Интеграция одноэтапной аутентификации Microsoft Entra с Granite

Из этой статьи вы узнаете, как интегрировать Granite с идентификатором Microsoft Entra. Интеграция Granite с идентификатором Microsoft Entra id позволяет:

• Управляйте доступом к Granite через Microsoft Entra ID.
• Включите автоматический вход пользователей в Granite с помощью учетных записей Microsoft Entra.
• Управляйте своими учетными записями в одном центральном месте.

Необходимые условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложения
  • администратор облачных приложений
  • владельца приложения.

• Подписка с поддержкой единого входа в Granite.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Granite поддерживает единый вход (SSO), инициированный от SP.
• Granite поддерживает подготовку пользователей точно в срок.

Добавление гранита из коллекции

Чтобы настроить интеграцию Granite с идентификатором Microsoft Entra, необходимо добавить Granite из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.
2. Перейдите в Идентификация>Приложения>Корпоративные приложения>Новое приложение.
3. В разделе Добавление из коллекции в поле поиска введите Granite.
4. Выберите Гранит на панели результатов и добавьте приложение. Подождите несколько секунд, пока приложение добавляется в клиент.

Кроме того, можно использовать мастер настройки корпоративных приложений . В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и выполнить настройку единого входа. Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Гранита

Настройте и проверьте единый вход Microsoft Entra в Granite с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Granite.

Чтобы настроить и проверить единый вход Microsoft Entra в Granite, выполните следующие действия.

1. Настройка единого входа Microsoft Entra, чтобы пользователи могли использовать эту функцию.
   1. Создание тестового пользователя Microsoft Entra ID для тестирования единого входа Microsoft Entra с помощью B.Simon.
   2. Назначьте тестового пользователя Microsoft Entra ID, чтобы B.Simon мог использовать единый вход Microsoft Entra.
2. Настройте Granite SSO, чтобы настроить параметры единого входа на стороне приложения.
   1. Создать тестового пользователя Granite, чтобы иметь в Granite пользователя B.Simon, связанного с представлением Microsoft Entra ID пользователя.
3. SSO, чтобы удостовериться, что конфигурация работает.

Настройте Microsoft Entra для единого входа

Выполните следующие действия, чтобы включить единый вход Microsoft Entra в Центре администрирования Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra, имея по крайней мере права администратора облачных приложений .

2. Перейдите к приложениям>Identity>Enterprise>Granite>единый вход.

3. На странице Выбор метода единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

   

5. В разделе Базовая конфигурация SAML выполните следующие действия.

   a. В текстовом поле Идентификатор введите значение, используя следующий шаблон: <Customer_Name>.granitegrc.com

   b. В текстовом поле URL-адрес ответа введите URL-адрес, используя следующий шаблон: https://<Customer_Name>.granitegrc.com/simplesaml/module.php/saml/sp/saml2-acs.php/default

   c. В текстовом поле URL-адрес входа введите URL-адрес, используя следующий шаблон: https://<Customer_Name>.granitegrc.com

   Заметка

   Эти значения не являются реальными. Обновите эти значения фактическим идентификатором, URL-адресом ответа и URL-адресом входа. Чтобы получить эти значения, обратитесь в службу поддержки Granite. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML" в Центре администрирования Microsoft Entra.

6. Приложение "Гранит" ожидает утверждения SAML в определенном формате, что требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимка экрана показан список атрибутов по умолчанию.

   

7. В дополнение к вышеупомянутому, приложение Granite ожидает, что в ответе SAML будут переданы несколько дополнительных атрибутов, которые показаны ниже. Эти атрибуты также предварительно заполнены, но их можно просмотреть в соответствии с вашими требованиями.

   Имя	Исходный атрибут
   почта	электронная почта пользователя
   имя пользователя	user.userprincipalname
   Группы	группы пользователей
   компания	user.companyname
   отдел	пользователь.отдел
   objectid	объектID пользователя

8. На странице Настройка единого входа с помощью SAML в разделе сертификат для подписи SAML нажмите кнопку "копия", чтобы скопировать URL-адрес метаданных федерации приложений и сохранить его на компьютере.

   

Создание тестового пользователя Microsoft Entra ID

В этом разделе описано, как создать тестового пользователя в Центре администрирования Microsoft Entra с именем B.Simon.

1. Войдите в Центр администрирования Microsoft Entra как минимум с ролью Администратор пользователей.
2. Перейдите к Identity>Пользователи>Все пользователи.
3. Выберите Новый пользователь>Создать нового пользователяв верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле Отображаемое имя введите B.Simon.
   2. В поле основное имя пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль, а затем запишите значение, отображаемое в поле Password.
   4. Выберите Проверка + создание.
5. Выберите Создать.

Назначение тестового пользователя Microsoft Entra ID

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход Microsoft Entra, предоставив этому пользователю доступ к Granite.

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.
2. Перейдите к Identity>приложениям>Enterprise>Granite.
3. На странице обзора приложения выберите Пользователи и группы.
4. Выберите Добавить пользователя/группу, затем выберите Пользователи и группы в диалоговом окне Добавление задания.
   1. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
   2. Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке Выбрать роль. Если для этого приложения не настроена роль, будет выбрана роль «Доступ по умолчанию».
   3. В диалоговом окне Добавление задачи нажмите кнопку Выбрать.

Настройка SSO для Granite

Чтобы настроить единый вход на стороне Granite, необходимо отправить URL-адрес метаданных федерации приложений , чтобы службу поддержки Granite. Они задают этот параметр для правильного установки подключения SAML SSO на обеих сторонах.

Создание тестового пользователя Granite

В этом разделе пользователь с именем B.Simon создается в Граните. Granite поддерживает динамическое развертывание, которое включено по умолчанию. В этом разделе для вас нет задач. Если пользователь еще не существует в Граните, он создается при попытке доступа к Граниту.

Тест SSO

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

• Нажмите Протестировать это приложение в Центре администрирования Microsoft Entra. Вы будете перенаправлены на Granite Sign по URL-адресу, где можно будет начать процесс входа.

• Перейдите непосредственно по URL-адресу для входа в Granite и начните процесс входа.

• Вы можете использовать Microsoft My Apps. Щелкнув плитку "Granite" в разделе "Мои приложения", вы будете перенаправлены на страницу входа Granite. Дополнительные сведения о Мои приложениях см. в разделе Введение в Мои приложения.

Связанное содержимое

После настройки Granite вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансами расширяет возможности условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.