Integrace jednotného přihlašování Microsoft Entra s SURFconext

V tomto článku se dozvíte, jak integrovat SURFconext s Microsoft Entra ID. Připojené instituce SURF můžou použít SURFconext k přihlášení k mnoha cloudovým aplikacím s přihlašovacími údaji instituce. Když integrujete SURFconext s Microsoft Entra ID, můžete:

• Řízení v Microsoft Entra ID, který má přístup k SURFconext.
• Povolte uživatelům, aby se k surfconextu automaticky přihlásili pomocí svých účtů Microsoft Entra.
• Spravujte účty v jednom centrálním umístění.

Nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra pro SURFconext v testovacím prostředí. SURFconext podporuje jednotné přihlašování iniciované aktualizací SP a zřizování uživatelů za běhu .

Poznámka:

Identifikátor této aplikace je pevná řetězcová hodnota, takže v jednom tenantovi je možné nakonfigurovat pouze jednu instanci.

Požadavky

Pokud chcete integrovat ID Microsoft Entra s SURFconext, potřebujete:

• Uživatelský účet Microsoft Entra. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
• Jedna z následujících rolí: Application Správa istrator, Cloud Application Správa istrator nebo Application Owner.
• Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
• Předplatné s povoleným jednotným přihlašováním (SSO) SURFconext

Přidání aplikace a přiřazení testovacího uživatele

Než začnete s konfigurací jednotného přihlašování, musíte přidat aplikaci SURFconext z galerie Microsoft Entra. K přiřazení aplikace potřebujete testovací uživatelský účet a otestovat konfiguraci jednotného přihlašování.

Přidání surfconext z galerie Microsoft Entra

Přidejte SURFconext z galerie aplikací Microsoft Entra pro konfiguraci jednotného přihlašování pomocí SURFconext. Další informace o tom, jak přidat aplikaci z galerie, najdete v rychlém startu : Přidání aplikace z galerie.

Vytvoření a přiřazení testovacího uživatele Microsoft Entra

Postupujte podle pokynů v článku vytvoření a přiřazení uživatelského účtu k vytvoření testovacího uživatelského účtu s názvem B.Simon.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace a přiřadit role. Průvodce také poskytuje odkaz na podokno konfigurace jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoftu 365.

Konfigurace jednotného přihlašování Microsoft Entra

Pokud chcete povolit jednotné přihlašování Microsoft Entra, proveďte následující kroky.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte k podnikovým aplikacím>identit>>SURFconext>Jednotného přihlašování.

3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

4. Na stránce Nastavení jednotného přihlašování pomocí SAML vyberte ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

   

5. V části Základní konfigurace SAML proveďte následující kroky:

   a. Do textového pole Identifikátor zadejte jednu z následujících adres URL:

   Prostředí	Adresa URL
   Výroba	https://engine.surfconext.nl/authentication/sp/metadata
   Příprava	https://engine.test.surfconext.nl/authentication/sp/metadata

   b. Do textového pole Adresa URL odpovědi zadejte jednu z následujících adres URL:

   Prostředí	Adresa URL
   Výroba	https://engine.surfconext.nl/authentication/sp/consume-assertion
   Příprava	https://engine.test.surfconext.nl/authentication/sp/consume-assertion

   c. Do textového pole Přihlásit se na adresu URL zadejte jednu z následujících adres URL:

   Prostředí	Adresa URL
   Výroba	https://engine.surfconext.nl/authentication/sp/debug
   Příprava	https://engine.test.surfconext.nl/authentication/sp/debug

6. Aplikace SURFconext očekává kontrolní výrazy SAML v určitém formátu, což vyžaduje přidání vlastních mapování atributů na konfiguraci atributů tokenu SAML. Následující snímek obrazovky ukazuje seznam výchozích atributů.

   

   Poznámka:

   Tyto výchozí atributy můžete odebrat nebo odstranit ručně v části Další deklarace identity, pokud to není povinné.

7. Kromě výše uvedeného očekává aplikace SURFconext několik dalších atributů, které se předávají zpět v odpovědi SAML, které jsou uvedeny níže. Tyto atributy jsou také předem vyplněné, ale můžete je zkontrolovat podle svých požadavků.

   Název	Zdrojový atribut
   urn:mace:dir:attribute-def:cn	user.displayname
   urn:mace:dir:attribute-def:displayName	user.displayname
   urn:mace:dir:attribute-def:eduPersonPrincipalName	user.userprincipalname
   urn:mace:dir:attribute-def:givenName	user.givenname
   urn:mace:dir:attribute-def:mail	user.mail
   urn:mace:dir:attribute-def:preferredLanguage	user.preferredlanguage
   urn:mace:dir:attribute-def:sn	user.last
   urn:mace:dir:attribute-def:uid	user.userprincipalname
   urn:mace:terena.org:attribute-def:schacHomeOrganization	user.userprincipalname

8. Chcete-li provést operaci transformace pro urn:mace:terena.org:attribute-def:schacHomeOrganization deklarace identity, vyberte tlačítko Transformace jako zdroj v části Spravovat deklaraci identity .

9. Na stránce Spravovat transformaci proveďte následující kroky:

   

   1. V rozevíracím seznamu v poli Transformace vyberte Extrahovat() a klikněte na tlačítko Po párování.

   2. Vyberte atribut jako parametr 1 (vstup).

   3. V poli Název atributu v rozevíracím seznamu vyberte user.userprinciplename.

   4. V rozevíracím seznamu vyberte @ hodnotu.

   5. Klikněte na tlačítko Přidat.

10. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte v části Podpisový certifikát SAML na tlačítko Kopírovat a zkopírujte adresu URL federačních metadat aplikace a uložte ji do počítače.

    

Konfigurace jednotného přihlašování SURFconext

Pokud chcete nakonfigurovat jednotné přihlašování na straně SURFconext, musíte odeslat adresu URL federačních metadat aplikace týmu podpory SURFconext. Toto nastavení nastaví tak, aby bylo správně nastavené připojení jednotného přihlašování SAML na obou stranách.

Vytvoření testovacího uživatele SURFconext

V této části se v surfconextu vytvoří uživatel B.Simon. SURFconext podporuje zřizování uživatelů za běhu, které je ve výchozím nastavení povolené. V této části není žádná položka akce. Pokud uživatel v SURFconext ještě neexistuje, vytvoří se po ověření nový.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

• Klikněte na Otestovat tuto aplikaci, tím se přesměruje na přihlašovací adresu URL SURFconext, kde můžete zahájit tok přihlášení.

• Přejděte přímo na přihlašovací adresu URL SURFconext a spusťte tok přihlášení odsud.

• Můžete použít Microsoft Moje aplikace. Když v Moje aplikace kliknete na dlaždici SURFconext, přesměruje se na přihlašovací adresu URL SURFconext. Další informace naleznete v tématu Microsoft Entra Moje aplikace.

Další materiály

• Co je jednotné přihlašování pomocí Microsoft Entra ID?
• Naplánujte nasazení jednotného přihlašování.

Další kroky

Jakmile nakonfigurujete SURFconext, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Zjistěte, jak vynutit řízení relací pomocí Microsoft Cloud App Security.