Konfigurieren der SailPoint Identity Security Cloud für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie SailPoint Identity Security Cloud mit Microsoft Entra ID integrieren. Die Integration von SailPoint Identity Security Cloud mit Microsoft Entra ID ermöglicht Ihnen Folgendes:

• Steuern Sie in Microsoft Entra ID, wer Zugriff auf SailPoint Identity Security Cloud hat.
• Ermöglichen Sie es Ihren Benutzenden sich mit ihren Microsoft Entra-Konten automatisch bei SailPoint Identity Security Cloud anzumelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Ein aktives SailPoint Identity Security Cloud-Abonnement. Wenn Sie nicht über Identity Security Cloud verfügen, wenden Sie sich an das SailPoint Identity Security Cloud-Supportteam.

Hinweis

Diese Integration kann auch über die Microsoft Entra US Government-Cloud-Umgebung verwendet werden. Sie finden diese Anwendung im Microsoft Entra-Anwendungskatalog für die US Government-Cloud. Sie können sie auf die gleiche Weise wie in der öffentlichen Cloud konfigurieren.

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

• SailPoint Identity Security Cloud unterstützt SSO, das von SP und IDP initiiert wird.

Hinzufügen von SailPoint Identity Security Cloud aus dem Katalog

Um die Integration von SailPoint Identity Security Cloud mit Microsoft Entra ID zu konfigurieren, müssen Sie SailPoint Identity Security Cloud aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff SailPoint Identity Security Cloud in das Suchfeld ein.
4. Wählen Sie SailPoint Identity Security Cloud im Ergebnisbereich und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des SSO von Microsoft Entra für SailPoint Identity Security Cloud

Konfigurieren und testen Sie das SSO von Microsoft Entra mit SailPoint Identity Security Cloud mithilfe eines Testbenutzerkontos namens B.Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzerkonto und dem entsprechenden Benutzerkonto in SailPoint Identity Security Cloud eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des SSO von Microsoft Entra mit SailPoint Identity Security Cloud die folgenden Schritte aus:

1. Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
   1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
   2. Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
2. Konfigurieren des SSO von SailPoint Identity Security Cloud, um die Einstellungen für das Single Sign-On auf der Anwendungsseite zu konfigurieren.
   1. Erstellen Sie einen SailPoint Identity Security Cloud-Testbenutzer – um ein Gegenstück von B.Simon in SailPoint Identity Security Cloud zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>SailPoint Identity Security Cloud>Single Sign-On.

3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus, wenn Sie die Anwendung im IDP-initiierten Modus konfigurieren möchten:

   a) Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein: https://<TENANT_NAME>.identitynow.com/sp

   b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://<TENANT_NAME>.login.sailpoint.com/saml/SSO/alias/<TENANT_NAME>-sp

6. Wählen Sie "Zusätzliche URLs festlegen" aus, und führen Sie den folgenden Schritt aus, wenn Sie die Anwendung im initiierten SP-Modus konfigurieren möchten:

   Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://<TENANT_NAME>.identitynow.com/

   Hinweis

   Diese Werte sind nicht real. Sie müssen diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL aktualisieren. Diese Werte erhalten Sie vom Supportteam für den SailPoint Identity Security Cloud-Client. Sie können sich auch die Muster im Abschnitt Grundlegende SAML-Konfiguration ansehen.

7. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zum Eintrag Zertifikat (Base64) . Wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen, und speichern Sie es auf Ihrem Computer.

   

8. Kopieren Sie im Abschnitt SailPoint Identity Security Cloud einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

   

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des SSO von SailPoint Identity Security Cloud

1. Melden Sie sich in einem anderen Webbrowserfenster bei der SailPoint Identity Security Cloud-Unternehmenswebsite als Admin an.

2. Wechseln Sie zu Global –> Sicherheitseinstellungen –> Dienstanbieter und nehmen Sie die folgenden Konfigurationsänderungen vor.

   

   a) Remote-Identitätsanbieter aktivieren.

   b. Fügen Sie in das Textfeld Entity ID den Wert für die Entitäts-ID ein, den Sie zuvor kopiert haben.

   Abschnitt c. Fügen Sie in das Textfeld Login URL for Post den Wert für die Anmelde-URL ein, den Sie zuvor kopiert haben.

   d. Fügen Sie in das Textfeld Login URL for Redirect den Wert für die Anmelde-URL ein, den Sie zuvor kopiert haben.

   e. Fügen Sie im Feld Abmelde-URL den Wert https://<IDN Tenant>.login.sailpoint.com/signout ein.

   f. Wählen Sie im Abschnitt SAML-Anforderungsattribut die folgenden Werte aus.

   • Identitätszuordnungsattribut: uid
   • SAML-NameID: Unspecified
   • SAML-Binding: Post
   • Angeforderter Authentifizierungskontext ausschließen: checked

   g. Wählen Sie im Signaturzertifikat"Importieren" aus, um das heruntergeladene Zertifikat (Base64) aus dem Azure-Portal hochzuladen.

Erstellen eines SailPoint Identity Security Cloud-Testbenutzerkontos

In diesem Abschnitt wird in SailPoint Identity Security Cloud ein Benutzerkonto für B.Simon erstellt. Arbeiten Sie mit dem Supportteam von SailPoint Identity Security Cloud zusammen, um die Benutzenden in der SailPoint Identity Security Cloud-Plattform hinzuzufügen. Benutzer müssen erstellt und aktiviert werden, damit Sie einmaliges Anmelden verwenden können.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

• Wählen Sie "Diese Anwendung testen" aus. Diese Option leitet zu sailPoint Identity Security Cloud Sign on URL um, unter der Sie den Anmeldefluss initiieren können.

• Navigieren Sie direkt zur Anmelde-URL für SailPoint Identity Security Cloud und initiieren Sie den Anmeldeflow.

IDP-initiiert:

• Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch bei der SailPoint Identity Security Cloud angemeldet sein, für die Sie das SSO einrichten.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Wenn Sie die Kachel "SailPoint Identity Security Cloud" in den "Meine Apps" auswählen, werden Sie, wenn sie im SP-Modus konfiguriert sind, zur Anmeldeseite umgeleitet, um den Anmeldefluss zu initiieren, und wenn sie im IDP-Modus konfiguriert sind, sollten Sie automatisch bei der SailPoint Identity Security Cloud angemeldet sein, für die Sie das SSO einrichten. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Verwandte Inhalte

Nach dem Konfigurieren von SailPoint Identity Security Cloud können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.