Konfigurieren von Pure Storage SSO für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie Pure Storage SSO in Microsoft Entra ID integrieren. Durch die Integration von Pure Storage SSO mit Microsoft Entra ID können Sie Folgendes:

• In Microsoft Entra ID steuern, wer Zugriff auf Pure Storage SSO hat.
• Ihren Benutzenden ermöglichen, sich automatisch mit ihren Microsoft Entra-Konten bei Pure Storage SSO anzumelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Ein Pure Storage SSO-Abonnement mit Single Sign-On (SSO).

• [Optional] Wenn Sie beabsichtigen, Signaturzertifikate und Verschlüsselungsassertionsfeatures zu verwenden, sollten Sie Ihr Zertifikat und Ihren privaten Schlüssel mithilfe von precept create--certificate --key "cert-name" in Pure Storage FlashArray importieren. Verwenden Sie den bevorzugten Modus der Zertifikaterstellung, für selbstsignierte Zertifikate wenden Sie sich bitte an das Pure Storage SSO-Supportteam , um weitere Details zu erhalten.

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

• Pure Storage SSO unterstützt sowohl SP- als auch IDP-initiiertes SSO.

Hinzufügen von Pure Storage SSO aus dem Katalog

Um die Integration von Pure Storage SSO in Microsoft Entra ID zu konfigurieren, müssen Sie Pure Storage SSO aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt Aus Katalog hinzufügenPure Storage SSO in das Suchfeld ein.
4. Wählen Sie Pure Storage SSO aus dem Ergebnisbereich aus und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra SSO für Pure Storage SSO

Konfigurieren und testen Sie Microsoft Entra SSO mit Pure Storage SSO unter Verwendung eines Testbenutzenden namens B.Simon. Damit SSO funktioniert, müssen Sie eine Verknüpfungsbeziehung zwischen Microsoft Entra-Benutzenden und den entsprechenden Benutzenden in Pure Storage SSO herstellen.

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO mit Pure Storage SSO zu konfigurieren und zu testen:

1. Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
   1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
   2. Erstellen Sie einen Microsoft Entra-Testbenutzer – um B.Simon die Verwendung von Microsoft Entra Single Sign-On zu ermöglichen.
2. Konfigurieren von Pure Storage SSO, um die Einstellungen für das Single Sign-On auf der Anwendungsseite zu konfigurieren.
3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um das einmalige Anmelden von Microsoft Entra im Microsoft Entra Admin Center zu aktivieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Pure Storage SSO>Single Sign-On.

3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

4. Wählen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten das Bleistiftsymbol für SAML-Basiskonfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:

   a) Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein: https://<ARRAY-NAME>.purestorage.com/saml2/service-provider-metadata/<SSO_CONFIG_NAME>

   b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://<ARRAY-NAME>.purestorage.com/login/saml2/sso/<SSO_CONFIG_NAME>

6. Wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten, führen Sie die folgenden Schritte aus:

   Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://<ARRAY-NAME>.purestorage.com/login/saml2/sso/<FQDN_of_Array_Name>

   Hinweis

   Diese Werte sind nicht real. Ersetzen Sie diese Werte durch die tatsächlichen Werte für Bezeichner, Antwort-URL und Anmelde-URL. Sie können sich auch die Muster im Abschnitt Grundlegende SAML-Konfiguration im Microsoft Entra Admin Center ansehen.

7. Die SSO-Anwendung von Pure Storage erwartet die SAML-Assertionen in einem bestimmten Format, was bedeutet, dass Sie benutzerdefinierte Attributzuordnungen zu Ihrer SAML-Token-Attributkonfiguration hinzufügen müssen. Der folgende Screenshot zeigt die Liste der Standardattribute.

   

8. Darüber hinaus erwartet die Pure Storage SSO-Anwendung, dass einige weitere Attribute in der SAML-Antwort zurückgegeben werden, die unten aufgeführt sind. Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen.

   Name	Quellattribut
   Reinheitsrollen	user.assignedroles

   Hinweis

   Bearbeiten Sie die Standardrollen in der Microsoft Entra-App, und aktualisieren Sie ihre Werte als storage_admin, ops_admin, readonly und array_admin. Weitere Informationen finden Sie unter Benutzeroberfläche für App-Rollen – Abschnitt zum Aktualisieren von Werten und Zuweisen von Benutzern und Gruppen zu Microsoft Entra-Rollen – Abschnitt für Rollenzuweisung hier.

9. Wählen Sie auf der Seite Einmaliges Anmelden mit SAML- im Abschnitt SAML-Signaturzertifikat die Schaltfläche "Kopieren" aus, um URL der App-Verbundmetadaten zu kopieren und auf Ihrem Computer zu speichern.

   

10. Im Abschnitt "Pure Storage SSO einrichten" kopieren Sie eine oder mehrere geeignete URLs abhängig von Ihrem Bedarf.

    

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren von Pure Storage SSO

1. Melden Sie sich als Administrator bei pure Storage SSO-Unternehmenswebsite an.

2. Wechseln Sie zum Abschnitt Einstellungen>Zugriff>SAML2 SSO, und wählen Sie in der rechten oberen Ecke der Seite die Schaltfläche + aus, um Ihre SSO-Konfiguration hinzuzufügen.

   

3. Gehen Sie auf der Seite SSO-Konfigurationsseiten in folgenden Schritten vor:

   

   1. Geben Sie im Textfeld Name einen gültigen Namen ein.

   2. Kopieren Sie die Entitäts-ID und fügen Sie sie in das Textfeld Bezeichner im Abschnitt Grundlegende SAML-Konfiguration im Microsoft Entra Admin Center ein.

   3. Kopieren Sie Assertion Consumer Service URL, und fügen Sie es in das Textfeld Antwort-URL im Abschnitt Grundlegende SAML-Konfiguration im Microsoft Entra Admin Center ein.

   4. Fügen Sie im Textfeld Entitäts-ID den Microsoft Entra-Bezeichner ein, den Sie aus dem Microsoft Entra Admin Center kopiert haben.

   5. Fügen Sie im Textfeld URL die Anmelde-URL ein, die Sie aus dem Microsoft Entra Admin Center kopiert haben.

   6. Fügen Sie im Textfeld Metadaten-URL die Verbundmetadaten-URL der App ein, die Sie aus dem Microsoft Entra Admin Center kopiert haben.

   7. [Optional]Füllen Sie Anmeldeinformationen und Entschlüsselungs-Anmeldeinformationen mit Zertifikatnamen aus, der in Pure Storage FlashArray importiert wurde. Umschalten und Aktivieren von Signieranforderung und Verschlüsselungsassertion.

   8. Rufen Sie das Verifizierungszertifikat von der Microsoft Entra-App ab, und aktualisieren Sie die SSO-Konfiguration von FlashArray im Feld Verifizierungszertifikat. Sie können die im Dokument beschriebenen Schritte befolgen, um ein entsprechendes Zertifikat zu erhalten.

   9. Wählen Sie Speichern aus.

      Hinweis

      Führen Sie dies nur dann auf der Microsoft Entra-App-Seite aus, wenn Sie "Encrypt Assertions" aktivieren möchten. Importieren Sie Zertifikate, und aktivieren Sie die Tokenverschlüsselung , indem Sie diesem Link folgen.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

• Wählen Sie "Diese Anwendung testen " im Microsoft Entra Admin Center aus. Diese Option leitet zur Pure Storage SSO-Anmelde-URL um, wo Sie den Anmeldeablauf initiieren können.

• Gehen Sie direkt zur Pure Storage SSO-Anmelde-URL und starten Sie den Anmeldeprozess von dort aus.

IDP-initiiert:

• Wählen Sie "Diese Anwendung testen " im Microsoft Entra Admin Center aus, und Sie sollten automatisch beim Pure Storage SSO angemeldet sein, für das Sie das SSO einrichten.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Wenn Sie die Pure Storage SSO-Kachel in den "Meine Apps" auswählen, werden Sie, wenn sie im SP-Modus konfiguriert sind, zur Anmeldeseite umgeleitet, um den Anmeldefluss zu initiieren, und wenn sie im IDP-Modus konfiguriert sind, sollten Sie automatisch beim Pure Storage SSO angemeldet sein, für das Sie das SSO einrichten. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Verwandte Inhalte

Nach dem Konfigurieren von Pure Storage SSO können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Ex- und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.