Configuración de BeyondTrust Remote Support para el inicio de sesión único con Microsoft Entra ID

En este artículo, aprenderá a integrar BeyondTrust Remote Support con Microsoft Entra ID. Al integrar BeyondTrust Remote Support con Microsoft Entra ID, podrá:

• Controlar en Microsoft Entra ID quién tiene acceso a BeyondTrust Remote Support.
• Permitir que los usuarios inicien sesión automáticamente en BeyondTrust Remote Support con sus cuentas de Microsoft Entra.
• Administre sus cuentas en una ubicación central.

Prerrequisitos

En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:

• Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si aún no tiene una, puede crear una cuenta de forma gratuita.
• Uno de los siguientes roles:
  • Administrador de aplicaciones
  • Administrador de aplicaciones en la nube
  • Propietario de la aplicación.

• Una suscripción habilitada para el inicio de sesión único (SSO) en BeyondTrust Remote Support.

Descripción del escenario

En este artículo, configura y prueba Microsoft Entra SSO en un entorno de prueba.

• BeyondTrust Remote Support admite el inicio de sesión único iniciado por SP
• BeyondTrust Remote Support admite el aprovisionamiento de usuarios Just-In-Time

Incorporación de BeyondTrust Remote Support desde la galería

Para configurar la integración de BeyondTrust Remote Support en Microsoft Entra ID, debe agregar BeyondTrust Remote Support desde la galería a la lista de aplicaciones SaaS administradas.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
2. Vaya a Entra ID>Aplicaciones empresariales>Nueva aplicación.
3. En la sección Agregar desde la galería , escriba BeyondTrust Remote Support en el cuadro de búsqueda.
4. Seleccione BeyondTrust Remote Support en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega a su arrendatario.

Como alternativa, también puede usar el Asistente para configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para BeyondTrust Remote Support

Configure y pruebe el inicio de sesión único de Microsoft Entra con BeyondTrust Remote Support mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de BeyondTrust Remote Support.

Para configurar y probar el inicio de sesión único de Microsoft Entra con BeyondTrust Remote Support, lleve a cabo los siguientes pasos:

1. Configuración del inicio de sesión único en Microsoft Entra: para que los usuarios puedan utilizar esta característica.
   • Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con B.Simon.
   • Asigne el usuario de prueba de Microsoft Entra : para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
2. Configuración del inicio de sesión único en BeyondTrust Remote Support: para configurar los valores de inicio de sesión único en la aplicación.
   • Creación de un usuario de prueba de BeyondTrust Remote Support: para tener un homólogo de B.Simon en BeyondTrust Remote Support que esté vinculado a la representación del usuario en Microsoft Entra.
3. Prueba de SSO - para comprobar si la configuración funciona.

Configurar el SSO de Microsoft Entra

Siga estos pasos para activar el SSO de Microsoft Entra.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.

2. Vaya a Entra ID>Aplicaciones empresariales>BeyondTrust Remote Support>Inicio de sesión único.

3. En la página Seleccionar un método de inicio de sesión único , seleccione SAML.

4. En la página Set up single sign-on with SAML (Configurar inicio de sesión único con SAML ), seleccione el icono de edición y lápiz de Configuración básica de SAML para editar la configuración.

   

5. En la sección Configuración básica de SAML , escriba los valores de los campos siguientes:

   a. En el cuadro Identificador , escriba una dirección URL con el siguiente patrón: https://<HOSTNAME>.bomgar.com

   b. En el cuadro de texto URL de respuesta , escriba una dirección URL con el siguiente patrón: https://<HOSTNAME>.bomgar.com/saml/sso

   c. En el cuadro de texto de la URL de inicio de sesión , escriba una dirección URL con el siguiente patrón:

   Nota:

   Estos valores no son reales. Actualice estos valores con los valores reales de Identificador, URL de respuesta y URL de inicio de sesión. Estos valores se explican más adelante en el artículo.

6. La aplicación BeyondTrust Remote Support espera las aserciones de SAML en un formato específico, lo cual requiere que se agreguen asignaciones de atributos personalizados a la configuración de los atributos del token de SAML. En la captura de pantalla siguiente se muestra la lista de atributos predeterminados.

   

7. Además de lo anterior, BeyondTrust Remote Support espera que se devuelvan algunos atributos más, que se muestran a continuación, en la respuesta de SAML. Estos atributos también se rellenan previamente, pero puede revisarlos según sus requisitos.

   Nombre	Atributo de origen
   Nombre de usuario	user.userprincipalname
   Primer Nombre	user.givenname
   LastName	apellido de usuario
   Correo Electrónico	user.mail
   Grupos	grupos de usuario

   Nota:

   Al asignar grupos de Microsoft Entra para la aplicación BeyondTrust Remote Support, la opción "Grupos devueltos en la notificación" deberá modificarse de Ninguno a SecurityGroup. Los grupos se importan en la aplicación como identificadores de objeto. El id. de objeto del grupo de Microsoft Entra se puede encontrar comprobando las propiedades en la interfaz de Microsoft Entra ID. Esto es necesario para hacer referencia a los grupos de Microsoft Entra y asignarlos a las directivas de grupo correctas.

8. Al establecer el identificador de usuario único, este valor debe establecerse en NameID-Format: Persistent. Es necesario que este sea un identificador persistente para identificar correctamente y asociar al usuario a las directivas de grupo correctas para los permisos. Seleccione el icono de edición para abrir el cuadro de diálogo Atributos de usuario y notificaciones para editar el valor identificador de usuario único.

9. En la sección Administrar reclamación, seleccione Elija el formato del identificador de nombre y establezca el valor en Persistente y seleccione Guardar.

   

10. En la página Configurar inicio de sesión único con SAML, en la sección Certificado de firma de SAML, encuentre XML de metadatos de federación y seleccione Descargar para descargar el certificado y guardarlo en el equipo.

    

11. En la sección Set up BeyondTrust Remote Support (Configurar BeyondTrust Remote Support ), copie las direcciones URL adecuadas según sus necesidades.

    

Creación y asignación de un usuario de prueba de Microsoft Entra

Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.

Configuración del inicio de sesión único en BeyondTrust Remote Support

1. En otra ventana del explorador web, inicie sesión en el inquilino de BeyondTrust Remote Support como administrador.

2. Vaya a Usuarios y Seguridad>Proveedores de Seguridad.

3. Seleccione el icono Editar en los proveedores de SAML.

   

4. Expanda la sección Configuración del proveedor de servicios.

5. Seleccione Descargar metadatos del proveedor de servicios o puede copiar los valores de Entity ID y ACS URL y usar estos valores en la sección Configuración básica de SAML .

   

6. En la sección Identity Provider Settings (Configuración del proveedor de identidades), seleccione Upload Identity Provider Metadata (Cargar metadatos del proveedor de identidades) y busque el archivo XML de metadatos que descargó.

7. El Entity ID, la dirección URL de servicio única Sign-On y el certificado de servidor se cargarán automáticamente, y el protocolo de enlace de URL de SSO deberá cambiarse a HTTP POST.

   

8. Seleccione Guardar.

Creación de un usuario de prueba en BeyondTrust Remote Support

En esta sección se crea un usuario llamado B.Simmon en BeyondTrust Remote Support. BeyondTrust Remote Support admite el aprovisionamiento de usuarios Just-In-Time, habilitado de forma predeterminada. No hay ningún elemento de acción para usted en esta sección. Si el usuario no existe en BeyondTrust Remote Support, se crea uno después de la autenticación.

Siga el procedimiento siguiente, obligatorio para configurar BeyondTrust Remote Support.

Estamos configurando las opciones de aprovisionamiento de usuarios aquí. Los valores utilizados en esta sección se refieren a la sección Atributos y reclamaciones de usuario. Los hemos configurado como los valores predeterminados que ya se han importado en el momento de la creación; no obstante, se pueden personalizar.

Nota:

Los grupos y el atributo de correo electrónico no son necesarios para esta implementación. Si utiliza grupos de Microsoft Entra y los asigna a las directivas de grupo de BeyondTrust Remote Support para los permisos, será necesario hacer referencia al Id. de objeto del grupo a través de sus propiedades en Azure Portal y colocarlo en la sección "Grupos disponibles". Cuando haya terminado, el identificador de objeto o el grupo de AD estarán ya disponibles para su asignación a una directiva de grupo para los permisos.

Nota:

Como alternativa, se puede establecer una directiva de grupo predeterminada en el proveedor de seguridad SAML2. Al definir esta opción, se asignarán los permisos especificados en la directiva de grupo a todos los usuarios que se autentiquen mediante SAML. La directiva General Members (Miembros generales) está incluida en BeyondTrust Remote Support/Privileged Remote Access (Acceso privilegiado remoto) con permisos limitados y se puede usar para probar la autenticación y asignar usuarios a las directivas correctas. Los usuarios no se añaden a la lista de usuarios de SAML2 a través de /login Users & Security hasta el primer intento exitoso de autenticación. Puede encontrar más información sobre las directivas de grupo en el vínculo siguiente: https://www.beyondtrust.com/docs/remote-support/getting-started/admin/group-policies.htm

Prueba del inicio de sesión único

En esta sección vas a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

• Seleccione Probar esta aplicación, esta opción redirige a la dirección URL de inicio de sesión de BeyondTrust Remote Support, donde puede iniciar el flujo de inicio de sesión.

• Vaya directamente a la dirección URL de inicio de sesión de BeyondTrust Remote Support e inicie el flujo de inicio de sesión desde allí.

• Puede usar Mis aplicaciones de Microsoft. Al seleccionar el icono de BeyondTrust Remote Support en Aplicaciones, esta opción redirige a la dirección URL de inicio de sesión de BeyondTrust Remote Support. Para obtener más información sobre Mis aplicaciones, vea Introducción a mis aplicaciones.

Contenido relacionado

Una vez que haya configurado BeyondTrust Remote Support, puede aplicar controles de sesión, que protegen a su organización, en tiempo real, frente a la filtración e infiltración de información confidencial. Los controles de sesión proceden del acceso condicional. Obtenga información sobre cómo aplicar el control de sesión con Microsoft Defender for Cloud Apps.