Sdílet prostřednictvím

Kurz: Integrace jednotného přihlašování (SSO) Microsoft Entra se vzdálenou podporou BeyondTrust

  • Článek

V tomto kurzu se dozvíte, jak integrovat vzdálenou podporu BeyondTrust s ID Microsoft Entra. Když integrujete BeyondTrust Remote Support s Microsoft Entra ID, můžete:

  • Řízení v Microsoft Entra ID, který má přístup k BeyondTrust Remote Support.
  • Povolte uživatelům automatické přihlášení k podpoře BeyondTrust Remote Pomocí svých účtů Microsoft Entra.
  • Spravujte účty v jednom centrálním umístění.

Požadavky

Abyste mohli začít, potřebujete následující položky:

  • Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
  • Předplatné s povoleným jednotným přihlašováním (SSO) beyondTrust Remote Support

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

  • BeyondTrust Remote Support podporuje jednotné přihlašování iniciované aktualizací SP .
  • Podpora BeyondTrust Remote podporuje zřizování uživatelů za běhu

Pokud chcete nakonfigurovat integraci BeyondTrust Remote Support do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat vzdálenou podporu BeyondTrust z galerie.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
  3. V části Přidat z galerie zadejte do vyhledávacího pole vzdálenou podporu BeyondTrust.
  4. Na panelu výsledků vyberte Možnost BeyondTrust Remote Support (Vzdálená podpora BeyondTrust) a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a otestování jednotného přihlašování Microsoft Entra pro vzdálenou podporu BeyondTrust

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s využitím vzdálené podpory BeyondTrust pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v části BeyondTrust Remote Support.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra pomocí vzdálené podpory BeyondTrust, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
  2. Konfigurace jednotného přihlašování prostřednictvím vzdálené podpory BeyondTrust – konfigurace nastavení jednotného přihlašování na straně aplikace
    • Vytvoření testovacího uživatele vzdálené podpory BeyondTrust – aby měl protějšek B.Simon v BeyondTrust Remote Support, který je propojený s reprezentací uživatele Microsoft Entra.
  3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Přejděte k podnikovým aplikacím>Identity>Applications>BeyondTrust Remote Support>Single sign-on.

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte na ikonu úprav a pera pro základní konfiguraci SAML a upravte nastavení.

    Edit Basic SAML Configuration

  5. V části Základní konfigurace SAML zadejte hodnoty pro následující pole:

    a. Do pole Identifikátor zadejte adresu URL pomocí následujícího vzoru:https://<HOSTNAME>.bomgar.com

    b. Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru: https://<HOSTNAME>.bomgar.com/saml/sso

    c. Do textového pole Přihlašovací adresa URL zadejte adresu URL pomocí následujícího vzoru: https://<HOSTNAME>.bomgar.com/saml

    Poznámka:

    Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem, adresou URL odpovědi a přihlašovací adresou URL. Tyto hodnoty se dozvíte později v tomto kurzu.

  6. Aplikace BeyondTrust Remote Support očekává kontrolní výrazy SAML v určitém formátu, což vyžaduje, abyste do konfigurace atributů tokenu SAML přidali mapování vlastních atributů. Následující snímek obrazovky ukazuje seznam výchozích atributů.

    image

  7. Kromě výše uvedeného očekává aplikace BeyondTrust Remote Support několik dalších atributů, které se předávají zpět v odpovědi SAML, které jsou uvedeny níže. Tyto atributy jsou také předem vyplněné, ale můžete je zkontrolovat podle svých požadavků.

    Název Zdrojový atribut
    Username user.userprincipalname
    FirstName user.givenname
    LastName user.last
    E-mail user.mail
    Skupiny user.groups

    Poznámka:

    Při přiřazování skupin Microsoft Entra pro aplikaci BeyondTrust Remote Support bude nutné upravit možnost Skupiny vrácené v deklaraci identity z none do SecurityGroup. Skupiny se do aplikace naimportují jako ID objektů. ID objektu skupiny Microsoft Entra lze najít kontrolou vlastností v rozhraní Microsoft Entra ID. To bude nutné k odkazování a přiřazování skupin Microsoft Entra správným zásadám skupiny.

  8. Při nastavování jedinečného identifikátoru uživatele musí být tato hodnota nastavena na NameID-Format: Persistent. Vyžadujeme, aby se tento identifikátor správně identifikoval a přidružil uživatele ke správným zásadám skupiny pro oprávnění. Kliknutím na ikonu pro úpravy otevřete dialogové okno Atributy a deklarace identity uživatele a upravte hodnotu jedinečného identifikátoru uživatele.

  9. V části Spravovat deklaraci identity klikněte na formát Zvolit identifikátor názvu a nastavte hodnotu na Trvalou a klikněte na Uložit.

    User Attributes and Claims

  10. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte XML federačních metadat a vyberte Stáhnout a stáhněte certifikát a uložte ho do počítače.

    The Certificate download link

  11. V části Nastavit beyondTrust Remote Support zkopírujte odpovídající adresy URL na základě vašeho požadavku.

    Copy configuration URLs

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

  1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
  2. Přejděte k identitě>Uživatelé>Všichni uživatelé.
  3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
  4. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Zobrazovaný název zadejte B.Simon.
    2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
    4. Vyberte Zkontrolovat a vytvořit.
  5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k beyondTrust Remote Support.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte na podnikové aplikace>Identity>Applications>BeyondTrust Remote Support.
  3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
    1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
    2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
    3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace jednotného přihlašování vzdálené podpory BeyondTrust

  1. V jiném okně webového prohlížeče se přihlaste k BeyondTrust Remote Support jako Správa istrator.

  2. Přejděte na Zprostředkovatele zabezpečení uživatelů a zabezpečení>.

  3. V zprostředkovatelích SAML klikněte na ikonu Upravit.

    SAML Providers edit icon

  4. Rozbalte část Nastavení poskytovatele služeb.

  5. Klikněte na možnost Stáhnout metadata zprostředkovatele služeb nebo můžete zkopírovat hodnoty ID entity a adresy URL služby ACS a použít tyto hodnoty v části Základní konfigurace SAML.

    Download Service Provider Metadata

  6. V části Zprostředkovatel identity Nastavení klikněte na Nahrát metadata zprostředkovatele identity a vyhledejte soubor XML metadat, který jste stáhli.

  7. ID entity, adresa URL služby jednotného přihlašování a certifikát serveru se automaticky nahrají a vazba protokolu URL jednotného přihlašování se bude muset změnit na HTTP POST.

    Screenshot shows the Identity Provider Settings section where you perform these actions.

  8. Klikněte na Uložit.

Vytvoření testovacího uživatele vzdálené podpory BeyondTrust

V této části se uživatel s názvem Britta Simon vytvoří v části BeyondTrust Remote Support. BeyondTrust Remote Support podporuje zřizování uživatelů za běhu, které je ve výchozím nastavení povolené. V této části není žádná položka akce. Pokud uživatel ještě ve vzdálené podpoře BeyondTrust neexistuje, vytvoří se po ověření nový.

Postupujte podle následujícího postupu, který je povinný pro konfiguraci vzdálené podpory BeyondTrust.

Tady nakonfigurujeme Nastavení zřizování uživatelů. Hodnoty použité v této části budou odkazovány z oddílu Atributy a deklarace identity uživatele. Nakonfigurovali jsme, aby to byly výchozí hodnoty, které se už importují při vytváření, ale v případě potřeby je možné tuto hodnotu přizpůsobit.

Screenshot shows the User Provision Settings where you can configure user values.

Poznámka:

Pro tuto implementaci nejsou nezbytné skupiny a atribut e-mailu. Pokud pro oprávnění využíváte skupiny Microsoft Entra a přiřazujete je k zásadám skupiny BeyondTrust Remote Support, bude potřeba na ID objektu skupiny odkazovat prostřednictvím svých vlastností na webu Azure Portal a umístit je do části Dostupné skupiny. Po dokončení bude teď id objektu nebo skupina AD k dispozici pro přiřazení k zásadám skupiny pro oprávnění.

Screenshot shows the I T section with Membership type, Source, Type, and Object I D.

Screenshot shows the Basic Settings page for a group policy.

Poznámka:

Případně můžete nastavit výchozí zásady skupiny u zprostředkovatele zabezpečení SAML2. Když tuto možnost definujete, přiřadí se všem uživatelům, kteří se ověřují prostřednictvím SAML, oprávnění zadaná v rámci zásad skupiny. Zásady Obecné členy jsou součástí programu BeyondTrust Remote Support/Privileged Remote Access s omezenými oprávněními, které je možné použít k otestování ověřování a přiřazení uživatelů ke správným zásadám. Uživatelé nebudou naplnit seznam uživatelů SAML2 prostřednictvím /login > Users & Security až do prvního úspěšného pokusu o ověření. Další informace o zásadách skupiny najdete na následujícím odkazu: https://www.beyondtrust.com/docs/remote-support/getting-started/admin/group-policies.htm

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

  • Klikněte na Otestovat tuto aplikaci. Tím se přesměruje na přihlašovací adresu URL vzdálené podpory BeyondTrust, kde můžete zahájit tok přihlášení.

  • Přejděte přímo na přihlašovací adresu URL vzdálené podpory BeyondTrust a spusťte tok přihlášení odsud.

  • Můžete použít Microsoft Moje aplikace. Když kliknete na dlaždici BeyondTrust Remote Support v Moje aplikace, bude přesměrování na BeyondTrust Remote Support Sign-on URL. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Jakmile nakonfigurujete vzdálenou podporu BeyondTrust, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Ovládací prvky relace se rozšiřují z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.