Partilhar via

Tutorial: Configurar o acesso híbrido seguro com o Microsoft Entra ID e Datawiza

  • Artigo

Neste tutorial, saiba como integrar o Microsoft Entra ID com o Datawiza para acesso híbrido. O Datawiza Access Proxy (DAP) estende o Microsoft Entra ID para habilitar o logon único (SSO) e fornecer controles de acesso para proteger aplicativos locais e hospedados na nuvem, como Oracle E-Business Suite, Microsoft IIS e SAP. Com essa solução, as empresas podem fazer a transição de WAMs (gerenciadores de acesso à Web) herdados, como Symantec SiteMinder, NetIQ, Oracle e IBM, para o Microsoft Entra ID sem reescrever aplicativos. As empresas podem usar o Datawiza como uma solução no-code, ou low-code, para integrar novos aplicativos ao Microsoft Entra ID. Essa abordagem permite que as empresas implementem sua estratégia Zero Trust, economizando tempo de engenharia e reduzindo custos.

Saiba mais: Segurança Zero Trust

Datawiza com arquitetura de autenticação Microsoft Entra

A integração Datawiza inclui os seguintes componentes:

  • Microsoft Entra ID - Serviço de gerenciamento de identidade e acesso que ajuda os usuários a entrar e acessar recursos externos e internos
  • Datawiza Access Proxy (DAP) - Este serviço passa informações de identidade de forma transparente para aplicativos através de cabeçalhos HTTP
  • Datawiza Cloud Management Console (DCMC) - APIs UI e RESTful para administradores gerenciarem a configuração do DAP e as políticas de controle de acesso

O diagrama a seguir ilustra a arquitetura de autenticação com Datawiza em um ambiente híbrido.

Diagrama de arquitetura do processo de autenticação para acesso do usuário a um aplicativo local.

  1. O usuário solicita acesso ao aplicativo local ou hospedado na nuvem. O DAP faz o proxy da solicitação para o aplicativo.
  2. O DAP verifica o estado de autenticação do usuário. Se não houver nenhum token de sessão ou se o token de sessão for inválido, o DAP enviará a solicitação do usuário para o Microsoft Entra ID para autenticação.
  3. O Microsoft Entra ID envia a solicitação do usuário para o ponto de extremidade especificado durante o registro do DAP no locatário do Microsoft Entra.
  4. O DAP avalia políticas e valores de atributos a serem incluídos em cabeçalhos HTTP encaminhados para o aplicativo. O DAP pode chamar o provedor de identidade para recuperar as informações e definir os valores de cabeçalho corretamente. O DAP define os valores de cabeçalho e envia a solicitação para o aplicativo.
  5. O usuário é autenticado e recebe acesso.

Pré-requisitos

Para começar, precisa do seguinte:

  • Uma assinatura do Azure
  • Um locatário do Microsoft Entra vinculado à assinatura do Azure
  • Docker e docker-compose são necessários para executar o DAP
    • Seus aplicativos podem ser executados em plataformas, como uma máquina virtual (VM) ou bare metal
  • Um aplicativo local ou hospedado na nuvem para fazer a transição de um sistema de identidade herdado para o Microsoft Entra ID
    • Neste exemplo, o DAP é implantado no mesmo servidor que o aplicativo
    • O aplicativo é executado em localhost: 3001. DAP proxies tráfego para o aplicativo via localhost: 9772
    • O tráfego para o aplicativo atinge o DAP e é intermediado por proxy para o aplicativo

Configurar o Datawiza Cloud Management Console

  1. Faça login no Datawiza Cloud Management Console (DCMC).

  2. Crie um aplicativo no DCMC e gere um par de chaves para o aplicativo: PROVISIONING_KEY e PROVISIONING_SECRET.

  3. Para criar o aplicativo e gerar o par de chaves, siga as instruções no Datawiza Cloud Management Console.

  4. Registe a sua aplicação no Microsoft Entra ID com integração com um clique com o Microsoft Entra ID.

    Captura de tela do recurso Gerador Automático na caixa de diálogo Configurar IdP.

  5. Para usar um aplicativo Web, preencha manualmente os campos de formulário: ID do Locatário, ID do Cliente e Segredo do Cliente.

    Saiba mais: Para criar um aplicativo Web e obter valores, vá para docs.datawiza.com para obter a documentação do Microsoft Entra ID .

    Captura de ecrã da caixa de diálogo Configurar IdP com o Gerador Automático desligado.

  6. Execute o DAP usando o Docker ou o Kubernetes. A imagem docker é necessária para criar um aplicativo baseado em cabeçalho de exemplo.

services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
   - "9772:9772"
   environment:
   PROVISIONING_KEY: #############################################
   PROVISIONING_SECRET: ##############################################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   restart: always
ports:
- "3001:3001"
  1. Entre no registro de contêiner.
  2. Baixe as imagens DAP e o aplicativo baseado em cabeçalho nesta etapa importante.
  3. Execute o seguinte comando docker-compose -f docker-compose.yml up.
  4. O aplicativo baseado em cabeçalho tem o SSO habilitado com o Microsoft Entra ID.
  5. Em um navegador, vá para http://localhost:9772/.
  6. É apresentada uma página de início de sessão do Microsoft Entra.
  7. Passe atributos de usuário para o aplicativo baseado em cabeçalho. O DAP obtém atributos de usuário do Microsoft Entra ID e passa atributos para o aplicativo por meio de um cabeçalho ou cookie.
  8. Para passar atributos de usuário, como endereço de email, nome e sobrenome, para o aplicativo baseado em cabeçalho, consulte Passar atributos de usuário.
  9. Para confirmar os atributos de usuário configurados, observe uma marca de seleção verde ao lado de cada atributo.

Captura de tela da página inicial com atributos de host, e-mail, nome e sobrenome.

Testar o fluxo

  1. Vá para o URL do aplicativo.
  2. O DAP redireciona você para a página de entrada do Microsoft Entra.
  3. Após a autenticação, você será redirecionado para o DAP.
  4. O DAP avalia políticas, calcula cabeçalhos e envia você para o aplicativo.
  5. O aplicativo solicitado é exibido.

Próximos passos