Поделиться через


Руководство по настройке Azure Active Directory B2C с Datawiza для обеспечения безопасного гибридного доступа

В этом руководстве описано, как интегрировать Azure Active Directory B2C (Azure AD B2C) с Datawiza Access Proxy (DAP), который обеспечивает единый вход (SSO) и детализированное управление доступом, помогая Azure AD B2C защищать локальные приложения прежних версий. С помощью этого решения предприятия могут переходить от устаревшей версии к Azure AD B2C без перезаписи приложений.

Предварительные требования

Чтобы приступить к работе, вам потребуется:

  • Подписка Microsoft Entra
  • Клиент Azure AD B2C, связанный с вашей подпиской Azure.
  • Docker, открытая платформа для разработки, доставки и запуска приложений, необходима для запуска DAB.
    • Приложения могут выполняться на таких платформах, как виртуальная машина и без операционной системы.
  • Локальное приложение для перехода с устаревшей системы удостоверений на Azure AD B2C
    • В этом руководстве DAB развертывается на том же сервере, что и приложение.
    • Приложение выполняется на localhost: 3001 и DAP прокси-серверы в приложения через localhost: 9772
    • Трафик приложения сначала достигает DAB, а затем передается через приложение.

Описание сценария

Интеграция с Datawiza включает в себя следующие компоненты:

  • Azure AD B2C: сервер авторизации для проверки учетных данных пользователя
    • Пользователи, прошедшие проверку подлинности, получают доступ к локальным приложениям с помощью локальной учетной записи, хранящейся в каталоге Azure AD B2C
  • Datawiza Access Proxy (DAP): служба, которая передает удостоверения приложениям через http-заголовки.
  • Datawiza Cloud Management Console (DCMC): консоль управления для DAB. Пользовательский интерфейс DCMC и API RESTful помогают управлять конфигурациями DAB и политиками управления доступом.

Принцип работы системы показан на схеме архитектуры ниже.

Схема архитектуры Azure AD интеграции B2C с Datawiza для безопасного доступа к гибридным приложениям.

  1. Пользователь запрашивает доступ к локальному приложению. DAB выполняет запрос к приложению.
  2. DAP проверяет состояние проверки подлинности пользователя. Без маркера сеанса или недопустимого маркера пользователь переходит к Azure AD B2C для проверки подлинности.
  3. Azure AD B2C отправляет запрос пользователя в конечную точку, указанную во время регистрации DAP в клиенте Azure AD B2C.
  4. DAP оценивает политики доступа и вычисляет значения атрибутов в http-заголовках, пересылаемых в приложение. DAP может вызвать поставщика удостоверений (IdP) для получения сведений для задания значений заголовка. DAP задает значения заголовка и отправляет запрос приложению.
  5. Пользователь проходит проверку подлинности с доступом к приложению.

Подключение с помощью DAB

Чтобы интегрировать традиционное локальное приложение с Azure AD B2C, обратитесь в компанию Datawiza.

Подготовка клиента Azure AD B2C

Перейдите к docs.datawiza.com, чтобы:

  1. Узнайте, как зарегистрировать веб-приложение в клиенте Azure AD B2C и настроить поток пользователя для регистрации и входа. Дополнительные сведения см. в разделе Azure AD B2C.

  2. Настройте поток пользователя в портал Azure.

Примечание

При настройке DAB в DCM вам потребуется имя клиента, имя потока пользователя, идентификатор клиента и секрет клиента.

Создание приложения в DCMC

  1. В DCMC создайте приложение и создайте пару ключей PROVISIONING_KEY и PROVISIONING_SECRET для этого приложения. См. раздел Datawiza Cloud Management Console.

  2. Настройте поставщика удостоверений с помощью Azure AD B2C. См. часть I. Azure AD конфигурации B2C.

    Снимок экрана: значения конфигурации поставщика удостоверений.

Запуск DAB с помощью приложения на основе заголовков

Для запуска DAP можно использовать Docker или Kubernetes. Используйте образ Docker для пользователей, чтобы создать пример приложения на основе заголовков.

Дополнительные сведения: Сведения о настройке интеграции DAP и единого входа см. в статье Развертывание Datawiza Access Proxy с помощью приложения.

Предоставляется образ Docker docker-compose.yml file . Войдите в реестр контейнеров, чтобы скачать образы DAP и приложение на основе заголовков.

  1. Разверните Datawiza Access Proxy с помощью приложения.

    version: '3'
    
    services:
    datawiza-access-broker:
    image: registry.gitlab.com/datawiza/access-broker
    container_name: datawiza-access-broker
    restart: always
    ports:
      - "9772:9772"
    environment:
      PROVISIONING_KEY: #############################
      PROVISIONING_SECRET: #############################
    
    header-based-app:
    image: registry.gitlab.com/datawiza/header-based-app
    container_name: ab-demo-header-app
    restart: always
    environment:
      CONNECTOR: B2C
    ports:
      - "3001:3001"
    
  2. В приложении на основе заголовков включен единый вход с Azure AD B2C.

  3. Откройте браузер и введите http://localhost:9772/.

  4. Откроется страница входа Azure AD B2C.

Передача пользовательских атрибутов в приложение на основе заголовков

DAB получает пользовательские атрибуты из поставщика удостоверений и передает их приложению с помощью заголовка или файла cookie. После настройки атрибутов пользователя для атрибутов пользователя появится зеленый знак проверка.

Снимок экрана: переданные атрибуты пользователя.

Дополнительные сведения: Передайте атрибуты пользователя , такие как адрес электронной почты, имя и фамилия, в приложение на основе заголовков.

Проверка потока

  1. Перейдите по URL-адресу локального приложения.
  2. DAP перенаправляется на страницу, настроенную в потоке пользователя.
  3. В списке выберите поставщика удостоверений.
  4. В командной строке введите свои учетные данные. При необходимости включите Microsoft Entra маркер многофакторной проверки подлинности.
  5. Вы будете перенаправлены на Azure AD B2C, который перенаправляет запрос приложения на URI перенаправления DAP.
  6. DAB оценивает политики, вычисляет заголовки и направляет пользователя в вышестоящее приложение.
  7. Появится запрошенное приложение.

Дальнейшие действия