integración del SSO de Microsoft Entra con Aqua Platform

  • Artículo

En este artículo, aprenderá a integrar Aqua Platform con Microsoft Entra ID. Aqua Platform permite a los clientes crear, escalar y automatizar aplicaciones nativas en la nube de forma segura. Al integrar Aqua Platform con Microsoft Entra ID, puede hacer lo siguiente:

  • Controlar en Microsoft Entra ID quién tiene acceso a Aqua Platform.
  • Permitir que los usuarios puedan iniciar sesión automáticamente en Aqua Platform con sus cuentas de Microsoft Entra.
  • Administre sus cuentas en una ubicación central.

Configurará y probará el inicio de sesión único de Microsoft Entra para Aqua Platform en un entorno de prueba. Aqua Platform solo admite el inicio de sesión único iniciado por SP.

Nota:

El identificador de esta aplicación es un valor de cadena fijo, por lo que solo se puede configurar una instancia en un inquilino.

Requisitos previos

Para integrar Microsoft Entra ID con Aqua Platform, necesita:

  • Una cuenta de usuario de Microsoft Entra. Si no la tiene, puede crear una cuenta gratis.
  • Uno de los siguientes roles: Administrador global, Administrador de aplicaciones en la nube, Administrador de aplicaciones o Propietario de la entidad de servicio.
  • Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
  • Una suscripción habilitada para el inicio de sesión único (SSO) en Aqua Platform.

Añadir una aplicación y asignar un usuario de prueba

Antes de comenzar el proceso de configuración del inicio de sesión único, debe agregar la aplicación Aqua Platform desde la galería de Microsoft Entra. Necesita una cuenta de usuario de prueba para asignar a la aplicación y probar la configuración de inicio de sesión único.

Añada Aqua Platform desde la galería de aplicaciones de Microsoft Entra para configurar el inicio de sesión único con Aqua Platform. Para obtener más información sobre cómo agregar una aplicación desde la galería, consulte Inicio rápido: Agregar aplicación desde la galería.

Creación y asignación de un usuario de prueba de Microsoft Entra

Siga las directrices del artículo Creación y asignación de una cuenta de usuario para crear una cuenta de usuario de prueba llamada B.Simon.

Si lo desea, puede usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puede agregar una aplicación a su inquilino, agregar usuarios o grupos a la aplicación, y asignar roles. El asistente también proporciona un vínculo al panel de configuración de inicio de sesión único. Obtenga más información sobre los asistentes de Microsoft 365..

Configuración del inicio de sesión único de Microsoft Entra

Complete los siguientes pasos para habilitar el inicio de sesión único de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Plataforma Aqua>Inicio de sesión único.

  3. En la página Seleccione un método de inicio de sesión único, elija SAML.

  4. En la página Configuración del inicio de sesión único con SAML, seleccione el icono con forma de lápiz para abrir el cuadro de diálogo Configuración básica de SAML y modificar la configuración.

    Screenshot shows how to edit Basic SAML Configuration.

  5. En la sección Configuración básica de SAML, siga estos pasos:

    a. En el cuadro de texto Identificador, escriba uno de los valores siguientes:

    Entorno URL
    us-east-1 urn:amazon:cognito:sp:us-east-1_voZ9dTvpW
    Asia-1 urn:amazon:cognito:sp:ap-southeast-1_7AUN22FiF
    EU-1 urn:amazon:cognito:sp:eu-central-1_RAierVJ6g
    ASIA-2 urn:amazon:cognito:sp:ap-northeast-2_n4Oo1PAlV

    b. En el cuadro de texto URL de respuesta, escriba una de las siguientes direcciones URL:

    Entorno URL
    us-east-1 https://cloudsploit.auth.us-east-1.amazoncognito.com/saml2/idpresponse
    Asia-1 https://auth-sg-prod.auth.ap-southeast-1.amazoncognito.com/saml2/idpresponse
    EU-1 https://auth-eu-prod.auth.eu-central-1.amazoncognito.com/saml2/idpresponse
    ASIA-2 https://auth-kr-prod.auth.ap-northeast-2.amazoncognito.com/saml2/idpresponse

    c. En el cuadro de texto URL de inicio de sesión, escriba una dirección URL similar a la siguiente: https://cloud.aquasec.com/sso

  6. La aplicación Aqua Platform espera las aserciones de SAML en un formato específico, que requiere que se agreguen asignaciones de atributos personalizados a la configuración de los atributos del token de SAML. La siguiente captura de muestra la lista de atributos predeterminados.

    Screenshot shows the image of token attributes.

  7. Además de lo anterior, la aplicación de Aqua Platform espera que se devuelvan algunos atributos más, que se muestran a continuación, en la respuesta de SAML. Estos atributos también se rellenan previamente, pero puede revisarlos según sus requisitos.

    Nombre Atributo de origen
    cspmgroups user.department
    groups user.groups

  8. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque XML de metadatos de federación y seleccione Descargar para descargar el certificado y guardarlo en su equipo.

    Screenshot shows the Certificate download link.

  9. En la sección Configurar Aqua Platform, copie las direcciones URL adecuadas en función de sus necesidades.

    Screenshot shows to copy configuration appropriate URL.

Configuración del inicio de sesión único de Aqua Platform

Para configurar el inicio de sesión único en la Plataforma Aqua, debe enviar el XML de metadatos de federación descargado y las URL copiadas correspondientes de la configuración de la aplicación al equipo de asistencia de la plataforma Aqua. Dicho equipo lo configura para establecer la conexión de SSO de SAML correctamente en ambos lados.

Creación de un usuario de prueba de Aqua Platform

En esta sección, va a crear una usuaria llamada Britta Simon en Aqua Platform. Trabaje con el equipo de soporte técnico de Aqua Platform para agregar los usuarios a Aqua Platform. Los usuarios se tienen que crear y activar antes de usar el inicio de sesión único.

Prueba de SSO

En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

  • Haga clic en Probar esta aplicación, esto redirigirá a la URL de inicio de sesión de la plataforma Aqua donde podrá iniciar el flujo de inicio de sesión.

  • Acceda directamente a la URL de inicio de sesión de Aqua Platform y ponga en marcha el flujo de inicio de sesión desde ahí.

  • Puede usar Mis aplicaciones de Microsoft. Al hacer clic en el icono de Aqua Platform en Aplicaciones, se le redirigirá a la dirección URL de inicio de sesión de dicha aplicación. Para más información, vea Aplicaciones en Microsoft Entra.

Recursos adicionales

Pasos siguientes

Una vez configurado Aqua Platform, puede aplicar el control de sesión que protege la información confidencial de la organización de la filtración y la infiltración en tiempo real. El control de sesión procede del acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Cloud App Security.