Dela via

Microsoft Entra SSO-integrering med Directory Services Protector

  • Artikel

I den här självstudien får du lära dig hur du integrerar Directory Services Protector med Microsoft Entra-ID. När du integrerar Directory Services Protector med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till Directory Services Protector.
  • Gör så att dina användare automatiskt loggas in på Directory Services Protector med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Förutsättningar

För att integrera Microsoft Entra-ID med Directory Services Protector behöver du:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • Directory Services Protector-prenumeration med enkel inloggning (SSO) aktiverat.

Beskrivning av scenario

I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

  • Directory Services Protector stöder både SP- och IDP-initierad enkel inloggning.
  • Directory Services Protector stöder just-in-time-användaretablering .

För att konfigurera integreringen av Directory Services Protector i Microsoft Entra-ID måste du lägga till Directory Services Protector från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du Directory Services Protector i sökrutan.
  4. Välj Katalogtjänstskydd i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller och gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO for Directory Services Protector

Konfigurera och testa Microsoft Entra SSO med Directory Services Protector med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i Directory Services Protector.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med Directory Services Protector:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med B.Simon.
    2. Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för B.Simon att använda enkel inloggning med Microsoft Entra.
  2. Konfigurera SSO för Directory Services Protector – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa Directory Services Protector-testanvändare – för att ha en motsvarighet till B.Simon i Directory Services Protector som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ de här stegen för att aktivera Enkel inloggning med Microsoft Entra i administrationscentret för Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>>Directory Services Protector>Enkel inloggning.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Skärmbild som visar hur du redigerar grundläggande SAML-konfiguration.

  5. I avsnittet Grundläggande SAML-konfiguration utför du följande steg om du har metadatafilen för tjänstleverantör:

    a. Klicka på Ladda upp metadatafil.

    Skärmbild som visar hur du laddar upp metadatafil.

    b. Klicka på mappikonen för att välja metadatafilen och klicka på Ladda upp.

    Skärmbild som visar hur du väljer metadatafil.

    c. När metadatafilen har laddats upp fylls värdena för identifierare och svars-URL automatiskt i avsnittet Grundläggande SAML-konfiguration.

    Skärmbild som visar bilden av metadatafilen.

    Kommentar

    Om värdena identifierare och svars-URL inte fylls i automatiskt fyller du i värdena manuellt enligt dina behov.

  6. Utför följande steg om du vill konfigurera programmet i SP-initierat läge:

    I textrutan Inloggnings-URL anger du en URL enligt följande mönster: https://<HOSTNAME>.<DOMAIN>.<EXTENSION>/DSP/Login/SsoLogin

    Kommentar

    Värdet för inloggnings-URL är inte verkligt. Uppdatera värdet med den faktiska inloggnings-URL:en. Kontakta supportteamet för Directory Services Protector för att få det här värdet. Du kan också se de mönster som visas i avsnittet Grundläggande SAML-konfiguration i administrationscentret för Microsoft Entra.

  7. Supportteamet för Directory Services Protector förväntar sig SAML-försäkran i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. I följande skärmbild visas listan över standardattribut.

    Skärmbild som visar bilden av attributkonfigurationen.

  8. Utöver ovanstående förväntar sig Supportteamet för Directory Services Protector att få fler attribut skickas tillbaka i SAML-svar, som visas nedan. Dessa attribut är också ifyllda i förväg, men du kan granska dem enligt dina behov.

    Name Källattribut
    roll user.assignedroles

    Kommentar

    Klicka här om du vill veta hur du konfigurerar roll i Microsoft Entra-ID.

  9. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och letar upp XML för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

    Skärmbild som visar länken För nedladdning av certifikat.

  10. I avsnittet Konfigurera Directory Services Protector kopierar du lämpliga URL:er baserat på dina behov.

    Skärmbild som visar hur du kopierar lämplig URL för konfigurationen.

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare i administrationscentret för Microsoft Entra med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Gå till Identitet>Användare>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning med Microsoft Entra genom att ge åtkomst till Directory Services Protector.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Directory Services Protector.
  3. På appens översiktssida väljer du Användare och grupper.
  4. Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
    1. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
    2. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
    3. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera SSO för Directory Services Protector

  1. Logga in på Directory Services Protector-företagswebbplatsen som administratör.

  2. Gå till Inställningar (kugghjulsikon)>Saml-autentisering för dataanslutningar>och växla på den aktiverade växeln.

  3. I Steg 1 – Identitetsprovider väljer du Microsoft Entra-ID i den nedrullningsbara menyn och klickar på SPARA.

  4. I Steg 2 – Data som krävs av SAML-identitetsprovidern väljer du knappen BEKRÄFTA och LADDA ned METADATA XML för att ladda upp metadatafilen i avsnittet Grundläggande SAML-konfiguration i administrationscentret för Microsoft Entra och klickar på SPARA.

    Skärmbild som visar inställningarna för identitetsprovidern.

  5. I steg 3 – Användarattribut och anspråk behöver vi inte den här informationen nu, så vi kan gå vidare till steg 4.

  6. I Steg 4 – Data som tas emot från SAML-identitetsprovidern stöder DSP både import från en metadata-URL och import av en metadata-XML som tillhandahålls av Microsoft Entra ID.

    1. Välj alternativknappen Appfederationsmetadata-URL och klistra in metadata-URL:en i fältet från Microsoft Entra-ID och välj sedan IMPORTERA.

    2. Välj alternativknappen för att använda XML för importera federationsmetadata och klicka på IMPORTERA XML för att ladda upp XML-filen federationsmetadata från administrationscentret för Microsoft Entra.

    3. Klicka på SPARA.

  7. Överst på bladet SAML-autentisering i DSP bör statusen nu visas som Konfigurerad.

Skapa Directory Services Protector-testanvändare

I det här avsnittet skapas en användare med namnet Britta Simon i Directory Services Protector. Directory Services Protector stöder just-in-time-användaretablering, vilket är aktiverat som standard. Det finns inget åtgärdsobjekt för dig i det här avsnittet. Om en användare inte redan finns i Directory Services Protector skapas en ny efter autentisering.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

SP-initierad:

  • Klicka på Testa det här programmet i administrationscentret för Microsoft Entra. Detta omdirigerar till Directory Services Protector Inloggnings-URL där du kan initiera inloggningsflödet.

  • Gå till Directory Services Protector Logga in URL direkt och initiera inloggningsflödet därifrån.

IDP-initierad:

  • Klicka på Testa det här programmet i administrationscentret för Microsoft Entra och du bör automatiskt loggas in på Directory Services Protector som du har konfigurerat enkel inloggning för.

Du kan också använda Microsoft Mina appar för att testa programmet i valfritt läge. När du klickar på panelen Katalogtjänstersskydd i Mina appar omdirigeras du om du konfigureras i SP-läge till inloggningssidan för programmet för att initiera inloggningsflödet och om det konfigureras i IDP-läge bör du automatiskt loggas in på katalogtjänstskyddet som du har konfigurerat enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du har konfigurerat Directory Services Protector kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.