Teilen über

Konfigurieren der HashiCorp-Grenze für einmaliges Anmelden mit Microsoft Entra-ID

In diesem Artikel erfahren Sie, wie Sie HashiCorp Boundary mit Microsoft Entra ID integrieren. Wenn Sie HashiCorp Boundary mit Microsoft Entra ID integrieren, können Sie:

Verwenden Sie die Microsoft Entra-ID, um zu steuern, wer auf HashiCorp Boundary zugreifen kann. Ermöglichen Sie Es Ihren Benutzern, mit ihren Microsoft Entra-Konten automatisch bei HashiCorp Boundary angemeldet zu sein. Verwalten Sie Ihre Konten an einem zentralen Ort: dem Azure-Portal.

Voraussetzungen

Um zu beginnen, benötigen Sie die folgenden Elemente:

  • Ein Microsoft Entra-Abonnement. Wenn Sie kein Abonnement haben, können Sie ein kostenloses Konto erhalten.
  • HashiCorp Boundary Single Sign-On (SSO) aktiviertes Abonnement.

Um die Integration von HashiCorp Boundary in Microsoft Entra ID zu konfigurieren, müssen Sie HashiCorp Boundary aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.

  3. Geben Sie im Abschnitt "Aus der Galerie hinzufügen" im Suchfeld "HashiCorp Boundary" ein.

  4. Wählen Sie "HashiCorp Boundary " im Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Microsoft Entra SSO konfigurieren

Führen Sie die folgenden Schritte aus, um Microsoft Entra Single Sign-On im Microsoft Entra Admin-Center zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>HashiCorp Boundary>Einmalanmeldung.

  3. Führen Sie die folgenden Schritte im folgenden Abschnitt aus:

    1. Wählen Sie "Zur Anwendung wechseln" aus.

      Screenshot, der die Identitätskonfiguration zeigt.

    2. Kopieren Sie die Anwendungs-ID (Client-ID), und verwenden Sie sie später in der HashiCorp Boundary-Seitenkonfiguration.

      Screenshot der Werte des Anwendungsclients.

    3. Kopieren Sie auf der Registerkarte Endpunkte den Link zum OpenID Connect-Metadatendokument und verwenden Sie ihn später in der Konfiguration auf der Seite von HashiCorp Boundary.

      Screenshot der Anzeige der Endpunkte auf der Registerkarte.

  4. Navigieren Sie im linken Menü zur Registerkarte Authentifizierung, und führen Sie die folgenden Schritte aus:

    1. Fügen Sie im Textfeld "Umleitungs-URIs" die Callback-URL ein, die Sie von der HashiCorp Boundary-Seite kopiert haben.

    2. Geben Sie in der Frontkanal-Abmelde-URL den Wert an <Hashicorp-Cluster-URL>:3000, und wählen Sie "Konfigurieren" aus.

      Screenshot mit Anzeige der Umleitungswerte.

  5. Navigieren Sie im linken Menü zu Zertifikaten und geheimen Schlüsseln, und führen Sie die folgenden Schritte aus:

    1. Gehen Sie zur Registerkarte Geheime Clientschlüssel und wählen Sie +Neuer geheimer Clientschlüssel aus.

    2. Geben Sie eine gültige Beschreibung in das Textfeld ein und wählen Sie Ablauftage aus der Dropdown-Liste entsprechend Ihren Anforderungen und wählen Sie Hinzufügen.

      Screenshot des Werts der Client-Geheimnisse.

    3. Nachdem Sie ein Clientgeheimnis hinzugefügt haben, wird ein Wert generiert. Kopieren Sie den Wert, und verwenden Sie ihn später in der HashiCorp Boundary-Seitenkonfiguration.

      Screenshot, der zeigt, wie ein geheimer Clientschlüssel hinzugefügt wird.

Erstellen eines Microsoft Entra-Testbenutzers

In diesem Abschnitt erstellen Sie einen Testbenutzer namens "B.Simon".

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Navigieren Sie zu Entra-ID-Benutzern>.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie in den Benutzereigenschaften die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Wert B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname den Wert username@companydomain.extension ein. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie dann den Wert, der im Feld Kennwort angezeigt wird.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Wählen Sie "Erstellen" aus.

Ordnen Sie den Microsoft Entra-Testbenutzer zu

In diesem Abschnitt aktivieren Sie B.Simon, einmaliges Anmelden zu verwenden, indem Sie Zugriff auf HashiCorp Boundary gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>HashiCorp Boundary.
  3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppenaus.
  4. Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
    1. Wählen Sie im Dialogfeld "Benutzer und Gruppen " in der Liste "Benutzer" die Option "B.Simon " und dann unten auf dem Bildschirm die Schaltfläche " Auswählen " aus.
    2. Wenn Sie davon ausgehen, dass den Benutzern eine Rolle zugewiesen wird, können Sie sie aus der Dropdownliste "Rolle auswählen " auswählen. Wenn für diese App keine Rolle eingerichtet wurde, wird die Rolle "Standardzugriff" ausgewählt.
    3. Wählen Sie im Dialogfeld Zuweisung hinzufügen die Schaltfläche Zuweisen aus.

Konfigurieren von HashiCorp Boundary SSO

Im Folgenden finden Sie die Konfigurationsschritte zum Ausführen des OAuth/OIDC-Verbundsetups:

  1. Melden Sie sich beim HashiCorp Boundary Cluster an.

  2. Wechseln Sie zu Auth-Methoden , und wählen Sie "Neu" aus, und wählen Sie "OIDC" aus.

    Screenshot von der Einrichtung der Föderation.

  3. Führen Sie die folgenden Schritte auf der Registerkarte "Neue Auth-Methode " aus.

    Screenshot der Darstellung des oidc-Setups bei der neuen Authentifizierungsmethode.

    a) Geben Sie im Feld "Name " den Namen für die Identifikation ein.

    b. Geben Sie im Feld "Beschreibung " einen gültigen Beschreibungswert ein.

    Abschnitt c. Fügen Sie den Wert des Open ID Connect-Metadatendokuments in das Feld Aussteller ein, den Sie von der Entra-Seite kopiert haben, und schließen Sie .well-known/openid-configuration aus dem kopierten Wert aus.

  4. Führen Sie die folgenden Schritte für die Felder aus, die im folgenden Screenshot angezeigt werden.

    Screenshot des Setups von Client-ID-oidc.

    a) Fügen Sie im Feld "Client-ID " den Wert "Anwendungs-ID " ein, den Sie von der Entra-Seite kopiert haben.

    b. Fügen Sie im Feld "Geheimer Clientschlüssel " den Wert ein, den Sie aus dem Abschnitt "Zertifikate und Geheime Schlüssel " auf der Entra-Seite kopiert haben.

    Abschnitt c. Wählen Sie im Feld Signaturalgorithmen die Option rs256 hinzufügen aus.

  5. Führen Sie die folgenden Schritte für die Felder aus, die im folgenden Screenshot angezeigt werden.

    Screenshot der Konfiguration des URL-Präfixes

    a) Geben Sie im API-URL-Präfix den Wert von <Hashicorp-Cluster-URL>.

    b. Wählen Sie "SPEICHERN" aus.

    Abschnitt c. Kopieren Sie den Rückruf-URL-Wert , der generiert wird, nachdem Sie die Schaltfläche "Speichern" ausgewählt haben, und verwenden Sie ihn später in der Entra-Seitenkonfiguration.