Integrera enkel inloggning med Microsoft Entra med Maverics Orchestrator SAML Connector

Stratas Maverics Orchestrator är ett enkelt sätt att integrera lokala program med Microsoft Entra-ID för autentisering och åtkomstkontroll. Maverics Orchestrator kan modernisera autentisering och auktorisering för appar som för närvarande förlitar sig på huvuden, cookies och andra egna autentiseringsmetoder. Maverics Orchestrator-instanser kan distribueras lokalt eller i molnet.

Den här självstudien om hybridåtkomst visar hur du migrerar ett lokalt webbprogram som för närvarande skyddas av en äldre produkt för hantering av webbåtkomst för att använda Microsoft Entra-ID för autentisering och åtkomstkontroll. Här är de grundläggande stegen:

1. Konfigurera Maverics Orchestrator
2. Proxy för ett program
3. Registrera ett företagsprogram i Microsoft Entra-ID
4. Autentisera via Microsoft Entra-ID och auktorisera åtkomst till programmet
5. Lägga till rubriker för sömlös programåtkomst
6. Arbeta med flera program

Förutsättningar

• En Microsoft Entra-ID-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
• Ett Maverics Identity Orchestrator Platform-konto. Registrera dig på maverics.strata.io.
• Minst ett program som använder huvudbaserad autentisering. I våra exempel arbetar vi mot ett program som heter Sonar som kan nås på https://localhost:8443.

Steg 1: Konfigurera Maverics Orchestrator

När du har registrerat dig för ett Maverics-konto på maverics.strata.io använder du vår utbildningscenters självstudie med titeln Komma igång: Utvärderingsmiljö. Den här självstudien tar dig igenom den stegvisa processen för att skapa en utvärderingsmiljö, ladda ned en orkestrerare och installera orkestratorn på datorn.

Steg 2: Utöka Microsoft Entra-ID till en app med ett recept

Använd sedan utbildningscentrets självstudie, Utöka Microsoft Entra-ID till en äldre app som inte är standard. I den här självstudien får du ett .json recept som automatiskt konfigurerar en identitetsinfrastruktur, ett huvudbaserat program och ett delvis fullständigt användarflöde.

Steg 3: Registrera ett företagsprogram i Microsoft Entra-ID

Nu ska vi skapa ett nytt företagsprogram i Microsoft Entra-ID som används för att autentisera slutanvändare.

Kommentar

När du använder Microsoft Entra-ID-funktioner som villkorsstyrd åtkomst är det viktigt att skapa ett företagsprogram per lokalt program. Detta tillåter villkorlig åtkomst per app, riskutvärdering per app, tilldelade behörigheter per app osv. I allmänhet mappar ett företagsprogram i Microsoft Entra ID till en Azure-anslutningsapp i Maverics.

1. I din Microsoft Entra ID-klient går du till Företagsprogram, klickar på Nytt program och söker efter Maverics Identity Orchestrator SAML Connector i Microsoft Entra ID-galleriet och väljer det sedan.

2. I fönstret Egenskaper för Maverics Identity Orchestrator SAML Connector anger du Användartilldelning krävs? till Nej för att programmet ska fungera för alla användare i katalogen.

3. I fönstret Översikt över Maverics Identity Orchestrator SAML Connector väljer du Konfigurera enkel inloggning och väljer sedan SAML.

4. Redigera den grundläggande SAML-konfigurationen genom att välja knappen Redigera (pennikon) på saml-baserad inloggningsruta för Maverics Identity Orchestrator SAML Connector.

   

5. Ange ett entitets-ID för: https://sonar.maverics.com. Entitets-ID:t måste vara unikt för apparna i klientorganisationen och kan vara ett godtyckligt värde. Vi använder det här värdet när vi definierar fältet samlEntityID för vår Azure-anslutningsapp i nästa avsnitt.

6. Ange en svars-URL för : https://sonar.maverics.com/acs. Vi använder det här värdet när vi definierar fältet samlConsumerServiceURL för vår Azure-anslutningsapp i nästa avsnitt.

7. Ange en inloggnings-URL för : https://sonar.maverics.com/. Det här fältet kommer inte att användas av Maverics, men det krävs i Microsoft Entra-ID för att användarna ska få åtkomst till programmet via Microsoft Entra-ID:t Mina appar portalen.

8. Välj Spara.

9. I avsnittet SAML-signeringscertifikat väljer du knappen Kopiera för att kopiera URL:en för appfederationsmetadata och sparar den sedan på datorn.

   

Steg 4: Autentisera via Microsoft Entra-ID och auktorisera åtkomst till programmet

Fortsätt med steg 4 i utbildningscentret, Utöka Microsoft Entra-ID till en äldre app som inte är standard för att redigera ditt användarflöde i Maverics. De här stegen beskriver hur du lägger till rubriker i det överordnade programmet och distribuerar användarflödet.

När du har distribuerat användarflödet, för att bekräfta att autentiseringen fungerar som förväntat, gör du en begäran till en programresurs via Maverics-proxyn. Det skyddade programmet bör nu ta emot huvuden på begäran.

Redigera huvudnycklarna om programmet förväntar sig olika rubriker. Alla anspråk som kommer tillbaka från Microsoft Entra-ID som en del av SAML-flödet är tillgängliga för användning i rubriker. Vi kan till exempel inkludera en annan rubrik secondary_email: azureSonarApp.emaili , där azureSonarApp är anslutningsappens namn och email är ett anspråk som returneras från Microsoft Entra-ID.

Avancerade scenarier

Identitetsmigrering

Står inte ut med ditt verktyg för hantering av webbåtkomst i slutet av livet, men har inte ett sätt att migrera användarna utan massåterställning av lösenord? Maverics Orchestrator stöder identitetsmigrering med hjälp migrationgatewaysav .

Webbservermoduler

Vill du inte omarbeta nätverks- och proxytrafiken via Maverics Orchestrator? Inte ett problem, Maverics Orchestrator kan paras ihop med webbservermoduler för att erbjuda samma lösningar utan proxying.

Omsluta

Nu har vi installerat Maverics Orchestrator, skapat och konfigurerat ett företagsprogram i Microsoft Entra-ID och konfigurerat Orchestrator till proxy till ett skyddat program samtidigt som autentisering och framtvingandeprincip krävs. Kontakta Strata om du vill veta mer om hur Maverics Orchestrator kan användas för användningsfall för distribuerad identitetshantering.