Поделиться через


Руководство по интеграции единого входа Microsoft Entra с PolicyStat

В этом руководстве вы узнаете, как интегрировать PolicyStat с идентификатором Microsoft Entra. Интеграция PolicyStat с идентификатором Microsoft Entra позволяет:

  • Контроль доступа к PolicyStat с помощью идентификатора Microsoft Entra.
  • Включите автоматический вход пользователей в PolicyStat с помощью учетных записей Microsoft Entra.
  • Управление учетными записями в одном центральном расположении.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Подписка PolicyStat с поддержкой единого входа.

Примечание.

Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • PolicyStat поддерживает единый вход, инициированный поставщиком услуг.

  • PolicyStat поддерживает JIT-подготовку пользователей.

Чтобы настроить интеграцию PolicyStat с идентификатором Microsoft Entra, необходимо добавить PolicyStat из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите PolicyStat.
  4. Выберите PolicyStat на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для PolicyStat

Настройте и проверьте единый вход Microsoft Entra в PolicyStat с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в PolicyStat.

Чтобы настроить и проверить единый вход Microsoft Entra в PolicyStat, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
  2. Настройка единого входа в PolicyStat необходима, чтобы задать параметры единого входа на стороне приложения.
    1. Создание тестового пользователя PolicyStat требуется для того, чтобы в PolicyStat был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите к приложению Identity>Applications>Enterprise>PolicyStat>с единым входом.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Edit Basic SAML Configuration

  5. В разделе Базовая конфигурация SAML выполните приведенные ниже действия.

    1. В текстовое поле Идентификатор (идентификатор сущности) введите URL-адрес в следующем формате: https://<companyname>.policystat.com/saml2/metadata/.

    2. В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://<companyname>.policystat.com

      Примечание.

      Эти значения приведены в качестве примера. Замените эти значения фактическим идентификатором и URL-адресом единого входа. Чтобы получить эти значения, обратитесь к группе поддержки клиентов PolicyStat. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

  6. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML щелкните Скачать, чтобы скачать нужный вам XML-файл метаданных федерации, и сохраните его на компьютере.

    The Certificate download link

  7. Приложение PolicyStat ожидает проверочные утверждения SAML в определенном формате, который требует добавить настраиваемые сопоставления атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию. Нажмите кнопку Изменить, чтобы открыть диалоговое окно Атрибуты пользователя.

    Screenshot that shows the

  8. В дополнение к описанному выше приложение PolicyStat ожидает несколько дополнительных атрибутов в ответе SAML. В разделе Утверждения пользователя диалогового окна Атрибуты пользователя выполните следующие действия, чтобы добавить атрибут токена SAML, как показано в приведенной ниже таблице.

    Имя. Атрибут источника
    uid ExtractMailPrefix([mail])
    1. Щелкните Добавить новое утверждение, чтобы открыть диалоговое окно Управление утверждениями пользователя.

      Screenshot that shows the

      Screenshot that shows the

    2. В текстовом поле Имя введите имя атрибута, отображаемое для этой строки.

    3. Оставьте пустым поле Пространство имен.

    4. В качестве источника выберите преобразование.

    5. В списке Преобразование выберите значение атрибута, отображаемое для этой строки.

    6. В списке Параметр 1 введите значение атрибута, отображаемое для этой строки.

    7. Выберите Сохранить.

  9. Скопируйте требуемый URL-адрес из раздела Настройка PolicyStat.

    Copy configuration URLs

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
  2. Перейдите ко всем пользователям удостоверений>>.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Review + create (Просмотреть и создать).
  5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к PolicyStat.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к Identity>Applications Enterprise Application>>PolicyStat.
  3. На странице обзора приложения выберите "Пользователи" и "Группы".
  4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
    1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
    2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
    3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа PolicyStat

  1. В другом окне веб-браузера войдите на корпоративный сайт PolicyStat в качестве администратора.

  2. Щелкните вкладку Admin (Администрирование), а затем щелкните Single Sign-On Configuration (Конфигурация единого входа) в левой области навигации.

    Administrator Menu

  3. Щелкните Your IDP Metadata (Метаданные вашего поставщика удостоверений), а затем в разделе Your IDP Metadata (Метаданные вашего поставщика удостоверений) сделайте следующее.

    Screenshot that shows the

    1. Откройте скачанный файл метаданных, скопируйте его содержимое и вставьте его в текстовое поле Your Identity Provider Metadata (Метаданные поставщика удостоверений).

    2. Выберите Сохранить изменения.

  4. Щелкните Configure Attributes (Настроить атрибуты), а затем в разделе Configure Attributes (Настройка атрибутов) выполните указанные ниже действия с использованием значений CLAIM NAMES (ИМЕНА УТВЕРЖДЕНИЙ) из вашей конфигурации Azure:

    1. В текстовом поле Username Attribute (Атрибут имени пользователя) введите значение утверждения имени пользователя, передаваемое в качестве ключевого атрибута имени пользователя. Значение по умолчанию в Azure — имя участника-пользователя, но если у вас уже есть учетные записи в PolicyStat, необходимо правильно сопоставить эти значения имени пользователя, чтобы избежать дублирования учетных записей, или обновить существующие учетные записи в PolicyStat, задав для них значение имени участника-пользователя. Чтобы обновить существующие имена пользователей в массовом режиме, обратитесь в службу поддержки https://websupport.rldatix.com/support-form/политики RLDatix. Значение по умолчанию, вводимое для передачи имени участника-пользователя, — http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    2. В текстовое поле First Name Attribute (Атрибут имени) введите имя утверждения атрибута имени из Azure http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

    3. В текстовое поле Last Name Attribute (Атрибут фамилии) введите имя утверждения атрибута фамилии из Azure http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname.

    4. В текстовое поле Email Attribute (Атрибут адреса электронной почты) введите имя утверждения атрибута адреса электронной почты из Azure http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    5. Щелкните Сохранить изменения.

  5. В разделе Setup (Настройка) установите флажок Enable Single Sign-on Integration (Включить интеграцию единого входа).

    Single Sign-On Configuration

Создание тестового пользователя в PolicyStat

В этом разделе вы создадите в PolicyStat пользователя Britta Simon. Приложение PolicyStat поддерживает JIT-подготовку пользователей, которая включена по умолчанию. В этом разделе никакие действия с вашей стороны не требуются. Если пользователь еще не существует в PolicyStat, он создается после проверки подлинности.

Примечание.

Вы можете использовать любые другие средства создания учетных записей пользователей PolicyStat или API, предоставляемые PolicyStat, для подготовки учетных записей пользователей Microsoft Entra.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

  • Щелкните "Тестировать это приложение", вы будете перенаправлены по URL-адресу для входа PolicyStat, где можно инициировать поток входа.

  • Перейдите по URL-адресу для входа в PolicyStat и инициируйте поток входа.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку PolicyStat на портале "Мои приложения", вы перейдете по URL-адресу для входа в PolicyStat. Дополнительные сведения см. в Мои приложения Microsoft Entra.

Следующие шаги

После настройки PolicyStat вы можете применить функцию управления сеансом, которая защищает от хищения конфиденциальных данных вашей организации и несанкционированного доступа к ним в реальном времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью Microsoft Cloud App Security.