Руководство по интеграции единого входа Microsoft Entra с PolicyStat
В этом руководстве вы узнаете, как интегрировать PolicyStat с идентификатором Microsoft Entra. Интеграция PolicyStat с идентификатором Microsoft Entra позволяет:
- Контроль доступа к PolicyStat с помощью идентификатора Microsoft Entra.
- Включите автоматический вход пользователей в PolicyStat с помощью учетных записей Microsoft Entra.
- Управление учетными записями в одном центральном расположении.
Необходимые компоненты
Чтобы приступить к работе, потребуется следующее.
- Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
- Подписка PolicyStat с поддержкой единого входа.
Примечание.
Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.
Описание сценария
В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.
PolicyStat поддерживает единый вход, инициированный поставщиком услуг.
PolicyStat поддерживает JIT-подготовку пользователей.
Добавление PolicyStat из коллекции
Чтобы настроить интеграцию PolicyStat с идентификатором Microsoft Entra, необходимо добавить PolicyStat из коллекции в список управляемых приложений SaaS.
- Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
- Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
- В разделе Добавление из коллекции в поле поиска введите PolicyStat.
- Выберите PolicyStat на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.
Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.
Настройка и проверка единого входа Microsoft Entra для PolicyStat
Настройте и проверьте единый вход Microsoft Entra в PolicyStat с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в PolicyStat.
Чтобы настроить и проверить единый вход Microsoft Entra в PolicyStat, выполните следующие действия.
- Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
- Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
- Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
- Настройка единого входа в PolicyStat необходима, чтобы задать параметры единого входа на стороне приложения.
- Создание тестового пользователя PolicyStat требуется для того, чтобы в PolicyStat был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
- Проверка единого входа позволяет убедиться в правильности конфигурации.
Настройка единого входа Microsoft Entra
Выполните следующие действия, чтобы включить единый вход Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
Перейдите к приложению Identity>Applications>Enterprise>PolicyStat>с единым входом.
На странице Выбрать метод единого входа выберите SAML.
На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.
В разделе Базовая конфигурация SAML выполните приведенные ниже действия.
В текстовое поле Идентификатор (идентификатор сущности) введите URL-адрес в следующем формате:
https://<companyname>.policystat.com/saml2/metadata/
.В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате:
https://<companyname>.policystat.com
Примечание.
Эти значения приведены в качестве примера. Замените эти значения фактическим идентификатором и URL-адресом единого входа. Чтобы получить эти значения, обратитесь к группе поддержки клиентов PolicyStat. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".
На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML щелкните Скачать, чтобы скачать нужный вам XML-файл метаданных федерации, и сохраните его на компьютере.
Приложение PolicyStat ожидает проверочные утверждения SAML в определенном формате, который требует добавить настраиваемые сопоставления атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию. Нажмите кнопку Изменить, чтобы открыть диалоговое окно Атрибуты пользователя.
В дополнение к описанному выше приложение PolicyStat ожидает несколько дополнительных атрибутов в ответе SAML. В разделе Утверждения пользователя диалогового окна Атрибуты пользователя выполните следующие действия, чтобы добавить атрибут токена SAML, как показано в приведенной ниже таблице.
Имя. Атрибут источника uid ExtractMailPrefix([mail]) Щелкните Добавить новое утверждение, чтобы открыть диалоговое окно Управление утверждениями пользователя.
В текстовом поле Имя введите имя атрибута, отображаемое для этой строки.
Оставьте пустым поле Пространство имен.
В качестве источника выберите преобразование.
В списке Преобразование выберите значение атрибута, отображаемое для этой строки.
В списке Параметр 1 введите значение атрибута, отображаемое для этой строки.
Выберите Сохранить.
Скопируйте требуемый URL-адрес из раздела Настройка PolicyStat.
Создание тестового пользователя Microsoft Entra
В этом разделе описано, как создать тестового пользователя B.Simon.
- Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
- Перейдите ко всем пользователям удостоверений>>.
- Выберите "Создать пользователя>" в верхней части экрана.
- В свойствах пользователя выполните следующие действия.
- В поле "Отображаемое имя" введите
B.Simon
. - В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например,
B.Simon@contoso.com
. - Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
- Выберите Review + create (Просмотреть и создать).
- В поле "Отображаемое имя" введите
- Нажмите кнопку создания.
Назначение тестового пользователя Microsoft Entra
В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к PolicyStat.
- Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
- Перейдите к Identity>Applications Enterprise Application>>PolicyStat.
- На странице обзора приложения выберите "Пользователи" и "Группы".
- Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
- В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
- Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
- В диалоговом окне Добавление назначения нажмите кнопку Назначить.
Настройка единого входа PolicyStat
В другом окне веб-браузера войдите на корпоративный сайт PolicyStat в качестве администратора.
Щелкните вкладку Admin (Администрирование), а затем щелкните Single Sign-On Configuration (Конфигурация единого входа) в левой области навигации.
Щелкните Your IDP Metadata (Метаданные вашего поставщика удостоверений), а затем в разделе Your IDP Metadata (Метаданные вашего поставщика удостоверений) сделайте следующее.
Откройте скачанный файл метаданных, скопируйте его содержимое и вставьте его в текстовое поле Your Identity Provider Metadata (Метаданные поставщика удостоверений).
Выберите Сохранить изменения.
Щелкните Configure Attributes (Настроить атрибуты), а затем в разделе Configure Attributes (Настройка атрибутов) выполните указанные ниже действия с использованием значений CLAIM NAMES (ИМЕНА УТВЕРЖДЕНИЙ) из вашей конфигурации Azure:
В текстовом поле Username Attribute (Атрибут имени пользователя) введите значение утверждения имени пользователя, передаваемое в качестве ключевого атрибута имени пользователя. Значение по умолчанию в Azure — имя участника-пользователя, но если у вас уже есть учетные записи в PolicyStat, необходимо правильно сопоставить эти значения имени пользователя, чтобы избежать дублирования учетных записей, или обновить существующие учетные записи в PolicyStat, задав для них значение имени участника-пользователя. Чтобы обновить существующие имена пользователей в массовом режиме, обратитесь в службу поддержки https://websupport.rldatix.com/support-form/политики RLDatix. Значение по умолчанию, вводимое для передачи имени участника-пользователя, —
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
.В текстовое поле First Name Attribute (Атрибут имени) введите имя утверждения атрибута имени из Azure
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
.В текстовое поле Last Name Attribute (Атрибут фамилии) введите имя утверждения атрибута фамилии из Azure
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
.В текстовое поле Email Attribute (Атрибут адреса электронной почты) введите имя утверждения атрибута адреса электронной почты из Azure
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
.Щелкните Сохранить изменения.
В разделе Setup (Настройка) установите флажок Enable Single Sign-on Integration (Включить интеграцию единого входа).
Создание тестового пользователя в PolicyStat
В этом разделе вы создадите в PolicyStat пользователя Britta Simon. Приложение PolicyStat поддерживает JIT-подготовку пользователей, которая включена по умолчанию. В этом разделе никакие действия с вашей стороны не требуются. Если пользователь еще не существует в PolicyStat, он создается после проверки подлинности.
Примечание.
Вы можете использовать любые другие средства создания учетных записей пользователей PolicyStat или API, предоставляемые PolicyStat, для подготовки учетных записей пользователей Microsoft Entra.
Проверка единого входа
В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.
Щелкните "Тестировать это приложение", вы будете перенаправлены по URL-адресу для входа PolicyStat, где можно инициировать поток входа.
Перейдите по URL-адресу для входа в PolicyStat и инициируйте поток входа.
Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку PolicyStat на портале "Мои приложения", вы перейдете по URL-адресу для входа в PolicyStat. Дополнительные сведения см. в Мои приложения Microsoft Entra.
Следующие шаги
После настройки PolicyStat вы можете применить функцию управления сеансом, которая защищает от хищения конфиденциальных данных вашей организации и несанкционированного доступа к ним в реальном времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью Microsoft Cloud App Security.