Поделиться через


Интеграция Microsoft Entra SSO (единого входа) с PolicyStat

В этой статье вы узнаете, как интегрировать PolicyStat с идентификатором Microsoft Entra. Интеграция PolicyStat с идентификатором Microsoft Entra позволяет:

  • Контролируйте, кто имеет доступ к PolicyStat через Microsoft Entra ID.
  • Включите автоматический вход пользователей в PolicyStat с помощью учетных записей Microsoft Entra.
  • Управляйте учетными записями из одного центрального места.

Необходимые условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка PolicyStat с поддержкой единого входа.

Заметка

Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • PolicyStat поддерживает единый вход (SSO), инициированный SP.

  • PolicyStat поддерживает Just In Time (точно в срок) обеспечение пользователей.

Чтобы настроить интеграцию PolicyStat с идентификатором Microsoft Entra, необходимо добавить PolicyStat из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора облачных приложений.
  2. Перейдите к Identity >приложениям>Enterprise приложениям>Новый приложение.
  3. В разделе Добавление из галереи в поле поиска введите PolicyStat.
  4. Выберите PolicyStat на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в ваш аккаунт.

Кроме того, можно использовать мастер настройки корпоративных приложений . В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для PolicyStat

Настройте и протестируйте единый вход Microsoft Entra для PolicyStat с использованием тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в PolicyStat.

Чтобы настроить и проверить единый вход Microsoft Entra в PolicyStat, выполните следующие действия.

  1. Настройте Microsoft Entra SSO, чтобы пользователи могли использовать эту функцию.
    1. создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначить тестового пользователя Microsoft Entra для B.Simon, чтобы он мог использовать единый вход Microsoft Entra.
  2. Настройте единый вход в PolicyStat - для настройки параметров единого входа на стороне приложения.
    1. Создание тестового пользователя PolicyStat необходимо для того, чтобы в PolicyStat имелся аналог пользователя B.Simon, связанный с представлением пользователя в Microsoft Entra.
  3. Тест SSO, чтобы удостовериться, что конфигурация работает.

Настройка единого входа службы Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra, используя учетную запись не ниже уровня администратора облачных приложений.

  2. Перейдите к Identity>приложениям>компании>PolicyStat>единый вход.

  3. На странице Выбор метода единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

    Изменить базовую конфигурацию SAML

  5. В разделе Базовая конфигурация SAML выполните следующие действия.

    1. В текстовом поле Идентификатор (идентификатор сущности) введите URL-адрес, используя следующий шаблон: https://<companyname>.policystat.com/saml2/metadata/

    2. В текстовом поле введите URL для входа, используя следующий шаблон: https://<companyname>.policystat.com

      Заметка

      Эти значения не являются реальными. Обновите эти значения с помощью текущего идентификатора и URL-адреса входа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов PolicyStat. Вы также можете ссылаться на шаблоны, показанные в разделе Базовая конфигурация SAML.

  6. На странице Настройка единого Sign-On с помощью SAMLв разделе сертификата подписи SAML щелкните Скачать, чтобы скачать XML-метаданных федерации из заданных параметров в соответствии с вашим требованием и сохраните его на компьютере.

    ссылку на скачивание сертификата

  7. Приложение PolicyStat ожидает утверждения SAML в определенном формате, который требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимка экрана показан список атрибутов по умолчанию. Щелкните значок "Изменить", чтобы открыть диалоговое окно атрибутов пользователя.

    снимок экрана, на котором показано диалоговое окно

  8. Помимо вышеупомянутого, приложение PolicyStat ожидает, что в ответе SAML будут переданы ещё несколько атрибутов. В разделе утверждений пользователей в диалоговом окне атрибутов пользователя выполните следующие действия, чтобы добавить атрибут токена SAML, как показано в следующей таблице:

    Имя Исходный атрибут
    uid ИзвлечьПрефиксПочты([mail])
    1. Щелкните Добавить новое требование, чтобы открыть диалоговое окно "Управление пользовательскими требованиями".

      снимок экрана, на котором показан раздел

      снимок экрана: диалоговое окно

    2. В текстовом поле Name введите имя атрибута, отображаемое для этой строки.

    3. Оставьте пустым пространство имен .

    4. Выберите источник для преобразования.

    5. В списке преобразования введите указанное для этой строки значение атрибута.

    6. В списке параметра 1 введите значение атрибута, указанное для этой строки.

    7. Выберите Сохранить.

  9. В разделе Настройка PolicyStat скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

    Скопировать URL-адреса конфигурации

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в центр администрирования Microsoft Entra как администратор пользователейили выше.
  2. Перейдите к Identity>Users>All users.
  3. Выберите Новый пользователь>Создать нового пользователявверху экрана.
  4. В свойствах User выполните следующие действия.
    1. В поле Отображаемое имя введите B.Simon.
    2. В поле основное имя пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль, а затем запишите значение, отображаемое в поле Password.
    4. Выберите Проверить + создать.
  5. Выберите Создать.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к PolicyStat.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора облачных приложений.
  2. Перейдите к приложениям идентификация>корпоративные приложения>PolicyStat>.
  3. На странице обзора приложения выберите Пользователи и группы.
  4. Выберите Добавить пользователя/группу, затем выберите Пользователи и группы в диалоговом окне Добавление назначения.
    1. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
    2. Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке Выбрать роль. Если для этого приложения не настроена роль, вы увидите, что выбрана роль "Доступ по умолчанию".
    3. В диалоговом окне Добавление задания нажмите кнопку Назначить.

Настройка PolicyStat SSO (однократная аутентификация)

  1. В другом окне веб-браузера войдите на корпоративный сайт PolicyStat в качестве администратора.

  2. Перейдите на вкладку Админ, а затем щелкните Одиночная Sign-On конфигурация в левой навигационной панели.

    меню администратора

  3. Щелкните Ваши метаданные поставщика удостоверений, а затем в разделе Ваши метаданные поставщика удостоверений выполните следующие действия:

    снимок экрана, показывающий выбранное действие конфигурации Sign-On Sign-On

    1. Откройте скачанный файл метаданных, скопируйте содержимое и затем вставьте его в текстовое поле метаданные поставщика удостоверений.

    2. Выберите Сохранить изменения.

  4. Щелкните Настроить атрибуты, а затем в разделе Настроить атрибуты выполните следующие действия с помощью ИМЕНА ЗАПРОСОВ, найденных в вашей конфигурации Azure:

    1. В текстовом поле "Атрибут имени пользователя" введите значение утверждения для имени пользователя, которое вы передаете, как ключевой атрибут имени пользователя. Значением по умолчанию в Azure является UPN, но если у вас уже есть учетные записи в PolicyStat, необходимо сопоставить эти значениям имен пользователей, чтобы избежать дублирования учетных записей или обновить существующие учетные записи в PolicyStat до значения UPN. Чтобы обновить существующие имена пользователей в массовом режиме, обратитесь в службу поддержки политики RLDatix PolicyStat https://websupport.rldatix.com/support-form/. Значение по умолчанию для ввода для прохождения имени пользователя http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    2. В текстовом поле атрибута имени введите имя утверждения атрибута имени из Azure http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

    3. В текстовом поле атрибута фамилии введите имя утверждения атрибута фамилии из Azure http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname.

    4. В текстовом поле , относящемся к атрибуту электронной почты, введите имя утверждения этого атрибута из Azure http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    5. Нажмите Сохранить изменения.

  5. В разделе установки выберите Включить интеграцию единого входа.

    одинарная Sign-On конфигурация

Создание тестового пользователя PolicyStat

В этом разделе пользователь с именем Britta Simon создается в PolicyStat. PolicyStat поддерживает динамическое предоставление пользователей, которое включено по умолчанию. В этом разделе отсутствует элемент действия. Если пользователь еще не существует в PolicyStat, он создается после проверки подлинности.

Заметка

Вы можете использовать любые другие средства создания учетных записей пользователей PolicyStat или API, предоставляемые PolicyStat, для подготовки учетных записей пользователей Microsoft Entra.

Проверка единого входа

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

  • Нажмите Протестируйте это приложение, вы будете перенаправлены на страницу входа PolicyStat, где вы сможете начать процесс входа.

  • Откройте URL-адрес для входа в PolicyStat и начните процесс входа.

  • Вы можете использовать Microsoft My Apps. Щелкнув плитку PolicyStat в разделе "Мои приложения", вы перейдете по URL-адресу для входа в PolicyStat. Дополнительные сведения см. в разделе Microsoft Entra My Apps.

После настройки PolicyStat вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Контроль сеанса является расширением условного доступа. Узнайте, как применить управление сеансами с помощьюMicrosoft Cloud App Security.