Kurz: integrace jednotného přihlašování Azure AD se surFsecureID – Azure MFA

V tomto kurzu se dozvíte, jak integrovat SURFsecureID – Azure MFA s Azure Active Directory (Azure AD). Když integrujete SURFsecureID – Azure MFA s Azure AD, můžete:

  • Řízení v Azure AD, kdo má přístup k SURFsecureID – Azure MFA.
  • Povolte uživatelům automatické přihlášení k SURFsecureID – Azure MFA pomocí svých Azure AD účtů.
  • Spravujte účty v jednom centrálním umístění – Azure Portal.

Požadavky

Abyste mohli začít, potřebujete následující položky:

  • Předplatné Azure AD. Pokud předplatné nemáte, můžete získat bezplatný účet.
  • SURFsecureID – předplatné s povoleným jednotným přihlašováním (SSO) Azure MFA

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Azure AD v testovacím prostředí.

  • SURFsecureID – Azure MFA podporuje jednotné přihlašování iniciované službou SP .

Poznámka

Identifikátor této aplikace je pevná řetězcová hodnota, takže lze nakonfigurovat pouze jednu instanci v jednom tenantovi.

Pokud chcete nakonfigurovat integraci SURFsecureID – Azure MFA do Azure AD, musíte do seznamu spravovaných aplikací SaaS přidat SURFsecureID – Azure MFA z galerie.

  1. Přihlaste se k Azure Portal pomocí pracovního nebo školního účtu nebo osobního účtu Microsoft.
  2. V levém navigačním podokně vyberte službu Azure Active Directory .
  3. Přejděte do podnikových aplikací a pak vyberte Všechny aplikace.
  4. Pokud chcete přidat novou aplikaci, vyberte Nová aplikace.
  5. Do části Přidat z galerie zadejte SURFsecureID – Azure MFA do vyhledávacího pole.
  6. Vyberte SURFsecureID – Azure MFA z panelu výsledků a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Případně můžete použít také Průvodce podnikovým App Configuration. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také procházet konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Azure AD pro SURFsecureID – Azure MFA

Nakonfigurujte a otestujte jednotné přihlašování Azure AD pomocí SURFsecureID – Azure MFA pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit relaci propojení mezi Azure AD uživatelem a souvisejícím uživatelem v SURFsecureID – Azure MFA.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Azure AD pomocí SURFsecureID – Azure MFA, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Azure AD – aby uživatelé mohli tuto funkci používat.
    1. Vytvoření testovacího uživatele Azure AD – k otestování Azure AD jednotného přihlašování pomocí B.Simon.
    2. Přiřaďte testovacímu uživateli Azure AD – aby B.Simon mohl používat Azure AD jednotné přihlašování.
  2. Nakonfigurujte SURFsecureID – jednotné přihlašování Azure MFA – a nakonfigurujte nastavení jednotného přihlašování na straně aplikace.
    1. Vytvořte SURFsecureID – testovacího uživatele Azure MFA – aby měl protějšk B.Simon v SURFsecureID – Azure MFA, který je propojený s Azure AD reprezentací uživatele.
  3. Otestujte jednotné přihlašování – ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování v Azure AD

Pokud chcete povolit jednotné přihlašování Azure AD v Azure Portal, postupujte podle těchto kroků.

  1. V Azure Portal na stránce integrace aplikace Azure MFA najděte část Spravovat a vyberte jednotné přihlašování.

  2. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  3. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Upravit základní konfiguraci SAML

  4. V části Základní konfigurace SAML proveďte následující kroky:

    a. Do textového pole Identifikátor (ID entity) zadejte jednu z následujících adres URL:

    Prostředí Adresa URL
    Příprava https://azuremfa.test.surfconext.nl/saml/metadata
    Provoz https://azuremfa.surfconext.nl/saml/metadata

    b. Do textového pole Adresa URL odpovědi zadejte jednu z následujících adres URL:

    Prostředí Adresa URL
    Příprava https://azuremfa.test.surfconext.nl/saml/acs
    Provoz https://azuremfa.surfconext.nl/saml/acs

    b. Do textového pole Přihlásit se adresu URL zadejte jednu z následujících adres URL:

    Prostředí Adresa URL
    Příprava https://sa.test.surfconext.nl
    Provoz https://sa.surfconext.nl
  5. SURFsecureID – Aplikace Azure MFA očekává kontrolní výrazy SAML v určitém formátu, které vyžadují přidání mapování vlastních atributů do konfigurace atributů tokenu SAML. Následující snímek obrazovky ukazuje seznam výchozích atributů.

    Obrázek

  6. Kromě výše uvedeného surfsecureID – aplikace Azure MFA očekává, že se v odpovědi SAML předá několik dalších atributů, které jsou uvedené níže. Tyto atributy jsou také předem vyplněné, ale můžete je zkontrolovat podle svých požadavků.

    Name Zdrojový atribut
    urn:mace:dir:attribute-def:mail user.mail
  7. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML klikněte na tlačítko Kopírovat a zkopírujte adresu URL metadat federace aplikací a uložte ho do počítače.

    Odkaz ke stažení certifikátu

Vytvoření testovacího uživatele Azure AD

V této části vytvoříte testovacího uživatele v Azure Portal s názvem B.Simon.

  1. V levém podokně v Azure Portal vyberte Azure Active Directory, vyberte Uživatelé a pak vyberte Všichni uživatelé.
  2. V horní části obrazovky vyberte Nový uživatel .
  3. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Název zadejte B.Simon.
    2. Do pole Uživatelské jméno zadejte username@companydomain.extension. Například, B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom zapište hodnotu, která se zobrazí v poli Heslo .
    4. Klikněte na Vytvořit.

Přiřazení testovacího uživatele Azure AD

V této části povolíte B.Simon, aby používal jednotné přihlašování Azure tím, že udělíte přístup k SURFsecureID – Azure MFA.

  1. V Azure Portal vyberte Podnikové aplikace a pak vyberte Všechny aplikace.
  2. V seznamu aplikací vyberte SURFsecureID – Azure MFA.
  3. Na stránce přehledu aplikace vyhledejte oddíl Spravovat a vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
  5. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
  6. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat z rozevíracího seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná role Výchozí přístup.
  7. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace SURFsecureID – Jednotné přihlašování Azure MFA

Pokud chcete nakonfigurovat jednotné přihlašování na straně SURFsecureID – Azure MFA , musíte odeslat adresu URL metadat federace aplikací do týmu podpory SURFsecureID – Azure MFA. Toto nastavení nastaví tak, aby bylo správně nastavené připojení jednotného přihlašování SAML na obou stranách.

Vytvoření SURFsecureID – testovací uživatel Azure MFA

V této části vytvoříte uživatele Britta Simon v SURFsecureID – Azure MFA. Spolupracujte s SURFsecureID – tým podpory Azure MFA a přidejte uživatele na platformě SURFsecureID – Azure MFA. Před použitím jednotného přihlašování je nutné uživatele vytvořit a aktivovat.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Azure AD s následujícími možnostmi.

  • V Azure Portal klikněte na Testovat tuto aplikaci. Tím se přesměruje na SURFsecureID – přihlašovací adresa URL Azure MFA, kde můžete zahájit tok přihlášení.

  • Přejděte na SURFsecureID – Přihlašovací adresa URL Azure MFA přímo a spusťte tok přihlášení odsud.

  • Můžete použít Microsoft Moje aplikace. Když v Moje aplikace kliknete na dlaždici SURFsecureID – Azure MFA, přesměruje se na adresu URL pro přihlášení k Azure MFA. Další informace o Moje aplikace najdete v tématu Úvod do Moje aplikace.

Další kroky

Po konfiguraci SURFsecureID – Azure MFA můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Naučte se vynucovat řízení relací pomocí Microsoft Defender for Cloud Apps.