Compartir a través de

Configurar el conector SAML de Maverics Identity Orchestrator para inicio de sesión único

Maverics Orchestrator de Strata proporciona una manera sencilla de integrar aplicaciones locales con Microsoft Entra ID para la autenticación y el control de acceso. Maverics Orchestrator es capaz de modernizar la autenticación y la autorización para las aplicaciones que se basan actualmente en encabezados, cookies y otros métodos de autenticación de propiedad. Las instancias de Maverics Orchestrator se pueden implementar de forma local o en la nube.

En este artículo de acceso híbrido se muestra cómo migrar una aplicación web local que está protegida actualmente por un producto de administración de acceso web heredado para usar microsoft Entra ID para la autenticación y el control de acceso. Estos son los pasos básicos:

  1. Configuración de Maverics Orchestrator
  2. Conexiones proxy de una aplicación
  3. Registro de una aplicación empresarial en Microsoft Entra ID
  4. Autenticación a través de Microsoft Entra ID y autorización del acceso a la aplicación
  5. Adición de encabezados para el acceso a aplicaciones sin problemas
  6. Trabajo con varias aplicaciones

Requisitos previos

  • Una suscripción de Microsoft Entra ID. Si no tiene una suscripción, puede obtener una cuenta gratuita.
  • Una cuenta de Maverics Identity Orchestrator Platform. Regístrese en maverics.strata.io.
  • Al menos una aplicación que use la autenticación basada en encabezados. En nuestros ejemplos, trabajamos con una aplicación denominada Sonar que es accesible en https://localhost:8443.

Paso 1: configuración de Maverics Orchestrator

Después de suscribirse a una cuenta de Maverics en maverics.strata.io, use nuestro artículo del Centro de aprendizaje titulado Introducción: Entorno de evaluación. Este artículo le lleva a través del proceso paso a paso para crear un entorno de evaluación, descargar un orquestador e instalar el orquestador en el equipo.

Paso 2: extensión de Microsoft Entra ID a una aplicación con una receta

A continuación, use el artículo del Centro de Aprendizaje Extender Microsoft Entra ID a una aplicación heredada y no estándar. En este artículo se proporciona una receta de .json que configura automáticamente un tejido de identidad, una aplicación basada en encabezados y un flujo de usuario parcialmente completo.

Paso 3: registro de una aplicación empresarial en Microsoft Entra ID

Ahora crearemos una nueva aplicación empresarial en Microsoft Entra ID que se utiliza para autenticar a los usuarios finales.

Nota:

Al aprovechar las características de Microsoft Entra ID, como el acceso condicional, es importante crear una aplicación empresarial por aplicación local. Esto permite el acceso condicional por aplicación, la evaluación de riesgos por aplicación, los permisos asignados por aplicación, etc. Por lo general, una aplicación empresarial de Microsoft Entra ID se asigna a un conector de Azure en Maverics.

  1. En la entidad de Microsoft Entra ID, vaya a Aplicaciones empresariales, seleccione Nueva aplicación y busque Maverics Identity Orchestrator SAML Connector en la galería de Microsoft Entra ID y, a continuación, selecciónelo.

  2. En el panel Propiedades de Maverics Identity Orchestrator SAML Connector, establezca ¿Asignación de usuarios? en No para permitir que la aplicación funcione para todos los usuarios del directorio.

  3. En el panel Información general de Maverics Identity Orchestrator SAML Connector, seleccione Configurar inicio de sesión único y, a continuación, seleccione SAML.

  4. En el Inicio de sesión basado en SAML de Maverics Identity Orchestrator SAML Connector, edite Configuración básica de SAML; para ello, seleccione el botón Editar (icono de lápiz).

    Captura de pantalla del botón Editar de la

  5. Escriba un Id. de entidad de: https://sonar.maverics.com. El id. de entidad debe ser único en las aplicaciones del inquilino y puede ser un valor arbitrario. Este valor se usa al definir el campo samlEntityID para nuestro conector de Azure en la siguiente sección.

  6. Escriba una URL de respuesta de: https://sonar.maverics.com/acs. Este valor se usa al definir el campo samlConsumerServiceURL para nuestro conector de Azure en la siguiente sección.

  7. Escriba una dirección URL de inicio de sesión de: https://sonar.maverics.com/. Maverics no usará este campo, pero es necesario en Microsoft Entra ID para permitir que los usuarios obtengan acceso a la aplicación a través del portal Mis aplicaciones de Microsoft Entra ID.

  8. Seleccione Guardar.

  9. En la sección Certificado de firma de SAML, seleccione el botón Copiar para copiar la Dirección URL de metadatos de federación de aplicación y guárdelo en su equipo.

    Captura de pantalla del botón Copiar de

Paso 4: autenticación a través de Microsoft Entra ID y autorización del acceso a la aplicación

Continúe con el paso 4 del tema centro de aprendizaje Extensión de Microsoft Entra ID a una aplicación heredada no estándar para editar el flujo de usuario en Maverics. Estos pasos le guiarán por el proceso de agregar encabezados a la aplicación ascendente e implementar el flujo de usuario.

Una vez implementado el flujo de usuario, para confirmar que la autenticación funciona según lo esperado, realice una solicitud a un recurso de aplicación mediante el proxy de Maverics. Ahora la aplicación protegida debe recibir encabezados en la solicitud.

No dude en editar las claves de encabezado si la aplicación espera encabezados diferentes. Todas las notificaciones que se devuelven de Microsoft Entra ID como parte del flujo SAML están disponibles para su uso en encabezados. Por ejemplo, podemos incluir otro encabezado de secondary_email: azureSonarApp.email, donde azureSonarApp es el nombre del conector y email es una notificación devuelta desde Microsoft Entra ID.

Escenarios avanzados

Migración de identidades

¿No soporta su herramienta de administración de acceso web, pero no sabe cómo migrar a sus usuarios sin tener que restablecer las contraseñas en masa? Maverics Orchestrator admite la migración de identidades mediante migrationgateways.

Módulos de servidor web

¿No desea reutilizar el tráfico de la red y del proxy mediante Maverics Orchestrator? No es un problema, Maverics Orchestrator se puede emparejar con módulos de servidor web para ofrecer las mismas soluciones sin proxy.

Resumen

En este punto, hemos instalado Maverics Orchestrator, hemos creado y configurado una aplicación empresarial en Microsoft Entra ID y hemos configurado Orchestrator como proxy para una aplicación protegida, al tiempo que requiere autenticación y aplica la directiva. Para más información sobre cómo se puede usar Maverics Orchestrator para casos de uso de la administración de identidades distribuida, póngase en contacto con Strata.

  • Last updated on