamości, a następnie w sekcji Twoje metadane dostawcy tożsamości wykonaj następujące kroki:

    Zrzut ekranu pokazujący wybraną akcję

    1. Otwórz pobrany plik metadanych, skopiuj jego zawartość, a następnie wklej ją do pola tekstowego Metadane dostawcy tożsamości.

    2. Wybierz pozycję Zapisz zmiany.

  4. Kliknij Skonfiguruj atrybuty, a następnie w sekcji Konfigurowanie atrybutów wykonaj następujące kroki, korzystając z NAZWY OŚWIADCZEŃ znalezionych w konfiguracji platformy Azure.

    1. W polu tekstowym Atrybut nazwy użytkownika wpisz wartość roszczenia nazwy użytkownika, którą przekazujesz jako kluczowy atrybut nazwy użytkownika. Wartość domyślna na platformie Azure to UPN, ale jeśli masz już konta w PolicyStat, musisz dopasować te nazwy użytkownika, aby uniknąć duplikatów kont lub zaktualizować istniejące konta w PolicyStat do wartości UPN. Aby zbiorczo zaktualizować istniejące nazwy użytkowników, skontaktuj się z pomocą techniczną RLDatix PolicyStat https://websupport.rldatix.com/support-form/. Domyślna wartość do wprowadzenia, aby przekazać UPN http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    2. W polu tekstowym First Name Attribute wpisz nazwę roszczenia Atrybutu Imienia pochodzące z usługi Azure http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

    3. W polu tekstowym atrybucie Nazwisko wpisz nazwę roszczenia o atrybut Nazwisko z Azure http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname.

    4. W polu tekstowym atrybutu poczty e-mail wpisz nazwę atrybutu e-mail z usługi Azure http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    5. Kliknij zapisz zmiany.

  5. W sekcji Konfiguracja wybierz pozycję Włącz integrację logowania jednokrotnego.

    konfiguracja Sign-On

Tworzenie użytkownika testowego policyStat

W tej sekcji w aplikacji PolicyStat jest tworzony użytkownik o nazwie Britta Simon. Funkcja PolicyStat obsługuje aprowizację użytkowników typu just in time, która jest domyślnie włączona. W tej sekcji nie ma żadnego zadania do wykonania. Jeśli użytkownik jeszcze nie istnieje w obszarze PolicyStat, zostanie utworzony po uwierzytelnieniu.

Notatka

Aby zakładać konta użytkowników Microsoft Entra, możesz użyć dowolnych innych narzędzi do tworzenia kont użytkowników PolicyStat lub interfejsów API udostępnianych przez PolicyStat.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację jednokrotnego logowania w Microsoft Entra z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację, co spowoduje przekierowanie do adresu URL logowania PolicyStat, gdzie można zainicjować proces logowania.

  • Przejdź bezpośrednio do adresu URL PolicyStat i tam zainicjuj proces logowania.

  • Możesz użyć usługi Microsoft My Apps. Po kliknięciu kafelka PolicyStat w obszarze Moje aplikacje nastąpi przekierowanie do adresu URL logowania PolicyStat. Aby uzyskać więcej informacji, zobacz Microsoft Entra My Apps.

Powiązana zawartość

Po skonfigurowaniu PolicyStat można wymusić kontrolę sesji, która w czasie rzeczywistym chroni przed wyciekiem i nieautoryzowanym dostępem do poufnych danych organizacji. Kontrola sesji rozszerza się od dostępu warunkowego. dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Cloud App Security.