Интеграция одноэтапной аутентификации Microsoft Entra с Granite
Из этой статьи вы узнаете, как интегрировать Granite с идентификатором Microsoft Entra. Интеграция Granite с идентификатором Microsoft Entra id позволяет:
- Управляйте доступом к Granite через Microsoft Entra ID.
- Включите автоматический вход пользователей в Granite с помощью учетных записей Microsoft Entra.
- Управляйте своими учетными записями в одном центральном месте.
Необходимые условия
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:
- Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
- Одна из следующих ролей:
- Подписка с поддержкой единого входа в Granite.
Описание сценария
В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.
- Granite поддерживает единый вход (SSO), инициированный от SP.
- Granite поддерживает подготовку пользователей точно в срок.
Добавление гранита из коллекции
Чтобы настроить интеграцию Granite с идентификатором Microsoft Entra, необходимо добавить Granite из коллекции в список управляемых приложений SaaS.
- Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.
- Перейдите в Идентификация>Приложения>Корпоративные приложения>Новое приложение.
- В разделе Добавление из коллекции в поле поиска введите Granite.
- Выберите Гранит на панели результатов и добавьте приложение. Подождите несколько секунд, пока приложение добавляется в клиент.
Кроме того, можно использовать мастер настройки корпоративных приложений . В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и выполнить настройку единого входа. Дополнительные сведения о мастерах Microsoft 365.
Настройка и проверка единого входа Microsoft Entra для Гранита
Настройте и проверьте единый вход Microsoft Entra в Granite с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Granite.
Чтобы настроить и проверить единый вход Microsoft Entra в Granite, выполните следующие действия.
-
Настройка единого входа Microsoft Entra, чтобы пользователи могли использовать эту функцию.
- Создание тестового пользователя Microsoft Entra ID для тестирования единого входа Microsoft Entra с помощью B.Simon.
- Назначьте тестового пользователя Microsoft Entra ID, чтобы B.Simon мог использовать единый вход Microsoft Entra.
-
Настройте Granite SSO, чтобы настроить параметры единого входа на стороне приложения.
- Создать тестового пользователя Granite, чтобы иметь в Granite пользователя B.Simon, связанного с представлением Microsoft Entra ID пользователя.
- SSO, чтобы удостовериться, что конфигурация работает.
Настройте Microsoft Entra для единого входа
Выполните следующие действия, чтобы включить единый вход Microsoft Entra в Центре администрирования Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra, имея по крайней мере права администратора облачных приложений .
Перейдите к приложениям>Identity>Enterprise>Granite>единый вход.
На странице Выбор метода единого входа выберите SAML.
На странице Настройка единого входа с помощью SAML щелкните значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.
В разделе Базовая конфигурация SAML выполните следующие действия.
a. В текстовом поле Идентификатор введите значение, используя следующий шаблон:
<Customer_Name>.granitegrc.com
b. В текстовом поле URL-адрес ответа введите URL-адрес, используя следующий шаблон:
https://<Customer_Name>.granitegrc.com/simplesaml/module.php/saml/sp/saml2-acs.php/default
c. В текстовом поле URL-адрес входа введите URL-адрес, используя следующий шаблон:
https://<Customer_Name>.granitegrc.com
Заметка
Эти значения не являются реальными. Обновите эти значения фактическим идентификатором, URL-адресом ответа и URL-адресом входа. Чтобы получить эти значения, обратитесь в службу поддержки Granite. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML" в Центре администрирования Microsoft Entra.
Приложение "Гранит" ожидает утверждения SAML в определенном формате, что требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимка экрана показан список атрибутов по умолчанию.
В дополнение к вышеупомянутому, приложение Granite ожидает, что в ответе SAML будут переданы несколько дополнительных атрибутов, которые показаны ниже. Эти атрибуты также предварительно заполнены, но их можно просмотреть в соответствии с вашими требованиями.
Имя Исходный атрибут почта электронная почта пользователя имя пользователя user.userprincipalname Группы группы пользователей компания user.companyname отдел пользователь.отдел objectid объектID пользователя На странице Настройка единого входа с помощью SAML в разделе сертификат для подписи SAML нажмите кнопку "копия", чтобы скопировать URL-адрес метаданных федерации приложений и сохранить его на компьютере.
Создание тестового пользователя Microsoft Entra ID
В этом разделе описано, как создать тестового пользователя в Центре администрирования Microsoft Entra с именем B.Simon.
- Войдите в Центр администрирования Microsoft Entra как минимум с ролью Администратор пользователей.
- Перейдите к Identity>Пользователи>Все пользователи.
- Выберите Новый пользователь>Создать нового пользователяв верхней части экрана.
- В свойствах пользователя выполните следующие действия.
- В поле Отображаемое имя введите
B.Simon
. - В поле основное имя пользователя введите username@companydomain.extension. Например,
B.Simon@contoso.com
. - Установите флажок Показать пароль, а затем запишите значение, отображаемое в поле Password.
- Выберите Проверка + создание.
- В поле Отображаемое имя введите
- Выберите Создать.
Назначение тестового пользователя Microsoft Entra ID
В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход Microsoft Entra, предоставив этому пользователю доступ к Granite.
- Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.
- Перейдите к Identity>приложениям>Enterprise>Granite.
- На странице обзора приложения выберите Пользователи и группы.
- Выберите Добавить пользователя/группу, затем выберите Пользователи и группы в диалоговом окне Добавление задания.
- В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
- Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке Выбрать роль. Если для этого приложения не настроена роль, будет выбрана роль «Доступ по умолчанию».
- В диалоговом окне Добавление задачи нажмите кнопку Выбрать.
Настройка SSO для Granite
Чтобы настроить единый вход на стороне Granite, необходимо отправить URL-адрес метаданных федерации приложений , чтобы службу поддержки Granite. Они задают этот параметр для правильного установки подключения SAML SSO на обеих сторонах.
Создание тестового пользователя Granite
В этом разделе пользователь с именем B.Simon создается в Граните. Granite поддерживает динамическое развертывание, которое включено по умолчанию. В этом разделе для вас нет задач. Если пользователь еще не существует в Граните, он создается при попытке доступа к Граниту.
Тест SSO
В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.
Нажмите Протестировать это приложение в Центре администрирования Microsoft Entra. Вы будете перенаправлены на Granite Sign по URL-адресу, где можно будет начать процесс входа.
Перейдите непосредственно по URL-адресу для входа в Granite и начните процесс входа.
Вы можете использовать Microsoft My Apps. Щелкнув плитку "Granite" в разделе "Мои приложения", вы будете перенаправлены на страницу входа Granite. Дополнительные сведения о Мои приложениях см. в разделе Введение в Мои приложения.
Связанное содержимое
После настройки Granite вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансами расширяет возможности условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.