Konfigurace proxy aplikace Datawiza Access pro jednotné přihlašování Microsoft Entra a MFA pro Outlook Web Access

V tomto kurzu se dozvíte, jak nakonfigurovat proxy aplikace Datawiza Access (DAP) tak, aby povolovala jednotné přihlašování (SSO) Microsoft Entra a vícefaktorové ověřování Microsoft Entra pro Outlook Web Access (OWA). Pomoc s řešením problémů při integraci moderních zprostředkovatelů identity se starší verzí OWA, která podporuje ověřování pomocí tokenu Kerberos k identifikaci uživatelů.

Starší verze aplikací a moderní integrace jednotného přihlašování jsou často výzvou, protože neexistuje žádná podpora moderního protokolu. Proxy aplikace Datawiza Access odebere mezeru v podpoře protokolu, snižuje režii na integraci a zlepšuje zabezpečení aplikací.

Výhody integrace:

• Vylepšené zabezpečení nulová důvěra (Zero Trust) s jednotným přihlašováním, vícefaktorovým ověřováním a podmíněným přístupem:
  • Podívejte se na proaktivní zabezpečení s využitím nulová důvěra (Zero Trust)
  • Podívejte se, co je podmíněný přístup?
• Integrace bez kódu s Microsoft Entra ID a webovými aplikacemi:
  • OWA
  • Oracle JD Edwards
  • Oracle E-Business Suite
  • Oracle Siebel
  • Oracle PeopleSoft
  • Vaše aplikace
  • Viz, snadné ověřování a autorizace v Microsoft Entra ID s no-code Datawiza
• Ke správě přístupu ke cloudovým a místním aplikacím použijte Konzolu pro správu cloudu (DCMC) Datawiza:
  • Přejděte na login.datawiza.com a přihlaste se nebo zaregistrujte účet.

Architektura

Architektura integrace DAP zahrnuje následující komponenty:

• Microsoft Entra ID – služba pro správu identit a přístupu, která pomáhá uživatelům při přihlašování a přístupu k externím a interním prostředkům
• OWA – starší součást systému Exchange Server, která má být chráněna id Microsoft Entra
• Řadič domény – server, který spravuje ověřování uživatelů a přístup k síťovým prostředkům v síti se systémem Windows
• Centrum distribuce klíčů (KDC) – distribuuje a spravuje tajné klíče a lístky v ověřovacím systému Kerberos.
• DAP – reverzní proxy server, který implementuje OpenID Connect (OIDC), OAuth nebo SAML (Security Assertion Markup Language) pro přihlášení uživatele. DAP se integruje s chráněnými aplikacemi pomocí:
  • Záhlaví HTTP
  • Kerberos
  • Webový token JSON (JWT)
  • jiné protokoly
• DCMC – konzola pro správu DAP s uživatelským rozhraním a rozhraními RESTful API pro správu konfigurací a zásad řízení přístupu

Následující diagram znázorňuje tok uživatele s DAP v síti zákazníka.

Následující diagram znázorňuje tok uživatele z prohlížeče uživatele do OWA.

1. Prohlížeč uživatelů požaduje přístup k aplikaci OWA chráněnou technologií DAP.
2. Uživatelský prohlížeč se směruje na Microsoft Entra ID.
3. Zobrazí se přihlašovací stránka Microsoft Entra.
4. Uživatel zadá přihlašovací údaje.
5. Po ověření se prohlížeč uživatele směruje na DAP.
6. Tokeny výměny DAP a Microsoft Entra ID.
7. Id Microsoft Entra vydává uživatelské jméno a relevantní informace pro DAP.
8. DAP přistupuje k distribučnímu centru klíčů (KDC) pomocí přihlašovacích údajů. DAP požaduje lístek Kerberos.
9. KDC vrátí lístek Kerberos.
10. DAP přesměruje prohlížeč uživatele na OWA.
11. Zobrazí se prostředek OWA.|

Poznámka:

Následné požadavky prohlížeče uživatelů obsahují token Kerberos, který umožňuje přístup k OWA přes DAP.

Požadavky

Potřebujete následující komponenty. Předchozí prostředí DAP není nutné.

• Účet Azure
  • Pokud ho nemáte, získejte bezplatný účet Azure.
• Tenant Microsoft Entra propojený s účtem Azure
  • Viz rychlý start: Vytvoření nového tenanta v MICROSOFT Entra ID
• Ke spuštění DAP se vyžaduje Docker a Docker Compose.
  • Viz, Get Docker
  • Viz, instalace Docker Compose, přehled
• Identity uživatelů synchronizované z místního adresáře do Microsoft Entra ID nebo vytvořené v Microsoft Entra ID a tok zpět do místního adresáře
  • Viz Microsoft Entra Connect Sync: Principy a přizpůsobení synchronizace
• Účet s oprávněními správce aplikací Microsoft Entra
  • Viz, Správce aplikací a další role v předdefinovaných rolích Microsoft Entra
• Prostředí Systému Exchange Server. Podporované verze:
  • Integrované ověřování systému Windows (IWA) microsoft Internetová informační služba (IIS) – IIS 7 nebo novější
  • Microsoft OWA IWA – IIS 7 nebo novější
• Instance Windows Serveru nakonfigurovaná se službou IIS a službami Microsoft Entra spuštěnými jako řadič domény (DC) a implementací jednotného přihlašování kerberos (IWA)
  • U rozsáhlých produkčních prostředí je neobvyklé mít aplikační server (IIS), který funguje také jako řadič domény.
• Volitelné: Webový certifikát SSL pro publikování služeb přes PROTOKOL HTTPS nebo certifikáty podepsané svým držitelem (SELF-signed certificate) pro účely testování.

Povolení ověřování protokolem Kerberos pro OWA

1. Přihlaste se do Centra pro správu Exchange.

2. V Centru pro správu Exchange v levém navigačním panelu vyberte servery.

3. Vyberte kartu virtuálních adresářů.

   

4. V rozevíracím seznamu pro výběr serveru vyberte server.

5. Poklikejte na owa (výchozí web).

6. Ve virtuálním adresáři vyberte kartu ověřování .

7. Na kartě ověřování vyberte Použít jednu nebo více standardních metod ověřování a pak vyberte Integrované ověřování systému Windows.

8. Výběr možnosti Uložit

   

9. Otevřete příkazový řádek.

10. Spusťte příkaz iisreset.

    

Vytvoření účtu služby DAP

DAP vyžaduje známé přihlašovací údaje systému Windows, které instance používá ke konfiguraci služby Kerberos. Uživatel je účet služby DAP.

1. Přihlaste se k instanci Windows Serveru.

2. Vyberte Uživatelé a počítače.

3. Vyberte šipku dolů instance DAP. Příklad je datawizatest.com.

4. V seznamu klikněte pravým tlačítkem na Uživatelé.

5. V nabídce vyberte Nový a pak vyberte Uživatel.

6. U nového objektu – uživatel zadejte jméno a příjmení.

7. Jako přihlašovací jméno uživatele zadejte dap.

8. Vyberte Další.

   

9. Do pole Heslo zadejte heslo.

10. Zadejte ho znovu do potvrzení.

11. Zaškrtněte políčka Pro uživatele nemůže změnit heslo a heslo nikdy nevyprší.

    

12. Vyberte Další.

13. Kliknutím pravým tlačítkem myši na nového uživatele zobrazíte nakonfigurované vlastnosti.

Vytvoření instančního objektu pro účet služby

Před vytvořením hlavního názvu služby (SPN) můžete vypsat hlavní názvy služby a potvrdit, že mezi nimi je hlavní název služby http.

1. Pokud chcete vypsat hlavní názvy služeb, použijte následující syntaxi na příkazovém řádku Windows.

   setspn -Q \*/\<**domain.com**

2. Ověřte, že mezi nimi je hlavní název služby http.

3. Chcete-li zaregistrovat hlavní název služby hostitele pro účet, použijte následující syntaxi na příkazovém řádku Windows.

   setspn -A host/dap.datawizatest.com dap

Poznámka:

host/dap.datawizatest.com je jedinečný hlavní název služby (SPN) a dap je účet služby, který jste vytvořili.

Konfigurace služby IIS windows Serveru pro omezené delegování

1. Přihlaste se k řadiči domény (DC).

2. Vyberte Uživatelé a počítače.

3. Ve vaší organizaci vyhledejte a vyberte objekt Users .

4. Vyhledejte účet služby, který jste vytvořili.

5. Klikněte pravým tlačítkem myši na účet.

6. V seznamu vyberte Vlastnosti.

7. Vyberte kartu Delegování.

8. Vyberte Možnost Důvěřovat tomuto uživateli pro delegování pouze určeným službám.

9. Vyberte Použít libovolný ověřovací protokol.

10. Vyberte Přidat.

    

11. V nabídce Přidat služby vyberte Uživatelé nebo počítače.

    

12. Do pole Zadejte názvy objektů, které chcete vybrat, zadejte název počítače.

13. Vyberte OK.

    

14. V části Přidat služby v části Dostupné služby v části Typ služby vyberte http.

15. Vyberte OK.

    

Integrace OWA s Microsoft Entra ID

Následující pokyny použijte k integraci OWA s Microsoft Entra ID.

1. Přihlaste se ke konzole pro správu cloudu Datawiza (DCMC).

2. Zobrazí se úvodní stránka.

3. Vyberte oranžové tlačítko Začínáme .

   

Název nasazení

1. V části Název nasazení zadejte název a popis.

2. Vyberte Další.

   

Přidat aplikaci

1. V nabídce Přidat aplikaci jako platformu vyberte Web.

2. Jako název aplikace zadejte název aplikace. Doporučujeme smysluplné zásady vytváření názvů.

3. Jako veřejnou doménu zadejte externí adresu URL aplikace. Například https://external.example.com. K testování použijte server DNS (LocalHost Domain Name Server).

4. Jako naslouchací port zadejte port DAP, na který naslouchá. Pokud daP není nasazený za nástrojem pro vyrovnávání zatížení, můžete použít port uvedený ve veřejné doméně.

5. V případě upstreamových serverů zadejte adresu URL a kombinaci portů implementace OWA.

6. Vyberte Další.

   

Konfigurace zprostředkovatele identity

Integrační funkce DCMC pomáhají dokončit konfiguraci Microsoft Entra. Řadič pro správu domény místo toho volá rozhraní Microsoft Graph API k provádění úloh. Tato funkce zkracuje čas, úsilí a chyby.

1. Při konfiguraci zprostředkovatele identity zadejte název.

2. V poli Protokol vyberte OIDC.

3. Jako zprostředkovatele identity vyberte Microsoft Entra ID.

4. Povolte automatický generátor.

5. U podporovaných typů účtů vyberte Účet pouze v tomto adresáři organizace (jeden tenant).

6. Vyberte Vytvořit.

7. Zobrazí se stránka s kroky nasazení pro DAP a aplikaci.

8. Podívejte se na soubor Docker Compose nasazení, který obsahuje image DAP, PROVISIONING_KEY a PROVISIONING_SECRET. DAP používá klíče k vyžádání nejnovější konfigurace a zásad řadiče pro správu řadičů pro správu základní desky.

Konfigurace protokolu Kerberos

1. Na stránce aplikace vyberte Podrobnosti o aplikaci.

2. Vyberte kartu Upřesnit.

3. Na dílčí kartě Kerberos povolte Protokol Kerberos.

4. V případě sféry Protokolu Kerberos zadejte umístění, kde je uložena databáze Kerberos, nebo doménu.

5. Jako hlavní název služby (SPN) zadejte název instančního objektu aplikace OWA. Nejedná se o stejný hlavní název služby ( SPN), který jste vytvořili.

6. Jako delegovanou přihlašovací identitu zadejte externí adresu URL aplikace. K testování použijte DNS místního hostitele.

7. V případě služby KDC zadejte IP adresu řadiče domény. Pokud je dns nakonfigurovaný, zadejte plně kvalifikovaný název domény (FQDN).

8. Jako účet služby zadejte účet služby, který jste vytvořili.

9. Jako typ ověřování vyberte Heslo.

10. Zadejte heslo účtu služby.

11. Zvolte Uložit.

    

Konfigurace protokolu SSL

1. Na stránce aplikace vyberte kartu Upřesnit .

2. Vyberte podtabut SSL .

3. Vyberte položku Upravit.

   

4. Vyberte možnost povolit PROTOKOL SSL.

5. V části Typ certifikátu vyberte typ certifikátu. K testování můžete použít poskytnutý certifikát localhost podepsaný svým držitelem.

   

6. Zvolte Uložit.

Volitelné: Povolení vícefaktorového ověřování Microsoft Entra

Pokud chcete zajistit více zabezpečení přihlašování, můžete vynutit vícefaktorové ověřování Microsoft Entra. Proces začíná v Centru pro správu Microsoft Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako správce aplikací.
2. Přejděte na kartu Entra ID>Přehled>Vlastnosti.
3. V části Výchozí nastavení zabezpečení vyberte Spravovat výchozí nastavení zabezpečení.
4. V podokně Výchozí nastavení zabezpečení přepněte rozevírací nabídku a vyberte Povoleno.
5. Zvolte Uložit.

Další kroky

• Povolení jednotného přihlašování a MFA pro Oracle JD Edwards s Microsoft Entra ID přes Datawiza
• Konfigurace zabezpečeného hybridního přístupu pomocí Microsoft Entra ID a Datawiza
• Přechod na docs.datawiza.com pro uživatelské příručky datawiza