Kurz: Konfigurace zabezpečeného hybridního přístupu pomocí Microsoft Entra ID a Datawiza
V tomto kurzu se dozvíte, jak integrovat MICROSOFT Entra ID s Datawiza pro hybridní přístup. Datawiza Access Proxy (DAP) rozšiřuje ID Microsoft Entra o povolení jednotného přihlašování (SSO) a poskytuje řízení přístupu k ochraně místních a cloudově hostovaných aplikací, jako je Oracle E-Business Suite, Microsoft IIS a SAP. Díky tomuto řešení můžou podniky přejít ze starších správců webového přístupu (WAM), jako jsou Symantec SiteMinder, NetIQ, Oracle a IBM, na Microsoft Entra ID bez přepisování aplikací. Podniky můžou datawiza používat jako řešení bez kódu nebo nízkého kódu k integraci nových aplikací do Microsoft Entra ID. Tento přístup umožňuje podnikům implementovat strategii nulová důvěra (Zero Trust) a zároveň ušetřit čas přípravy a snížit náklady.
Další informace: nulová důvěra (Zero Trust) zabezpečení
Datawiza s architekturou ověřování Microsoft Entra
Integrace Datawiza zahrnuje následující komponenty:
- Microsoft Entra ID – Služba pro správu identit a přístupu, která pomáhá uživatelům při přihlašování a přístupu k externím a interním prostředkům
- Datawiza Access Proxy (DAP) – Tato služba transparentně předává informace o identitě aplikacím prostřednictvím hlaviček HTTP.
- Datawiza Cloud Management Console (DCMC) – Uživatelská rozhraní a rozhraní RESTful API pro správce pro správu konfigurace DAP a zásad řízení přístupu
Následující diagram znázorňuje architekturu ověřování s Datawiza v hybridním prostředí.
- Uživatel požádá o přístup k místní nebo cloudové aplikaci. Proxy serveru DAP požadavek na aplikaci.
- DAP kontroluje stav ověřování uživatelů. Pokud neexistuje žádný token relace nebo token relace je neplatný, DAP odešle žádost uživatele do Microsoft Entra ID pro ověření.
- ID Microsoft Entra odešle požadavek uživatele do koncového bodu zadaného během registrace DAP v tenantovi Microsoft Entra.
- DAP vyhodnocuje zásady a hodnoty atributů, které se zahrnou do hlaviček HTTP předávaných do aplikace. DAP může volat zprostředkovatele identity, aby načetl informace, aby se správně nastavily hodnoty hlaviček. DAP nastaví hodnoty hlaviček a odešle požadavek do aplikace.
- Uživatel je ověřený a má udělený přístup.
Požadavky
Na začátek budete potřebovat:
- Předplatné Azure
- Pokud ho nemáte, můžete získat bezplatný účet Azure.
- Tenant Microsoft Entra propojený s předplatným Azure
- Ke spuštění DAP se vyžaduje Docker a docker-compose .
- Vaše aplikace můžou běžet na platformách, jako je virtuální počítač nebo holý počítač.
- Místní nebo cloudová aplikace pro přechod ze starší verze systému identit na Microsoft Entra ID
- V tomto příkladu se DAP nasadí na stejný server jako aplikace.
- Aplikace běží na místním hostiteli: 3001. Proxy servery DAP provoz do aplikace přes localhost: 9772
- Provoz do aplikace dosáhne DAP a je směrován na aplikaci.
Konfigurace konzoly pro správu cloudu Datawiza
Přihlaste se ke konzole pro správu cloudu Datawiza (DCMC).
Vytvořte aplikaci na řadiči domény DCMC a vygenerujte pár klíčů pro aplikaci:
PROVISIONING_KEYaPROVISIONING_SECRET.Pokud chcete vytvořit aplikaci a vygenerovat pár klíčů, postupujte podle pokynů v konzole pro správu cloudu Datawiza.
Zaregistrujte aplikaci v Microsoft Entra ID pomocí integrace One Click s Microsoft Entra ID.
Pokud chcete použít webovou aplikaci, ručně vyplňte pole formuláře: ID tenanta, ID klienta a tajný klíč klienta.
Další informace: Pokud chcete vytvořit webovou aplikaci a získat hodnoty, přejděte na docs.datawiza.com dokumentaci k Microsoft Entra ID .
Spusťte DAP pomocí Dockeru nebo Kubernetes. K vytvoření ukázkové aplikace založené na hlavičce je potřeba image Dockeru.
- Informace o Kubernetes najdete v tématu Nasazení proxy přístupu datawiza s využitím webové aplikace pomocí Kubernetes.
- Informace o Dockeru najdete v tématu Nasazení proxy přístupu datawiza s vaší aplikací.
- Můžete použít následující ukázkový soubor image Dockeru docker-compose.yml:
services:
datawiza-access-broker:
image: registry.gitlab.com/datawiza/access-broker
container_name: datawiza-access-broker
restart: always
ports:
- "9772:9772"
environment:
PROVISIONING_KEY: #############################################
PROVISIONING_SECRET: ##############################################
header-based-app:
image: registry.gitlab.com/datawiza/header-based-app
restart: always
ports:
- "3001:3001"
- Přihlaste se k registru kontejneru.
- Stáhněte si obrázky DAP a aplikaci založenou na hlavičce v tomto důležitém kroku.
- Spusťte následující příkaz
docker-compose -f docker-compose.yml up: - Aplikace založená na hlavičce má povolené jednotné přihlašování s ID Microsoft Entra.
- V prohlížeči přejděte na
http://localhost:9772/. - Zobrazí se přihlašovací stránka Microsoft Entra.
- Předejte atributy uživatele do aplikace založené na hlavičce. DAP získá atributy uživatele z Microsoft Entra ID a předává atributy do aplikace prostřednictvím hlavičky nebo souboru cookie.
- Pokud chcete předat atributy uživatele, jako je e-mailová adresa, křestní jméno a příjmení do aplikace založené na hlavičce, přečtěte si téma Předávání atributů uživatele.
- Pokud chcete potvrdit nakonfigurované atributy uživatele, podívejte se na zelenou značku zaškrtnutí vedle každého atributu.
Testování toku
- Přejděte na adresu URL aplikace.
- DAP vás přesměruje na přihlašovací stránku Microsoft Entra.
- Po ověření budete přesměrováni na DAP.
- DAP vyhodnocuje zásady, počítá hlavičky a odesílá vás do aplikace.
- Zobrazí se požadovaná aplikace.
Další kroky
- Kurz: Konfigurace Azure Active Directory B2C s Datawiza pro zajištění zabezpečeného hybridního přístupu
- Kurz: Konfigurace Datawiza pro povolení vícefaktorového ověřování Microsoft Entra a jednotného přihlašování k Oracle JD Edwards
- Kurz: Konfigurace Datawiza pro povolení vícefaktorového ověřování Microsoft Entra a jednotného přihlašování k Oracle PeopleSoft
- Kurz: Konfigurace Datawiza pro povolení vícefaktorového ověřování Microsoft Entra a jednotného přihlašování k Oracle Hyperion EPM
- Přejít na docs.datawiza.com pro uživatelské příručky datawiza