Tutorial: integración del inicio de sesión único de Microsoft Entra con integración de Microsoft Entra para Kemp LoadMaster
En este tutorial, descubrirá cómo realizar la integración de Microsoft Entra de Kemp LoadMaster con Microsoft Entra ID. Al realizar la integración de Microsoft Entra de Kemp LoadMaster con Microsoft Entra ID, usted podrá:
- Controlar en Microsoft Entra ID quién tiene acceso a la integración de Microsoft Entra de Kemp LoadMaster.
- Permitir a sus usuarios iniciar sesión automáticamente en la integración de Microsoft Entra de Kemp LoadMaster con sus cuentas Microsoft Entra.
- Administre sus cuentas en una ubicación central.
Requisitos previos
Para empezar, necesita lo siguiente:
- Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
- Suscripción habilitada para el inicio de sesión único (SSO) en la integración de Microsoft Entra de Kemp LoadMaster.
Nota:
Esta integración también está disponible para usarse desde el entorno de la nube del gobierno de EE. UU. de Microsoft Entra. Es posible encontrar esta aplicación en la galería de aplicaciones en la nube del gobierno de EE. UU. de Microsoft Entra y configurarla de la misma manera que en la nube pública.
Descripción del escenario
En este tutorial va a configurar y probar el SSO de Microsoft Entra en un entorno de prueba.
- La integración de Microsoft Entra de Kemp LoadMaster admite el inicio de sesión único iniciado por IDP.
Incorporación de la integración de Microsoft Entra de Kemp LoadMaster desde la galería
Para configurar la integración de Microsoft Entra de Kemp LoadMaster en Microsoft Entra ID, se necesita agregar la integración de Microsoft Entra de Kemp LoadMaster desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería, escriba integración de Microsoft Entra de Kemp LoadMaster en el cuadro de búsqueda.
- Seleccione Integración de Microsoft Entra de Kemp LoadMaster en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
Si lo desea, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.
Configuración y prueba del SSO de Microsoft Entra para la integración de Microsoft Entra de Kemp LoadMaster
Configure y pruebe el inicio de sesión único de Microsoft Entra con la integración de Microsoft Entra de Kemp LoadMaster mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado con la integración de Microsoft Entra de Kemp LoadMaster.
Para configurar y probar el SSO de Microsoft Entra con la integración de Microsoft Entra de Kemp LoadMaster, siga los siguientes pasos:
Configurar el SSO de Microsoft Entra para que los usuarios puedan usar esta característica.
- Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
- Asignar el usuario de prueba de Microsoft Entra para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
Configurar el SSO de la integración de Microsoft Entra de Kemp LoadMaster para configurar los valores de inicio de sesión único en la aplicación.
Configuración de la autenticación basada en Kerberos
- Creación de una cuenta de delegación de Kerberos para la integración de Microsoft Entra de Kemp LoadMaster
- KCD de integración de Microsoft Entra de Kemp LoadMaster (cuentas de delegación de Kerberos)
- ESP de integración de Microsoft Entra de Kemp LoadMaster
- Crear usuario de prueba para la integración de Microsoft Entra de Kemp LoadMaster para tener una contraparte de B.Simon en la integración de Microsoft Entra de Kemp LoadMaster que esté vinculada a la representación del usuario de Microsoft Entra.
Probar el SSO para comprobar si la configuración funciona.
Configuración del SSO de Microsoft Entra
Siga estos pasos para habilitar el SSO de Microsoft Entra.
Inicie sesión en el Centro de administración Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Integración de Microsoft Entra de Kemp LoadMaster>Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.
En la sección Configuración básica de SAML, especifique los valores de los siguientes campos:
a. En el cuadro de texto Identificador (Id. de entidad), escriba una dirección URL:
https://<KEMP-CUSTOMER-DOMAIN>.com/
b. En el cuadro de texto URL de respuesta, escriba una dirección URL:
https://<KEMP-CUSTOMER-DOMAIN>.com/
Nota:
Estos valores no son reales. Actualice estos valores con el identificador y la URL de respuesta reales. Póngase en contacto con el equipo de soporte técnico para clientes de la integración de Microsoft Entra de Kemp LoadMaster a fin de obtener estos valores. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML.
En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque Certificado (Base 64) y XML de metadatos de federación, y seleccione Descargar para descargar el certificado y los archivos XML de metadatos de federación y guardarlos en su equipo.
En la sección Configurar integración de Microsoft Entra de Kemp LoadMaster, copie las direcciones URL adecuadas según sus necesidades.
Creación de un usuario de prueba de Microsoft Entra
En esta sección, se crea un usuario de prueba llamado B.Simon.
- Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de usuarios.
- Ve a Identidad>Usuarios>Todos los usuarios.
- Seleccione Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
- En las propiedades del usuario, siga estos pasos:
- En el campo Nombre para mostrar, escriba
B.Simon
. - En el campo Nombre principal de usuario, escriba username@companydomain.extension. Por ejemplo,
B.Simon@contoso.com
. - Seleccione la casilla Mostrar contraseña y, después, anote el valor que se muestra en el cuadro Contraseña.
- Seleccione Revisar + crear.
- En el campo Nombre para mostrar, escriba
- Seleccione Crear.
Asignación del usuario de prueba de Microsoft Entra
En esta sección, permitirá que B.Simon acceda a la integración de Microsoft Entra de Kemp LoadMaster mediante el inicio de sesión único.
- Inicie sesión en el Centro de administración Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Integración de Microsoft Entra de Kemp LoadMaster.
- En la página de información general de la aplicación, seleccione Usuarios y grupos.
- Selecciona Agregar usuario o grupo y luego, en el cuadro de diálogo Agregar asignación, selecciona Usuarios y grupos.
- En el cuadro de diálogo Usuarios y grupos, selecciona B.Simon de la lista de usuarios y haz clic en el botón Seleccionar de la parte inferior de la pantalla.
- Si esperas que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verás seleccionado el rol "Acceso predeterminado".
- En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.
Configuración del SSO de la integración de Microsoft Entra de Kemp LoadMaster
Publicación del servidor web
Creación de un servicio virtual
Vaya a la integración de Microsoft Entra de Kemp LoadMaster de la interfaz de usuario web de LoadMaster > Servicios virtuales > Agregar nuevo.
Haga clic en Add New (Agregar nuevo).
Especifique los parámetros del servicio virtual.
a. Virtual Address (Dirección virtual)
b. Puerto
c. Service Name (Optional) (Nombre del servicio [opcional])
d. Protocolo
Vaya a la sección Real Servers (Servidores reales).
Haga clic en Add New (Agregar nuevo).
Especifique los parámetros del servidor real.
a. Seleccione Allow Remote Addresses (Permitir direcciones remotas).
b. Escriba el valor de Real Server Address (Dirección real del servidor).
c. Puerto
d. Forwarding method (Método de reenvío)
e. Peso
f. Connection Limit (Límite de conexiones)
g. Haga clic en Add This Real Server (Agregar este servidor real).
Certificados y seguridad
Importación del certificado en la integración de Microsoft Entra de Kemp LoadMaster
Vaya al portal web de la integración de Microsoft Entra de Kemp LoadMaster > Certificados Seguridad >y Certificados SSL.
En Manage Certificates > Certificate Configuration (Administrar certificados > Configuración del certificado).
Haga clic en Import Certificate (Importar certificado).
Especifique el nombre del archivo que contiene el certificado. El archivo también puede contener la clave privada. Si el archivo no contiene la clave privada, también se debe especificar el archivo que la contiene. El certificado puede estar en formato .PEM o .PFX (IIS).
En Certificate File (Archivo de certificado), haga clic en Choose file (Elegir archivo).
Haga clic en Key File (Archivo de clave) (opcional).
Haga clic en Guardar.
Aceleración de SSL
Vaya a la interfaz de usuario web de Kemp LoadMaster > Virtual Services > View/Modify Services (Servicios virtuales > Ver o Modificar servicios).
Haga clic en Modify under Operation (Modificar en funcionamiento).
Haga clic en SSL Properties (Propiedades de SSL), que funciona en el nivel 7.
a. Haga clic en Enabled (Habilitado) en SSL Acceleration (Aceleración de SSL).
b. En Available Certificates (Certificados disponibles), seleccione el certificado importado y haga clic en el símbolo
>
.c. Una vez que aparezca el certificado SSL deseado en Assigned Certificates (Certificados asignados), haga clic en Set Certificates (Establecer certificados).
Nota:
Asegúrese de hacer clic en Set Certificates (Establecer certificados).
Perfil de SAML de la integración de Microsoft Entra de Kemp LoadMaster
Importación de certificado de IdP
Vaya a la consola web de la integración de Microsoft Entra de Kemp LoadMaster.
En Certificates and Authority (Certificados y autoridad), haga clic en Intermediate Certificates (Certificados intermedios).
a. Haga clic en Choose File (Elegir archivo) en Add a new Intermediate Certificate (Agregar nuevo certificado intermedio).
b. Vaya al archivo de certificado descargado previamente de la aplicación empresarial de Microsoft Entra.
c. Haga clic en Open (Abrir).
d. Indique un nombre en Certificate Name (Nombre de certificado).
e. Haga clic en Add Certificate (Agregar certificado).
Creación de la directiva de autenticación
Vaya a Manage SSO (Administrar SSO) en Virtual Services (Servicios virtuales).
a. En Add new Client Side Configuration (Agregar nueva configuración del lado cliente), haga clic en Add (Agregar) después de darle un nombre.
b. En Authentication Protocol (Protocolo de autenticación), seleccione SAML.
c. En IdP Provisioning (Aprovisionamiento de IdP), seleccione MetaData File (Archivo de metadatos).
d. Haga clic en Choose File (Elegir archivo).
e. Vaya al archivo XML descargado previamente de Azure Portal.
f. Haga clic en Open (Abrir) y en Import IdP MetaData file (Importar archivo de metadatos de IdP).
g. Seleccione el certificado intermedio en IdP Certificate (Certificado de IdP).
h. Establezca el identificador de entidad del proveedor de servicios, que debe coincidir con la identidad creada en Azure Portal.
i. Haga clic en Set SP Entity ID (Establecer id. de entidad del proveedor de servicios).
Establecimiento de la autenticación
En la consola web de la integración de Microsoft Entra de Kemp LoadMaster.
Haga clic en Virtual Services (Servicios virtuales).
Haga clic en View/Modify Services (Ver o modificar servicios).
Haga clic en Modify (Modificar) y vaya a ESP Options (Opciones de ESP).
a. Haga clic en Enable ESP (Habilitar ESP).
b. En Client Authentication Mode (Modo de autenticación de cliente), seleccione SAML.
c. En SSO Domain (Dominio de SSO), seleccione la autenticación de cliente creada anteriormente.
d. Escriba el nombre de host en Allowed Virtual Hosts (Hosts virtuales permitidos) y haga clic en Set Allowed Virtual Hosts (Establecer hosts virtuales permitidos).
e. En Allowed Virtual Directories (Directorios virtuales permitidos), escriba /* (según los requisitos de acceso) y haga clic en Set Allowed Directories (Establecer directorios permitidos).
Comprobación de los cambios
Vaya a la dirección URL de la aplicación.
Debería ver la página de inicio de sesión del inquilino en lugar del acceso no autenticado anterior.
Configuración de la autenticación basada en Kerberos
Creación de una cuenta de delegación de Kerberos para la integración de Microsoft Entra de Kemp LoadMaster
Cree una cuenta de usuario (en este ejemplo, AppDelegation).
a. Seleccione la pestaña Editor de atributos.
b. Vaya a servicePrincipalName.
c. Seleccione servicePrincipalName y haga clic en Editar.
d. Escriba http/kcduser en el campo Valor que se agregará y haga clic en Agregar.
e. Haga clic en Aplicar y en Aceptar. La ventana debe cerrarse antes de abrirla de nuevo (para ver la nueva pestaña Delegación).
Vuelva a abrir la ventana de propiedades de usuario, que ahora tendrá la pestaña Delegación disponible.
Seleccione la ficha Delegación.
a. Seleccione Confiar en este usuario para la delegación solo a los servicios especificados.
b. Seleccione Usar cualquier protocolo de autenticación.
c. Agregue los servidores reales y agregue http como servicio.
d. Active la casilla Expandido.
e. Puede ver todos los servidores con el nombre de host y el FQDN.
f. Haga clic en Aceptar.
Nota:
Establezca el SPN en la aplicación o el sitio web según corresponda, para acceder a la aplicación cuando se haya establecido la identidad del grupo de aplicaciones. Para acceder a la aplicación de IIS con el nombre FQDN, vaya a símbolo del sistema del servidor real y escriba SetSpn con los parámetros necesarios. Por ejemplo, Setspn –S HTTP/sescoindc.sunehes.co.in suneshes\kdcuser
.
KCD de integración de Microsoft Entra de Kemp LoadMaster (cuentas de delegación de Kerberos)
Vaya a la consola web de la integración de Microsoft Entra de Kemp LoadMaster > Servicios virtuales > Administrar SSO.
a. Vaya a Server Side Single Sign On Configurations (Configuraciones de inicio de sesión único del lado servidor).
b. Escriba un nombre en Add new Server-Side Configuration (Agregar nueva configuración del lado servidor) y haga clic en Add (Agregar).
c. Seleccione Kerberos Constrained Delegation (Delegación restringida de Kerberos) en Authentication Protocol (Protocolo de autenticación).
d. Escriba el nombre de dominio en Kerberos Realm (Dominio Kerberos).
e. Haga clic en Set Kerberos realm (Establecer dominio Kerberos).
f. Escriba la dirección IP del controlador de dominio en Kerberos Key Distribution Center (Centro de distribución de claves Kerberos).
g. Haga clic en Set Kerberos KDC (Establecer KDC de Kerberos).
h. Escriba el nombre de usuario de KCD en Kerberos Trusted User Name (Nombre de usuario de confianza de Kerberos).
i. Haga clic en Set KDC trusted user name (Establecer nombre de usuario de confianza de KDC).
j. Escriba la contraseña en Kerberos Trusted User Password (Contraseña de usuario de confianza de Kerberos).
k. Haga clic en Set KCD trusted user password (Establecer contraseña de usuario de confianza de KCD).
ESP de integración de Microsoft Entra de Kemp LoadMaster
Vaya a Virtual Services > View/Modify Services (Servicios virtuales > Ver o modificar servicios).
a. Haga clic en Modify (Modificar) en el nombre de alias del servicio virtual.
b. Haga clic en ESP Options (Opciones de ESP).
c. En Server Authentication Mode (Modo de autenticación del servidor), seleccione KCD.
d. En Server-Side configuration (Configuración del lado servidor), seleccione el perfil de servidor creado anteriormente.
Crear el usuario de prueba de la integración de Microsoft Entra de Kemp LoadMaster
En esta sección, creará un usuario llamado B.Simon para la integración de Microsoft Entra de Kemp LoadMaster. Colabore con el equipo de atención al cliente de la integración de Microsoft Entra de Kemp LoadMaster para agregar usuarios a la plataforma de integración de Microsoft Entra de Kemp LoadMaster. Los usuarios se tienen que crear y activar antes de usar el inicio de sesión único.
Prueba de SSO
En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.
Haga clic en Probar esta aplicación, lo que debería hacerle iniciar sesión automáticamente en la integración de Microsoft Entra de Kemp LoadMaster para la que configuró el inicio de sesión único.
Puede usar Mis aplicaciones de Microsoft. Al hacer clic en el icono de la integración de Microsoft Entra de Kemp LoadMaster en Aplicaciones, debería iniciar sesión automáticamente en la integración de Microsoft Entra de Kemp LoadMaster para la que configuró el inicio de sesión único. Para más información acerca de Aplicaciones, vea Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.
Pasos siguientes
Una vez configurada la integración de Microsoft Entra de Kemp LoadMaster, es posible aplicar el control de sesión, que protege su organización, en tiempo real, frente a la filtración y la infiltración de la información confidencial. El control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender for Cloud Apps.