Tutoriel : intégration de l’authentification unique (SSO) Microsoft Entra à BeyondTrust Remote Support
Dans ce tutoriel, vous allez apprendre à intégrer BeyondTrust Remote Support à Microsoft Entra ID. En intégrant BeyondTrust Remote Support à Microsoft Entra ID, vous pouvez :
- Contrôler, dans Microsoft Entra ID, qui a accès à BeyondTrust Remote Support.
- Permettre aux utilisateurs de se connecter automatiquement à BeyondTrust Remote Support avec leur compte Microsoft Entra.
- Gérer vos comptes à partir d’un emplacement central.
Prérequis
Pour commencer, vous devez disposer de ce qui suit :
- Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
- Un abonnement BeyondTrust Remote Support pour lequel l’authentification unique est activée.
Description du scénario
Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.
- BeyondTrust Remote Support prend en charge l’authentification unique initiée par le fournisseur de services
- BeyondTrust Remote Support prend en charge le provisionnement d’utilisateurs Juste-à-temps.
Ajout de BeyondTrust Remote Support à partir de la galerie
Pour configurer l’intégration de BeyondTrust Remote Support à Microsoft Entra ID, vous devez ajouter BeyondTrust Remote Support à votre liste d’applications SaaS managées à partir de la galerie.
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
- Dans la section Ajouter à partir de la galerie, tapez BeyondTrust Remote Support dans la zone de recherche.
- Sélectionnez BeyondTrust Remote Support dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.
Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.
Configurer et tester l’authentification unique Microsoft Entra pour BeyondTrust Remote Support
Configurez et testez l’authentification unique Microsoft Entra auprès de BeyondTrust Remote Support avec un utilisateur test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur BeyondTrust Remote Support associé.
Pour configurer et tester l’authentification unique Microsoft Entra avec BeyondTrust Remote Support, effectuez les étapes suivantes :
- Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
- Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
- Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
- Configurer l’authentification unique BeyondTrust Remote Support pour configurer les paramètres de l’authentification unique côté application.
- Créer un utilisateur de test BeyondTrust Remote Support pour avoir un équivalent de B.Simon dans BeyondTrust Remote Support lié à la représentation Microsoft Entra de l’utilisateur.
- Tester l’authentification unique pour vérifier si la configuration fonctionne.
Configurer Microsoft Entra SSO
Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise>BeyondTrust Remote Support>Authentification unique.
Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.
Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de modification/stylet de Configuration SAML de base pour modifier les paramètres.
Dans la section Configuration SAML de base, entrez les valeurs pour les champs suivants :
a. Dans la zone de texte Identificateur, tapez une URL en utilisant le format suivant :
https://<HOSTNAME>.bomgar.com
b. Dans la zone de texte URL de réponse, tapez une URL au format suivant :
https://<HOSTNAME>.bomgar.com/saml/sso
c. Dans la zone de texte URL de connexion, tapez une URL au format suivant :
https://<HOSTNAME>.bomgar.com/saml
.Remarque
Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. Ces valeurs vous seront expliquées plus loin dans le tutoriel.
L’application BeyondTrust Remote Support s’attend à recevoir les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à la configuration des attributs du jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut.
En plus de ce qui précède, l’application BeyondTrust Remote Support s’attend à ce que quelques attributs supplémentaires (présentés ci-dessous) soient repassés dans la réponse SAML. Ces attributs sont également préremplis, mais vous pouvez les examiner pour voir s’ils répondent à vos besoins.
Nom Attribut source Nom d’utilisateur user.userprincipalname FirstName user.givenname LastName user.surname E-mail user.mail Groupes user.groups Remarque
Quand vous attribuez des groupes Microsoft Entra à l’application BeyondTrust Remote Support, vous devez définir l’option « Groupes renvoyés dans la revendication » (initialement définie sur Aucun) sur SecurityGroup. Les groupes sont importés dans l’application en tant qu’ID d’objet. Vous trouverez l’ID d’objet du groupe Microsoft Entra en vérifiant les propriétés dans l’interface Microsoft Entra ID. Vous en aurez besoin pour référencer et attribuer des groupes Microsoft Entra et les attribuer aux stratégies de groupe appropriées.
Quand vous définissez l’identificateur unique de l’utilisateur, vous devez définir son format d’ID de nom sur Persistant pour que l’utilisateur soit correctement identifié et associé aux stratégies de groupe appropriées pour les autorisations. Cliquez sur l’icône de modification pour ouvrir la boîte de dialogue Attributs utilisateur et revendications et modifier la valeur de l’identificateur unique de l’utilisateur.
Dans la section Gérer la revendication, cliquez sur Choisir le format du nom de l’identificateur. Définissez la valeur sur Persistant, puis cliquez sur Enregistrer.
Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez XML de métadonnées de fédération et sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.
Dans la section Configurer BeyondTrust Remote Support, copiez l’URL ou les URL appropriées en fonction de vos besoins.
Créer un utilisateur de test Microsoft Entra
Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
- Accédez à Identité>Utilisateurs>Tous les utilisateurs.
- Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
- Dans les propriétés Utilisateur, effectuez les étapes suivantes :
- Dans le champ Nom d’affichage, entrez
B.Simon
. - Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple :
B.Simon@contoso.com
. - Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
- Sélectionnez Revoir + créer.
- Dans le champ Nom d’affichage, entrez
- Sélectionnez Create (Créer).
Attribuer l’utilisateur test Microsoft Entra
Dans cette section, vous allez autoriser B.Simon à utiliser l’authentification unique en lui accordant l’accès à BeyondTrust Remote Support.
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Accédez à Identité>Applications>Applications d’entreprise>BeyondTrust Remote Support.
- Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
- Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
- Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
- Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
- Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.
Configurer l’authentification unique BeyondTrust Remote Support
Dans une autre fenêtre de navigateur web, connectez-vous à BeyondTrust Remote Support en tant qu’administrateur.
Accédez à Users & Security>Security Providers.
Cliquez sur l’icône Modifier dans Fournisseurs SAML.
Développez la section Paramètres du fournisseur de services.
Cliquez sur Télécharger les métadonnées du fournisseur de services ou copiez les valeurs d’ID d’entité et d’URL ACS pour les utiliser dans la section Configuration SAML de base.
Sous la section Paramètres du fournisseur d’identité, cliquez sur Charger les métadonnées du fournisseur d’identité et recherchez le fichier XML des métadonnées que vous avez téléchargé.
Les valeurs d’ID d’entité, d’URL du service d’authentification unique et de certificat de serveur sont automatiquement chargées et vous devez remplacer la liaison de protocole d’URL d’authentification unique par HTTP POST.
Cliquez sur Enregistrer.
Créer un utilisateur de test BeyondTrust Remote Support
Dans cette section, un utilisateur appelé Britta Simon est créé dans BeyondTrust Remote Support. BeyondTrust Remote Support prend en charge le provisionnement d’utilisateurs juste-à-temps, option activée par défaut. Vous n’avez aucune opération à effectuer dans cette section. S’il n’existe pas encore d’utilisateur dans BeyondTrust Remote Support, il en est créé un après l’authentification.
Appliquez la procédure ci-dessous, qui est obligatoire pour configurer BeyondTrust Remote Support.
Nous allons à présent configurer les paramètres de provisionnement d’utilisateurs. Les valeurs utilisées dans cette section sont référencées à partir de la section Attributs utilisateur et revendications. Nous les avons configurées comme valeurs par défaut, et elles sont déjà importées au moment de la création. Toutefois, elles peuvent être personnalisées si nécessaire.
Remarque
Les groupes et l’attribut d’e-mail ne sont pas nécessaires pour cette implémentation. Si vous utilisez des groupes Microsoft Entra et que vous les attribuez à des stratégies de groupe BeyondTrust Remote Support pour des autorisations, l’ID d’objet du groupe doit être référencé à partir de ses propriétés dans le Portail Azure et placé dans la section « Groupes disponibles ». Une fois cette opération effectuée, l’ID d’objet/le groupe AD peuvent être attribués à une stratégie de groupe pour les autorisations.
Remarque
Une stratégie de groupe par défaut peut également être définie sur le fournisseur de sécurité SAML2. En définissant cette option, vous attribuez à tous les utilisateurs qui s’authentifient avec SAML les autorisations spécifiées dans la stratégie de groupe. La stratégie General Members est incluse dans BeyondTrust Remote Support/Privileged Remote Access avec des autorisations limitées, qui peuvent être utilisées pour tester l’authentification et attribuer les utilisateurs aux stratégies appropriées. Les utilisateurs n’apparaissent dans la liste des utilisateurs SAML2 via /login > Utilistaeurs et sécurité qu’après la première tentative d’authentification réussie. Pour plus d’informations sur les stratégies de groupe, utilisez le lien suivant : https://www.beyondtrust.com/docs/remote-support/getting-started/admin/group-policies.htm
Tester l’authentification unique (SSO)
Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.
Cliquez sur Tester cette application. Vous êtes alors redirigé vers l’URL de connexion BeyondTrust Remote Support, d’où vous pouvez lancer le flux de connexion.
Accédez directement à l’URL de connexion BeyondTrust Remote Support pour lancer le flux de connexion.
Vous pouvez utiliser Mes applications de Microsoft. Le fait de cliquer sur la vignette BeyondTrust Remote Support dans Mes applications vous redirige vers l’URL de connexion BeyondTrust Remote Support. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.
Étapes suivantes
Après avoir configuré BeyondTrust Remote Support, vous pouvez appliquer des contrôles de session qui protègent en temps réel contre l’exfiltration et l’infiltration des données sensibles de votre organisation. Les contrôles de session sont étendus à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.