Dela via

Självstudie: Konfigurera säker hybridåtkomst med Microsoft Entra-ID och Datawiza

  • Artikel

I den här självstudien lär du dig att integrera Microsoft Entra-ID med Datawiza för hybridåtkomst. Datawiza Access Proxy (DAP) utökar Microsoft Entra-ID för att aktivera enkel inloggning (SSO) och tillhandahålla åtkomstkontroller för att skydda lokala och molnbaserade program, till exempel Oracle E-Business Suite, Microsoft IIS och SAP. Med den här lösningen kan företag övergå från äldre webbåtkomsthanterare (WAM), till exempel Symantec SiteMinder, NetIQ, Oracle och IBM, till Microsoft Entra-ID utan att skriva om program. Företag kan använda Datawiza som en lösning utan kod eller låg kod för att integrera nya program i Microsoft Entra-ID. Den här metoden gör det möjligt för företag att implementera sin Nolltillit strategi samtidigt som man sparar teknisk tid och minskar kostnaderna.

Läs mer: Nolltillit säkerhet

Datawiza med Microsoft Entra-autentiseringsarkitektur

Datawiza-integrering innehåller följande komponenter:

  • Microsoft Entra-ID – identitets- och åtkomsthanteringstjänst som hjälper användare att logga in och komma åt externa och interna resurser
  • Datawiza Access Proxy (DAP) – Den här tjänsten skickar transparent identitetsinformation till program via HTTP-huvuden
  • Datawiza Cloud Management Console (DCMC) – ANVÄNDARGRÄNSSNITT och RESTful-API:er för administratörer som hanterar DAP-konfigurations- och åtkomstkontrollprinciper

Följande diagram illustrerar autentiseringsarkitekturen med Datawiza i en hybridmiljö.

Arkitekturdiagram över autentiseringsprocessen för användaråtkomst till ett lokalt program.

  1. Användaren begär åtkomst till det lokala eller molnbaserade programmet. DAP skickar begäran till programmet.
  2. DAP kontrollerar användarautentiseringstillståndet. Om det inte finns någon sessionstoken eller om sessionstoken är ogiltig skickar DAP användarbegäran till Microsoft Entra-ID för autentisering.
  3. Microsoft Entra-ID skickar användarbegäran till den slutpunkt som angavs under DAP-registreringen i Microsoft Entra-klientorganisationen.
  4. DAP utvärderar principer och attributvärden som ska ingå i HTTP-huvuden som vidarebefordras till programmet. DAP kan anropa identitetsprovidern för att hämta informationen för att ange huvudvärdena korrekt. DAP anger huvudvärdena och skickar begäran till programmet.
  5. Användaren autentiseras och beviljas åtkomst.

Förutsättningar

Du behöver följande för att komma igång:

  • En Azure-prenumeration
    • Om du inte har ett konto kan du skaffa ett kostnadsfritt Azure-konto
  • En Microsoft Entra-klient som är länkad till Azure-prenumerationen
  • Docker och docker-compose krävs för att köra DAP
    • Dina program kan köras på plattformar, till exempel en virtuell dator (VM) eller utan operativsystem
  • Ett lokalt eller molnbaserat program som ska övergå från ett äldre identitetssystem till Microsoft Entra-ID
    • I det här exemplet distribueras DAP på samma server som programmet
    • Programmet körs på localhost: 3001. DAP-proxyservrar trafik till programmet via localhost: 9772
    • Trafiken till programmet når DAP och skickas till programmet

Konfigurera Datawiza Cloud Management Console

  1. Logga in på Datawiza Cloud Management Console (DCMC).

  2. Skapa ett program på DCMC och generera ett nyckelpar för appen: PROVISIONING_KEY och PROVISIONING_SECRET.

  3. Om du vill skapa appen och generera nyckelparet följer du anvisningarna i Datawiza Cloud Management Console.

  4. Registrera ditt program i Microsoft Entra-ID med one click-integrering med Microsoft Entra-ID.

    Skärmbild av funktionen Automatisk generator i dialogrutan Konfigurera IdP.

  5. Om du vill använda ett webbprogram fyller du i formulärfälten manuellt: Klient-ID, klient-ID och klienthemlighet.

    Läs mer: Om du vill skapa ett webbprogram och hämta värden går du till docs.datawiza.com för Dokumentation om Microsoft Entra-ID .

    Skärmbild av dialogrutan Konfigurera IdP med automatisk generator inaktiverad.

  6. Kör DAP med antingen Docker eller Kubernetes. Docker-avbildningen behövs för att skapa ett exempel på ett huvudbaserat program.

services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
   - "9772:9772"
   environment:
   PROVISIONING_KEY: #############################################
   PROVISIONING_SECRET: ##############################################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   restart: always
ports:
- "3001:3001"
  1. Logga in på containerregistret.
  2. Ladda ned DAP-avbildningarna och det huvudbaserade programmet i det här viktiga steget.
  3. Kör följande kommando: docker-compose -f docker-compose.yml up.
  4. Det huvudbaserade programmet har SSO aktiverat med Microsoft Entra-ID.
  5. I en webbläsare går du till http://localhost:9772/.
  6. En Microsoft Entra-inloggningssida visas.
  7. Skicka användarattribut till det huvudbaserade programmet. DAP hämtar användarattribut från Microsoft Entra-ID och skickar attribut till programmet via en rubrik eller cookie.
  8. Information om hur du skickar användarattribut som e-postadress, förnamn och efternamn till det huvudbaserade programmet finns i Skicka användarattribut.
  9. Bekräfta konfigurerade användarattribut genom att markera en grön bock bredvid varje attribut.

Skärmbild av startsidan med attributen värd, e-post, förnamn och efternamn.

Testa flödet

  1. Gå till programmets URL.
  2. DAP omdirigerar dig till microsoft Entra-inloggningssidan.
  3. Efter autentiseringen omdirigeras du till DAP.
  4. DAP utvärderar principer, beräknar rubriker och skickar dig till programmet.
  5. Det begärda programmet visas.

Nästa steg