Sdílet prostřednictvím

Kurz: Integrace jednotného přihlašování Microsoft Entra s integrací Kemp LoadMaster Microsoft Entra

  • Článek

V tomto kurzu se dozvíte, jak integrovat integraci Kemp LoadMaster Microsoft Entra s ID Microsoft Entra. Když integrujete integraci Kemp LoadMaster Microsoft Entra s Microsoft Entra ID, můžete:

  • Řízení v Microsoft Entra ID, který má přístup k integraci Kemp LoadMaster Microsoft Entra.
  • Povolte uživatelům automatické přihlášení k integraci Kemp LoadMaster Microsoft Entra se svými účty Microsoft Entra.
  • Spravujte účty v jednom centrálním umístění.

Požadavky

Abyste mohli začít, potřebujete následující položky:

  • Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
  • Kemp LoadMaster microsoft Entra integration single sign-on (SSO) enabled subscription.

Poznámka

Tato integrace je také dostupná pro použití z prostředí Microsoft Entra US Government Cloud. Tuto aplikaci najdete v Galerii cloudových aplikací Microsoft Entra US Government a nakonfigurujete ji stejným způsobem jako ve veřejném cloudu.

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

  • Kemp LoadMaster Integrace Microsoft Entra podporuje jednotné přihlašování iniciované protokolem IDP .

Pokud chcete nakonfigurovat integraci integrace Kemp LoadMaster Microsoft Entra do Microsoft Entra ID, musíte přidat integraci Kemp LoadMaster Microsoft Entra z galerie do seznamu spravovaných aplikací SaaS.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
  3. V části Přidat z galerie zadejte do vyhledávacího pole integraci Kemp LoadMaster Microsoft Entra.
  4. Na panelu výsledků vyberte Kemp LoadMaster Microsoft Entra Integration a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a otestování jednotného přihlašování Microsoft Entra pro integraci Kemp LoadMaster Microsoft Entra

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra pomocí integrace Kemp LoadMaster Microsoft Entra pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v integraci Kemp LoadMaster Microsoft Entra.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s integrací Kemp LoadMaster Microsoft Entra, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.

    1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
    2. Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.

  2. Konfigurace jednotného přihlašování Kemp LoadMaster pro Microsoft Entra – konfigurace nastavení jednotného přihlašování na straně aplikace

  3. Publikování webového serveru

    1. Vytvoření virtuální služby
    2. Certifikáty a zabezpečení
    3. Kemp LoadMaster Microsoft Entra integration SAML Profile
    4. Ověření změn

  4. Konfigurace ověřování založeného na protokolu Kerberos

    1. Vytvoření účtu delegování protokolu Kerberos pro integraci Microsoft Entra nástroje Kemp LoadMaster
    2. Kemp LoadMaster Pro integraci Microsoft Entra KCD (účty delegování kerberos)
    3. Kemp LoadMaster Microsoft Entra integration ESP
    4. Vytvořte uživatele microsoft Entra Integration Test Kemp LoadMaster Microsoft - aby měl protějšk B.Simon v Kemp LoadMaster Microsoft Entra integrace, která je propojena s reprezentací uživatele Microsoft Entra.

  5. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte na Podnikové aplikace>Identity>Applications>Kemp LoadMaster integrace Microsoft Entra jednotné>přihlašování.

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Upravit základní konfiguraci SAML

  5. V části Základní konfigurace SAML zadejte hodnoty pro následující pole:

    a. Do textového pole Identifikátor (ID entity) zadejte adresu URL: https://<KEMP-CUSTOMER-DOMAIN>.com/

    b. Do textového pole Adresa URL odpovědi zadejte adresu URL: https://<KEMP-CUSTOMER-DOMAIN>.com/

    Poznámka

    Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem a adresou URL odpovědi. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory klienta Microsoft Entra Pro integraci Kemp LoadMaster. Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML.

  6. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte certifikát (Base64) a XML federačních metadat, vyberte Stáhnout a stáhněte soubory XML certifikátu a federačních metadat a uložte ho do počítače.

    Odkaz ke stažení certifikátu

  7. V části Nastavení Kemp LoadMaster microsoft Entra integration zkopírujte odpovídající adresy URL podle vašeho požadavku.

    Kopírování konfiguračních adres URL

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
  2. Přejděte k identitě>Uživatelé>Všichni uživatelé.
  3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
  4. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Zobrazovaný název zadejte B.Simon.
    2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
    4. Vyberte Zkontrolovat a vytvořit.
  5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k integraci Kemp LoadMaster Microsoft Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
  2. Přejděte k podnikovým aplikacím>Identity>Applications>Kemp LoadMaster integrace Microsoft Entra.
  3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
    1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
    2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
    3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace jednotného přihlašování pro integraci Kemp LoadMaster Microsoft Entra

Publikování webového serveru

Vytvoření virtuální služby

  1. Přejděte na Kemp LoadMaster Microsoft Entra integration LoadMaster Web UI > Virtual Services > Add New.

  2. Klikněte na Přidat nový.

  3. Zadejte parametry pro virtuální službu.

    Snímek obrazovky znázorňující stránku

    a. Virtuální adresa

    b. Přístav

    c. Název služby (volitelné)

    d. Protokol

  4. Přejděte do části Skutečné servery.

  5. Klikněte na Přidat nový.

  6. Zadejte parametry pro skutečný server.

    Snímek obrazovky znázorňující stránku

    a. Výběr možnosti Povolit vzdálené adresy

    b. Zadejte adresu skutečného serveru.

    c. Přístav

    d. Metoda předávání

    e. Hmotnost

    f. Limit připojení

    g. Klikněte na Přidat tento skutečný server.

Certifikáty a zabezpečení

Import certifikátu v integraci Kemp LoadMaster Microsoft Entra

  1. Přejděte na Kemp LoadMaster Microsoft Entra integration Web Portal > Certifikáty a certifikáty SSL zabezpečení > .

  2. V části Správa konfigurace certifikátu certifikátů >

  3. Klikněte na Importovat certifikát.

  4. Zadejte název souboru, který obsahuje certifikát. Soubor může obsahovat také privátní klíč. Pokud soubor neobsahuje privátní klíč, musí být zadán také soubor obsahující privátní klíč. Certifikát může být v obou . PEM nebo . Formát PFX (IIS).

  5. Klikněte na Zvolit soubor v souboru certifikátu.

  6. Klikněte na Soubor klíče (volitelné).

  7. Klikněte na Uložit.

Akcelerace SSL

  1. Přejděte na Kemp LoadMaster Web UI > Virtual Services View/Modify Services > .

  2. Klikněte na Upravit v části Operace.

  3. Klikněte na vlastnosti SSL (která funguje ve vrstvě 7).

    Snímek obrazovky znázorňující část S L Properties (Vlastnosti S S L) s vybranou možností Akcelerace S S L a vybraným ukázkovým certifikátem

    a. Klikněte na Povoleno v akceleraci SSL.

    b. V části Dostupné certifikáty vyberte importovaný certifikát a klikněte na > symbol.

    c. Jakmile se požadovaný certifikát SSL zobrazí v přiřazených certifikátech, klikněte na Nastavit certifikáty.

    Poznámka

    Ujistěte se, že jste klikli na nastavit certifikáty.

Kemp LoadMaster Microsoft Entra integration SAML Profile

Import certifikátu zprostředkovatele identity

Přejděte na webovou konzolu Kemp LoadMaster Microsoft Entra Integration Console.

  1. Klikněte na zprostředkující certifikáty v části Certifikáty a autorita.

    Snímek obrazovky znázorňující část Aktuálně nainstalované zprostředkující certifikáty s vybraným ukázkovým certifikátem

    a. Klikněte na možnost Zvolit soubor v části Přidat nový zprostředkující certifikát.

    b. Přejděte do souboru certifikátu, který jste si stáhli z aplikace Microsoft Entra Enterprise.

    c. Klikněte na Otevřít.

    d. Zadejte název v názvu certifikátu.

    e. Klikněte na Přidat certifikát.

Vytvoření zásad ověřování

Přejděte do části Správa jednotného přihlašování v části Virtuální služby.

Snímek obrazovky znázorňující stránku Spravovat S S O

a. Po zadání názvu klikněte na Přidat v části Přidat novou konfiguraci na straně klienta.

b. V části Ověřovací protokol vyberte SAML.

c. V části Zřizování zprostředkovatele identity vyberte soubor MetaData.

d. Klikněte na Zvolit soubor.

e. Přejděte na dříve stažený KÓD XML z webu Azure Portal.

f. Klikněte na Otevřít a klikněte na Importovat soubor MetaData zprostředkovatele IdentityP.

g. Vyberte zprostředkující certifikát z certifikátu zprostředkovatele identity.

h. Nastavte ID entity SP, které by se mělo shodovat s identitou vytvořenou na webu Azure Portal.

já. Klikněte na Nastavit ID entity SP.

Nastavení ověřování

Na kemp LoadMaster Microsoft Entra integration Web Console.

  1. Klikněte na Virtuální služby.

  2. Klikněte na Zobrazit nebo upravit služby.

  3. Klikněte na Upravit a přejděte do části Možnosti ESP.

    Snímek obrazovky znázorňující stránku Zobrazit/Upravit služby s rozbalenými oddíly Možnosti ESP a Skutečné servery

    a. Klikněte na Povolit ESP.

    b. V režimu ověřování klienta vyberte SAML.

    c. Vyberte dříve vytvořené ověřování na straně klienta v doméně jednotného přihlašování.

    d. Do pole Povolené virtuální hostitele zadejte název hostitele a klikněte na Nastavit povolené virtuální hostitele.

    e. Zadejte /* do povolených virtuálních adresářů (na základě požadavků na přístup) a klikněte na Nastavit povolené adresáře.

Ověření změn

Přejděte na adresu URL aplikace.

Místo neověřeného přístupu byste měli vidět přihlašovací stránku tenanta.

Snímek obrazovky znázorňující tenantovanou stránku Přihlásit se

Konfigurace ověřování založeného na protokolu Kerberos

Vytvoření účtu delegování protokolu Kerberos pro integraci Microsoft Entra nástroje Kemp LoadMaster

  1. Vytvořte uživatelský účet (v tomto příkladu AppDelegation).

    a. Vyberte kartu Editor atributů.

    b. Přejděte na servicePrincipalName.

    c. Vyberte servicePrincipalName a klikněte na Upravit.

    d. Do pole Hodnota zadejte http/kcduser a klikněte na Přidat.

    e. Klikněte na Použít a OK. Okno se musí zavřít, než ho znovu otevřete (abyste viděli novou kartu Delegování).

  2. Znovu otevřete okno vlastností uživatele a zpřístupní se karta Delegování.

  3. Vyberte kartu Delegování.

    Snímek obrazovky znázorňující okno Vlastnosti uživatele kcd s vybranou kartou Delegování

    a. Vyberte Možnost Důvěřovat tomuto uživateli pro delegování pouze určeným službám.

    b. Vyberte Použít libovolný ověřovací protokol.

    c. Přidejte skutečné servery a přidejte jako službu http.

    d. Zaškrtněte políčko Rozbalené.

    e. Zobrazí se všechny servery s názvem hostitele i plně kvalifikovaným názvem domény.

    f. Klikněte na OK.

Poznámka

Podle potřeby nastavte hlavní název služby (SPN) na webu nebo aplikaci. Přístup k aplikaci, když je nastavena identita fondu aplikací. Pokud chcete získat přístup k aplikaci IIS pomocí názvu plně kvalifikovaného názvu domény, přejděte na příkazový řádek skutečného serveru a zadejte SetSpn s požadovanými parametry. Například Setspn –S HTTP/sescoindc.sunehes.co.in suneshes\kdcuser.

Kemp LoadMaster Pro integraci Microsoft Entra KCD (účty delegování kerberos)

Přejděte na Kemp LoadMaster Microsoft Entra integration Web Console > Virtual Services > Správa jednotného přihlašování.

Snímek obrazovky znázorňující stránku Spravovat S S O – Spravovat doménu

a. Přejděte na Jednotné přihlašování Konfigurace na straně serveru.

b. Do pole Přidat novou konfiguraci na straně serveru zadejte název a klikněte na Přidat.

c. V ověřovacím protokolu vyberte omezené delegování protokolu Kerberos.

d. Do sféry Kerberos zadejte název domény.

e. Klikněte na Nastavit sféru Kerberos.

f. Zadejte IP adresu řadiče domény v Centru distribuce klíčů Kerberos.

g. Klikněte na Nastavit KDC protokolu Kerberos.

h. Do důvěryhodného uživatelského jména kerberos zadejte uživatelské jméno KCD.

já. Klikněte na Nastavit důvěryhodné uživatelské jméno služby KDC.

j. Zadejte heslo do důvěryhodného hesla uživatele kerberos.

k. Klikněte na Nastavit důvěryhodné heslo uživatele KCD.

Kemp LoadMaster Microsoft Entra integration ESP

Přejděte do zobrazení nebo úpravy služeb virtuálních služeb > .

Kemp LoadMaster Microsoft Entra integration webserver

a. Klikněte na Upravit v názvu virtuální služby Nick.

b. Klikněte na Možnosti ESP.

c. V části Režim ověřování serveru vyberte KCD.

d. V části Konfigurace na straně serveru vyberte dříve vytvořený profil na straně serveru.

Vytvoření uživatele microsoft Entra Integration Test Kemp LoadMaster

V této části vytvoříte uživatele S názvem B.Simon v integraci Microsoft Entra Microsoft LoadMaster. Spolupracujte s týmem podpory klienta integrace Kemp LoadMaster Microsoft Entra a přidejte uživatele do integrační platformy Kemp LoadMaster Microsoft Entra. Uživatelé se musí vytvořit a aktivovat před použitím jednotného přihlašování.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

  • Klikněte na Otestovat tuto aplikaci a měli byste být automaticky přihlášení k integraci Kemp LoadMaster Microsoft Entra, pro kterou jste nastavili jednotné přihlašování.

  • Můžete použít Microsoft Moje aplikace. Když kliknete na dlaždici integrace Kemp LoadMaster Microsoft Entra v Moje aplikace, měli byste být automaticky přihlášení k integraci Kemp LoadMaster Microsoft Entra, pro kterou jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Jakmile nakonfigurujete integraci Kemp LoadMaster Microsoft Entra, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.