Partilhar via


Integre o logon único do Microsoft Entra com o conector SAML do Maverics Orchestrator

O Maverics Orchestrator da Strata fornece uma maneira simples de integrar aplicativos locais com o Microsoft Entra ID para autenticação e controle de acesso. O Maverics Orchestrator é capaz de modernizar a autenticação e a autorização para aplicativos que atualmente dependem de cabeçalhos, cookies e outros métodos de autenticação proprietários. As instâncias do Maverics Orchestrator podem ser implantadas no local ou na nuvem.

Este tutorial de acesso híbrido demonstra como migrar um aplicativo Web local atualmente protegido por um produto herdado de gerenciamento de acesso à Web para usar o Microsoft Entra ID para autenticação e controle de acesso. Aqui estão os passos básicos:

  1. Criação do Maverics Orchestrator
  2. Proxy de um aplicativo
  3. Registrando um aplicativo corporativo no Microsoft Entra ID
  4. Autenticação via Microsoft Entra ID e autorização de acesso ao aplicativo
  5. Adicionando cabeçalhos para acesso contínuo ao aplicativo
  6. Trabalhando com vários aplicativos

Pré-requisitos

  • Uma assinatura do Microsoft Entra ID. Se não tiver uma subscrição, pode obter uma conta gratuita.
  • Uma conta da plataforma Maverics Identity Orchestrator. Inscreva-se em maverics.strata.io.
  • Pelo menos um aplicativo que usa autenticação baseada em cabeçalho. Em nossos exemplos, trabalharemos contra um aplicativo chamado Sonar que poderá ser acessado em https://localhost:8443.

Etapa 1: Configurando o Maverics Orchestrator

Depois de se inscrever para uma conta Maverics na maverics.strata.io, use nosso tutorial do Centro de Aprendizagem intitulado Introdução: Ambiente de Avaliação. Este tutorial leva você através do processo passo a passo de criar um ambiente de avaliação, baixar um orquestrador e instalar o orquestrador em sua máquina.

Etapa 2: Estendendo o Microsoft Entra ID para um aplicativo com uma receita

Em seguida, use o tutorial do Centro de Aprendizagem, Estender a ID do Microsoft Entra para um aplicativo legado, não padrão. Este tutorial fornece uma receita de .json que configura automaticamente uma malha de identidade, um aplicativo baseado em cabeçalho e um fluxo de usuário parcialmente completo.

Etapa 3: Registrando um aplicativo corporativo no Microsoft Entra ID

Agora vamos criar um novo aplicativo corporativo no Microsoft Entra ID que é usado para autenticar usuários finais.

Nota

Ao aproveitar os recursos do Microsoft Entra ID, como o Acesso Condicional, é importante criar um aplicativo corporativo por aplicativo local. Isso permite acesso condicional por aplicativo, avaliação de risco por aplicativo, permissões atribuídas por aplicativo, etc. Geralmente, um aplicativo corporativo no Microsoft Entra ID mapeia para um conector do Azure no Maverics.

  1. No locatário do Microsoft Entra ID, vá para Aplicativos corporativos, clique em Novo Aplicativo e procure Maverics Identity Orchestrator SAML Connector na galeria de ID do Microsoft Entra e selecione-o.

  2. No painel Propriedades do conector SAML do Maverics Identity Orchestrator, defina Atribuição de usuário necessária? como Não para permitir que o aplicativo funcione para todos os usuários em seu diretório.

  3. No painel Visão geral do conector SAML do Maverics Identity Orchestrator, selecione Configurar logon único e, em seguida, selecione SAML.

  4. No painel de logon baseado em SAML do Maverics Identity Orchestrator SAML Connector, edite a Configuração Básica do SAML selecionando o botão Editar (ícone de lápis).

    Captura de ecrã do botão Editar

  5. Insira um ID de entidade de: https://sonar.maverics.com. O ID da entidade deve ser exclusivo entre os aplicativos no locatário e pode ser um valor arbitrário. Usamos esse valor ao definir o samlEntityID campo para nosso conector do Azure na próxima seção.

  6. Insira um URL de resposta de: https://sonar.maverics.com/acs. Usamos esse valor ao definir o samlConsumerServiceURL campo para nosso conector do Azure na próxima seção.

  7. Introduza um URL de início de sessão de: https://sonar.maverics.com/. Este campo não será usado pelo Maverics, mas é necessário no Microsoft Entra ID para permitir que os usuários tenham acesso ao aplicativo por meio do portal Meus Aplicativos do Microsoft Entra ID.

  8. Selecione Guardar.

  9. Na seção Certificado de Assinatura SAML, selecione o botão Copiar para copiar a URL de Metadados de Federação de Aplicativos e salve-a em seu computador.

    Captura de ecrã do botão Copiar

Etapa 4: Autenticar via ID do Microsoft Entra e autorizar o acesso ao aplicativo

Continue com a etapa 4 do tópico do Centro de Aprendizagem, Estender a ID do Microsoft Entra para um aplicativo legado e não padrão para editar seu fluxo de usuário no Maverics. Estas etapas orientam você pelo processo de adição de cabeçalhos ao aplicativo upstream e implantação do fluxo de usuário.

Depois de implantar o fluxo de usuário, para confirmar se a autenticação está funcionando conforme o esperado, faça uma solicitação a um recurso de aplicativo por meio do proxy Mavéricos. O aplicativo protegido agora deve estar recebendo cabeçalhos na solicitação.

Sinta-se à vontade para editar as teclas de cabeçalho se o seu aplicativo espera cabeçalhos diferentes. Todas as declarações que retornam do Microsoft Entra ID como parte do fluxo SAML estão disponíveis para uso em cabeçalhos. Por exemplo, podemos incluir outro cabeçalho de , onde azureSonarApp é o nome do conector e email é uma declaração retornada secondary_email: azureSonarApp.emaildo ID do Microsoft Entra.

Cenários Avançados

Migração de identidade

Não suporta sua ferramenta de gerenciamento de acesso à Web em fim de vida, mas não tem uma maneira de migrar seus usuários sem redefinições de senha em massa? O Maverics Orchestrator oferece suporte à migração de identidade usando migrationgatewayso .

Módulos de servidor Web

Não quer retrabalhar sua rede e tráfego de proxy através do Maverics Orchestrator? Não é um problema, o Maverics Orchestrator pode ser emparelhado com módulos de servidor web para oferecer as mesmas soluções sem proxy.

Conclusão

Neste ponto, instalamos o Maverics Orchestrator, criamos e configuramos um aplicativo corporativo no Microsoft Entra ID e configuramos o Orchestrator para proxy para um aplicativo protegido, exigindo autenticação e aplicando a política. Para saber mais sobre como o Maverics Orchestrator pode ser usado para casos de uso de gerenciamento de identidade distribuído, entre em contato com a Strata.