Интеграция Microsoft Entra SSO (единого входа) с PolicyStat
В этой статье вы узнаете, как интегрировать PolicyStat с идентификатором Microsoft Entra. Интеграция PolicyStat с идентификатором Microsoft Entra позволяет:
- Контролируйте, кто имеет доступ к PolicyStat через Microsoft Entra ID.
- Включите автоматический вход пользователей в PolicyStat с помощью учетных записей Microsoft Entra.
- Управляйте учетными записями из одного центрального места.
Необходимые условия
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:
- Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
- Одна из следующих ролей:
- Администратор приложений
- администратор облачных приложений
- владелец приложения .
- Подписка PolicyStat с поддержкой единого входа.
Заметка
Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.
Описание сценария
В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.
PolicyStat поддерживает единый вход (SSO), инициированный SP.
PolicyStat поддерживает Just In Time (точно в срок) обеспечение пользователей.
Добавить PolicyStat из галереи
Чтобы настроить интеграцию PolicyStat с идентификатором Microsoft Entra, необходимо добавить PolicyStat из коллекции в список управляемых приложений SaaS.
- Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора облачных приложений.
- Перейдите к Identity >приложениям>Enterprise приложениям>Новый приложение.
- В разделе Добавление из галереи в поле поиска введите PolicyStat.
- Выберите PolicyStat на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в ваш аккаунт.
Кроме того, можно использовать мастер настройки корпоративных приложений . В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Дополнительные сведения о мастерах Microsoft 365.
Настройка и проверка единого входа Microsoft Entra для PolicyStat
Настройте и протестируйте единый вход Microsoft Entra для PolicyStat с использованием тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в PolicyStat.
Чтобы настроить и проверить единый вход Microsoft Entra в PolicyStat, выполните следующие действия.
-
Настройте Microsoft Entra SSO, чтобы пользователи могли использовать эту функцию.
- создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
- Назначить тестового пользователя Microsoft Entra для B.Simon, чтобы он мог использовать единый вход Microsoft Entra.
-
Настройте единый вход в PolicyStat - для настройки параметров единого входа на стороне приложения.
- Создание тестового пользователя PolicyStat необходимо для того, чтобы в PolicyStat имелся аналог пользователя B.Simon, связанный с представлением пользователя в Microsoft Entra.
- Тест SSO, чтобы удостовериться, что конфигурация работает.
Настройка единого входа службы Microsoft Entra
Выполните следующие действия, чтобы включить единый вход Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra, используя учетную запись не ниже уровня администратора облачных приложений.
Перейдите к Identity>приложениям>компании>PolicyStat>единый вход.
На странице Выбор метода единого входа выберите SAML.
На странице Настройка единого входа с помощью SAML щелкните значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.
В разделе Базовая конфигурация SAML выполните следующие действия.
В текстовом поле Идентификатор (идентификатор сущности) введите URL-адрес, используя следующий шаблон:
https://<companyname>.policystat.com/saml2/metadata/
В текстовом поле введите URL для входа, используя следующий шаблон:
https://<companyname>.policystat.com
Заметка
Эти значения не являются реальными. Обновите эти значения с помощью текущего идентификатора и URL-адреса входа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов PolicyStat. Вы также можете ссылаться на шаблоны, показанные в разделе Базовая конфигурация SAML.
На странице Настройка единого Sign-On с помощью SAMLв разделе сертификата подписи SAML щелкните Скачать, чтобы скачать XML-метаданных федерации из заданных параметров в соответствии с вашим требованием и сохраните его на компьютере.
Приложение PolicyStat ожидает утверждения SAML в определенном формате, который требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимка экрана показан список атрибутов по умолчанию. Щелкните значок "Изменить", чтобы открыть диалоговое окно атрибутов пользователя.
Помимо вышеупомянутого, приложение PolicyStat ожидает, что в ответе SAML будут переданы ещё несколько атрибутов. В разделе утверждений пользователей в диалоговом окне атрибутов пользователя выполните следующие действия, чтобы добавить атрибут токена SAML, как показано в следующей таблице:
Имя Исходный атрибут uid ИзвлечьПрефиксПочты([mail]) Щелкните Добавить новое требование, чтобы открыть диалоговое окно "Управление пользовательскими требованиями".
В текстовом поле Name введите имя атрибута, отображаемое для этой строки.
Оставьте пустым пространство имен .
Выберите источник для преобразования.
В списке преобразования введите указанное для этой строки значение атрибута.
В списке параметра 1 введите значение атрибута, указанное для этой строки.
Выберите Сохранить.
В разделе Настройка PolicyStat скопируйте соответствующие URL-адреса в соответствии с вашим требованием.
Создание тестового пользователя Microsoft Entra
В этом разделе описано, как создать тестового пользователя B.Simon.
- Войдите в центр администрирования Microsoft Entra как администратор пользователейили выше.
- Перейдите к Identity>Users>All users.
- Выберите Новый пользователь>Создать нового пользователявверху экрана.
- В свойствах User выполните следующие действия.
- В поле Отображаемое имя введите
B.Simon
. - В поле основное имя пользователя введите username@companydomain.extension. Например,
B.Simon@contoso.com
. - Установите флажок Показать пароль, а затем запишите значение, отображаемое в поле Password.
- Выберите Проверить + создать.
- В поле Отображаемое имя введите
- Выберите Создать.
Назначение тестового пользователя Microsoft Entra
В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к PolicyStat.
- Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора облачных приложений.
- Перейдите к приложениям идентификация>корпоративные приложения>PolicyStat>.
- На странице обзора приложения выберите Пользователи и группы.
- Выберите Добавить пользователя/группу, затем выберите Пользователи и группы в диалоговом окне Добавление назначения.
- В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
- Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке Выбрать роль. Если для этого приложения не настроена роль, вы увидите, что выбрана роль "Доступ по умолчанию".
- В диалоговом окне Добавление задания нажмите кнопку Назначить.
Настройка PolicyStat SSO (однократная аутентификация)
В другом окне веб-браузера войдите на корпоративный сайт PolicyStat в качестве администратора.
Перейдите на вкладку Админ, а затем щелкните Одиночная Sign-On конфигурация в левой навигационной панели.
Щелкните Ваши метаданные поставщика удостоверений, а затем в разделе Ваши метаданные поставщика удостоверений выполните следующие действия:
конфигурации Sign-On Sign-On
Откройте скачанный файл метаданных, скопируйте содержимое и затем вставьте его в текстовое поле метаданные поставщика удостоверений.
Выберите Сохранить изменения.
Щелкните Настроить атрибуты, а затем в разделе Настроить атрибуты выполните следующие действия с помощью ИМЕНА ЗАПРОСОВ, найденных в вашей конфигурации Azure:
В текстовом поле "Атрибут имени пользователя" введите значение утверждения для имени пользователя, которое вы передаете, как ключевой атрибут имени пользователя. Значением по умолчанию в Azure является UPN, но если у вас уже есть учетные записи в PolicyStat, необходимо сопоставить эти значениям имен пользователей, чтобы избежать дублирования учетных записей или обновить существующие учетные записи в PolicyStat до значения UPN. Чтобы обновить существующие имена пользователей в массовом режиме, обратитесь в службу поддержки политики RLDatix PolicyStat https://websupport.rldatix.com/support-form/. Значение по умолчанию для ввода для прохождения имени пользователя
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
.В текстовом поле атрибута имени введите имя утверждения атрибута имени из Azure
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
.В текстовом поле атрибута фамилии введите имя утверждения атрибута фамилии из Azure
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
.В текстовом поле , относящемся к атрибуту электронной почты, введите имя утверждения этого атрибута из Azure
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
.Нажмите Сохранить изменения.
В разделе установки выберите Включить интеграцию единого входа.
Создание тестового пользователя PolicyStat
В этом разделе пользователь с именем Britta Simon создается в PolicyStat. PolicyStat поддерживает динамическое предоставление пользователей, которое включено по умолчанию. В этом разделе отсутствует элемент действия. Если пользователь еще не существует в PolicyStat, он создается после проверки подлинности.
Заметка
Вы можете использовать любые другие средства создания учетных записей пользователей PolicyStat или API, предоставляемые PolicyStat, для подготовки учетных записей пользователей Microsoft Entra.
Проверка единого входа
В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.
Нажмите Протестируйте это приложение, вы будете перенаправлены на страницу входа PolicyStat, где вы сможете начать процесс входа.
Откройте URL-адрес для входа в PolicyStat и начните процесс входа.
Вы можете использовать Microsoft My Apps. Щелкнув плитку PolicyStat в разделе "Мои приложения", вы перейдете по URL-адресу для входа в PolicyStat. Дополнительные сведения см. в разделе Microsoft Entra My Apps.
Связанное содержимое
После настройки PolicyStat вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Контроль сеанса является расширением условного доступа. Узнайте, как применить управление сеансами с помощьюMicrosoft Cloud App Security.