教學課程:使用 Microsoft Entra ID 和 Datawiza 設定安全的混合式存取
在本教學課程中,您將了解如何整合 Microsoft Entra ID 與 Datawiza 來進行混合式存取。 Datawiza 存取 Proxy (DAB) 能夠延伸 Microsoft Entra ID 以啟用單一登入 (SSO),並提供存取控制來保護內部部署與雲端裝載的應用程式,例如 Oracle E-Business Suite、Microsoft IIS 和 SAP。 企業可以使用此解決方案快速從舊版 Web 存取管理員 (WAM) (例如 Symantec SiteMinder、NetIQ、Oracle 及 IBM) 移轉至 Microsoft Entra ID,而不需要重寫應用程式。 企業可以使用 Datawiza 做為無程式碼或低程式碼的解決方案,將新的應用程式整合至 Microsoft Entra ID。 這種方法可讓企業實作其零信任策略,同時節省工程時間和降低成本。
深入了解:零信任安全性
具有 Microsoft Entra 驗證架構的 Datawiza
Datawiza 整合包括下列元件:
- Microsoft Entra ID - 身分識別和存取管理服務,能協助使用者登入及存取外部與內部資源
- Datawiza 存取 Proxy (DAP) - 此服務會明確透過 HTTP 標頭將身分識別資訊傳遞至應用程式
- Datawiza Cloud Management Console (DCMC) - 系統管理員適用的 UI 和 RESTful API,可用於管理 DAB 設定與存取控制原則
下圖說明 Datawiza 在混合式環境中的驗證結構。
- 使用者要求存取內部部署或雲端裝載的應用程式。 DAP Proxy 會向應用程式提出要求。
- DAP 會檢查使用者驗證狀態。 如果沒有工作階段權杖,或工作階段權杖無效,DAP 會將使用者要求傳送至 Microsoft Entra ID 以進行驗證。
- Microsoft Entra ID 將使用者要求傳送至 Microsoft Entra 租用戶內於 DAB 註冊時所指定的端點。
- DAP 會評估原則,以及要在轉送至應用程式 HTTP 標頭中包含的屬性值。 DAP 可能會呼叫識別提供者以擷取資訊,以正確設定標頭值。 DAP 設定標頭值,並將要求傳送至應用程式。
- 使用者已驗證並獲授與存取權。
必要條件
若要開始,您需要:
- Azure 訂用帳戶
- 如果沒有訂用帳戶,您可以取得 Azure 免費帳戶
- 連結至 Azure 訂用帳戶的 Microsoft Entra 租用戶
- Docker 與 docker-compose 是執行 DAP 的必要項目
- 您的應用程式可以在平台上執行,例如虛擬機器 (VM) 和裸機電腦
- 從舊版身分識別系統移轉至 Microsoft Entra ID 的內部部署或雲端託管應用程式
- 在本範例中,DAP 會部署在與應用程式相同的伺服器上
- 應用程式會在 localhost:3001 上執行。 DAP Proxy 會透過 localhost:9772 將流量傳送至應用程式
- 對應用程式的流量會先達到 DAP,然後再透過 Proxy 處理至應用程式
設定 Datawiza Cloud Management Console
在 DCMC 上建立應用程式,並產生應用程式的金鑰組:
PROVISIONING_KEY和PROVISIONING_SECRET。若要建立應用程式並產生金鑰組,請遵循 Datawiza Cloud Management Console 中的指示。
使用單鍵整合 Microsoft Entra ID 在 Microsoft Entra ID 中註冊您的應用程式。
![[設定 IdP] 對話方塊上 [自動產生器] 功能的螢幕擷取畫面。](media/datawiza-configure-sha/configure-idp.png)
若要使用 Web 應用程式,請手動填入表單欄位:[租用戶識別碼]、[用戶端識別碼] 和 [用戶端密碼]。
深入了解:若要建立 Web 應用程式並取得值,請移至 docs.datawiza.com 以取得 Microsoft Entra ID 文件。
![[設定 IdP] 對話方塊並已關閉自動產生器的螢幕擷取畫面。](media/datawiza-configure-sha/use-form.png)
使用 Docker 或 Kubernetes 執行 DAP。 需要 docker 映像才能建立範例標頭式應用程式。
- 如需了解 Kubernetes,請參閱透過使用 Kubernetes 的 Web 應用程式部署 Datawiza 存取 Proxy
- 針對 Docker,請參閱使用您的應用程式部署 Datawiza 存取 Proxy
- 您可以使用下列範例 Docker 映像 docker-compose.yml 檔案:
services:
datawiza-access-broker:
image: registry.gitlab.com/datawiza/access-broker
container_name: datawiza-access-broker
restart: always
ports:
- "9772:9772"
environment:
PROVISIONING_KEY: #############################################
PROVISIONING_SECRET: ##############################################
header-based-app:
image: registry.gitlab.com/datawiza/header-based-app
restart: always
ports:
- "3001:3001"
- 登入容器登錄。
- 在此重要步驟中,下載 DAP 映像和標頭型應用程式。
- 執行下列命令:
docker-compose -f docker-compose.yml up - 標頭型應用程式已使用 Microsoft Entra ID 啟用 SSO。
- 在瀏覽器中,前往
http://localhost:9772/。 - Microsoft Entra 登入頁面隨即顯示。
- 將使用者屬性傳遞給標頭式應用程式。 DAP 從 Microsoft Entra ID 取得使用者屬性,且透過標頭或 Cookie 將這些屬性傳遞至應用程式。
- 若要傳遞使用者屬性 (例如電子郵件地址、名字及姓氏) 至標頭式應用程式,請參閱傳遞使用者屬性。
- 若要確認已設定使用者屬性,請觀察每個屬性旁的綠色核取記號。
測試流程
- 移至應用程式 URL。
- DAP 會將您重新導向至 Microsoft Entra 登入頁面。
- 進行驗證後,系統會將您重新導向至 DAP。
- DAP 會評估原則、計算標頭,並將您傳送至應用程式。
- 要求的應用程式隨即出現。
下一步
- 教學課程:使用 Datawiza 設定 Azure Active Directory B2C 以提供安全的混合式存取
- 教學課程:設定 Datawiza 以啟用 Microsoft Entra 多重要素驗證和 SSO 至 Oracle JD Edwards
- 教學課程:設定 Datawiza 以啟用 Microsoft Entra 多重要素驗證和 SSO 至 Oracle PeopleSoft
- 教學課程:設定 Datawiza 以啟用 Microsoft Entra 多重要素驗證和 SSO 至 Oracle Hyperion EPM
- 移至 docs.datawiza.com 以取得 Datawiza 使用者指南