Tutorial: Integration des einmaligen Anmeldens (SSO) von Microsoft Entra in SignalFx
In diesem Tutorial erfahren Sie, wie Sie SignalFx in Microsoft Entra ID integrieren. Die Integration von SignalFx in Microsoft Entra ID ermöglicht Folgendes:
- Steuern Sie in Microsoft Entra ID, wer Zugriff auf SignalFx hat.
- Ermöglichen Sie es Ihren Benutzer*innen, sich mit ihren Microsoft Entra-Konten automatisch bei SignalFx anzumelden.
- Sie können Ihre Konten zentral über das Azure-Portal verwalten.
Voraussetzungen
Für die ersten Schritte benötigen Sie Folgendes:
- Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
- SignalFx-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist
Beschreibung des Szenarios
In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.
- SignalFx unterstützt IDP-initiiertes einmaliges Anmelden.
- SignalFx unterstützt Just-in-Time-Benutzerbereitstellung.
Schritt 1: Hinzufügen der SignalFx-Anwendung in Azure
Gehen Sie wie folgt vor, um die SignalFx-Anwendung Ihrer Liste mit den verwalteten SaaS-Apps hinzuzufügen:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
- Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff SignalFx in das Suchfeld ein.
- Wählen Sie im Ergebnisbereich SignalFx aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
- Lassen Sie das Microsoft Entra Admin Center geöffnet, und öffnen Sie dann eine neue Browserregisterkarte.
Schritt 2: Konfigurieren des einmaligen Anmeldens für SignalFx
Gehen Sie wie folgt vor, um mit dem Konfigurationsprozess für das einmalige Anmelden für SignalFx zu beginnen:
- Greifen Sie in dem neuen Tab auf die SignalFx-Benutzeroberfläche zu, und melden Sie sich an.
- Klicken Sie im oberen Menü auf Integrations (Integrationen).
- Geben Sie Microsoft Entra ID im Suchfeld ein, und wählen Sie diesen Dienst aus.
- Klicken Sie auf Create New Integration (Neue Integration erstellen).
- Geben Sie unter Name einen aussagekräftigen, für Ihre Benutzer nachvollziehbaren Namen ein.
- Aktivieren Sie Show on login page (Auf der Anmeldeseite anzeigen).
- Dadurch wird auf der Anmeldeseite eine angepasste Schaltfläche angezeigt, auf die Ihre Benutzer klicken können.
- Die Schaltfläche wird mit dem Text angezeigt, den Sie unter Name eingegeben haben. Geben Sie daher unter Name einen aussagekräftigen Namen ein.
- Diese Option funktioniert nur, wenn für die SignalFx-Anwendung eine benutzerdefinierte Unterdomäne wie etwa
.signalfx.com verwendet wird. Wenden Sie sich an den SignalFx-Support, um eine benutzerdefinierte Unterdomäne zu erhalten.
- Kopieren Sie die Integrations-ID. Sie benötigen diese Informationen in den späteren Schritten.
- Lassen Sie die SignalFx-Benutzeroberfläche geöffnet.
Schritt 3: Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra
Verwenden Sie diese Anweisungen, um das einmalige Anmelden (SSO) von Microsoft Entra zu aktivieren.
Kehren Sie zum Microsoft Entra Admin Center zurück, navigieren Sie auf der Anwendungsintegrationsseite für SignalFx zum Abschnitt Verwalten, und wählen Sie Einmaliges Anmelden aus.
Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.
Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.
Führen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten die folgenden Schritte aus:
a. Geben Sie unter Bezeichner die folgende URL
https://api.<realm>.signalfx.com/v1/saml/metadata
ein und ersetzen Sie<realm>
durch Ihren SignalFx-Bereich sowie<integration ID>
durch die Integrations-ID, die Sie zuvor aus der SignalFx-Benutzeroberfläche kopiert haben. (mit Ausnahme des Bereichs US0 muss die URLhttps://api.signalfx.com/v1/saml/metadata
sein).b. Geben Sie unter Antwort-URL die URL
https://api.<realm>.signalfx.com/v1/saml/acs/<integration ID>
ein. Ersetzen Sie dabei<realm>
durch Ihren SignalFx-Bereich und<integration ID>
durch die Integrations-ID (Integration ID), die Sie zuvor auf der SignalFx-Benutzeroberfläche kopiert haben. (mit Ausnahme von US0 muss die URLhttps://api.signalfx.com/v1/saml/acs/<integration ID>
sein).Die SignalFx-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen.
Vergewissern Sie sich, dass die folgenden Ansprüche zu den in Active Directory aufgefüllten Quellattributen passen:
Name Quellattribut User.FirstName user.givenname User.email user.mail PersonImmutableID user.userprincipalname User.LastName user.surname Hinweis
Hierzu muss Active Directory mit mindestens einer überprüften benutzerdefinierten Domäne konfiguriert sein und auf die E-Mail-Konten in dieser Domäne zugreifen können. Sollten Sie unsicher sein oder Unterstützung bei dieser Konfiguration benötigen, wenden Sie sich an den SignalFx-Support.
Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Zertifikat (Base64) , und wählen Sie Herunterladen aus. Laden Sie das Zertifikat herunter, und speichern Sie es auf Ihrem Computer. Kopieren Sie dann den Wert unter App-Verbundmetadaten-URL. Er wird später auf der SignalFx-Benutzeroberfläche benötigt.
Kopieren Sie im Abschnitt SignalFx einrichten den Wert unter Microsoft Entra-Bezeichner. Er wird später auf der SignalFx-Benutzeroberfläche benötigt.
Schritt 4: Erstellen einer Microsoft Entra-Testbenutzerin
In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
- Browsen Sie zu Identität>Benutzer>Alle Benutzer.
- Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
- Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
- Geben Sie im Feld Anzeigename den Namen
B.Simon
ein. - Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel:
B.Simon@contoso.com
. - Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
- Klicken Sie auf Überprüfen + erstellen.
- Geben Sie im Feld Anzeigename den Namen
- Klicken Sie auf Erstellen.
Schritt 5: Zuweisen der Microsoft Entra-Testbenutzerin
In diesem Abschnitt ermöglichen Sie B.Simon die Verwendung des einmaligen Anmeldens, indem Sie ihr Zugriff auf SignalFx gewähren.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>SignalFx.
- Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
- Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
- Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
- Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
- Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.
Schritt 6: Abschließen der Konfiguration des einmaligen Anmeldens für SignalFx
- Öffnen Sie die vorherige Registerkarte, und kehren Sie zur SignalFx-Benutzeroberfläche zurück, um die aktuelle Microsoft Entra-Integrationsseite anzuzeigen.
- Klicken Sie neben Certificate (Base64) (Zertifikat [Base64]) auf Upload File (Datei hochladen), und navigieren Sie zu der Base64-codierten Zertifikatdatei, die Sie zuvor heruntergeladen haben.
- Fügen Sie neben dem Microsoft Entra-Bezeichner den Wert für Microsoft Entra-Bezeichner ein, den Sie zuvor kopiert haben.
- Fügen Sie neben Federation Metadata URL (Verbundmetadaten-URL) den Wert der App-Verbundmetadaten-URL ein, den Sie zuvor kopiert haben.
- Klicken Sie auf Speichern.
Schritt 7: Testen des einmaligen Anmeldens
Machen Sie sich mit der folgenden Anleitung zum Testen des einmaligen Anmeldens sowie mit den Erwartungen im Zusammenhang mit der ersten Anmeldung bei SignalFx vertraut.
Testen von Anmeldungen
Um die Anmeldung zu testen, sollten Sie ein privates oder ein Inkognitofenster verwenden oder sich abmelden. Andernfalls stören Cookies für den/die Benutzer*in, der/die die Anwendung konfiguriert hat, und verhindern eine erfolgreiche Anmeldung für die Testbenutzerin.
Bei der ersten Anmeldung eines neuen Testbenutzers wird von Azure eine Kennwortänderung erzwungen. Dadurch wird der SSO-Anmeldevorgang nicht abgeschlossen, und der Testbenutzer wird zum Azure-Portal weitergeleitet. In diesem Fall muss der Testbenutzer sein Kennwort ändern, zur Anmeldeseite von SignalFx oder zu „Meine Apps“ navigieren und es noch mal versuchen.
- Wenn Sie unter „Meine Apps“ auf die Kachel „SignalFx“ klicken, sollten Sie automatisch bei der SignalFx-Instanz angemeldet werden.
- Weitere Informationen zu „Meine Apps“ finden in der Einführung zu „Meine Apps“.
- Wenn Sie unter „Meine Apps“ auf die Kachel „SignalFx“ klicken, sollten Sie automatisch bei der SignalFx-Instanz angemeldet werden.
Auf die SignalFx-Anwendung kann über „Meine Apps“ oder über eine benutzerdefinierte, der Organisation zugewiesene Anmeldeseite zugegriffen werden. Der Testbenutzer sollte die Integration von einem dieser Orte aus testen.
- Dabei kann der Testbenutzer die Anmeldeinformationen verwenden, die zuvor in diesem Prozess für b.simon@contoso.com erstellt wurden.
Erstmalige Anmeldungen
Wenn sich ein Benutzer zum ersten Mal per SAML-SSO bei SignalFx anmeldet, erhält er eine SignalFx-E-Mail mit einem Link. Der Benutzer muss zur Authentifizierung auf den Link klicken. Diese E-Mail-Überprüfung wird nur bei erstmaligen Benutzern durchgeführt.
SignalFx unterstützt die Just-In-Time-Benutzererstellung. Das bedeutet: Wenn ein Benutzer in SignalFx nicht vorhanden ist, wird das Konto des Benutzers beim ersten Anmeldeversuch erstellt.
Nächste Schritte
Nach dem Konfigurieren von SignalFx können Sie eine Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.