Compartir por


Integración del inicio de sesión único de Microsoft Entra con Maverics Orchestrator SAML Connector

Maverics Orchestrator de Strata proporciona una manera sencilla de integrar aplicaciones locales con Microsoft Entra ID para la autenticación y el control de acceso. Maverics Orchestrator es capaz de modernizar la autenticación y la autorización para las aplicaciones que se basan actualmente en encabezados, cookies y otros métodos de autenticación de propiedad. Las instancias de Maverics Orchestrator se pueden implementar de forma local o en la nube.

En este tutorial de acceso híbrido se muestra cómo migrar una aplicación web local que está protegida por un producto de administración de acceso web heredado con el fin de usar Microsoft Entra ID para la autenticación y el control de acceso. Estos son los pasos básicos:

  1. Configuración de Maverics Orchestrator
  2. Conexiones proxy de una aplicación
  3. Registro de una aplicación empresarial en Microsoft Entra ID
  4. Autenticación a través de Microsoft Entra ID y autorización del acceso a la aplicación
  5. Adición de encabezados para el acceso a aplicaciones sin problemas
  6. Trabajo con varias aplicaciones

Requisitos previos

  • Una suscripción de Microsoft Entra ID. Si no tiene una suscripción, puede obtener una cuenta gratuita.
  • Una cuenta de Maverics Identity Orchestrator Platform. Regístrese en maverics.strata.io.
  • Al menos una aplicación que use la autenticación basada en encabezados. En nuestros ejemplos, trabajaremos con una aplicación denominada Sonar que será accesible en https://localhost:8443.

Paso 1: configuración de Maverics Orchestrator

Después de suscribirse a una cuenta de Maverics en maverics.strata.io, use nuestro tutorial del Centro de aprendizaje titulado Introducción: entorno de evaluación. Este tutorial le lleva a través del proceso paso a paso para crear un entorno de evaluación, descargar un orquestador e instalarlo en el equipo.

Paso 2: extensión de Microsoft Entra ID a una aplicación con una receta

A continuación, use el tutorial del Centro de aprendizaje Extensión de Microsoft Entra ID a una aplicación heredada no estándar. En este tutorial se proporciona una receta de .json que configura automáticamente un tejido de identidad, una aplicación basada en encabezados y un flujo de usuario parcialmente completo.

Paso 3: registro de una aplicación empresarial en Microsoft Entra ID

Ahora crearemos una nueva aplicación empresarial en Microsoft Entra ID que se usa para autenticar a los usuarios finales.

Nota:

Al aprovechar las características de Microsoft Entra ID, como el acceso condicional, es importante crear una aplicación empresarial por aplicación local. Esto permite el acceso condicional por aplicación, la evaluación de riesgos por aplicación, los permisos asignados por aplicación, etc. Por lo general, una aplicación empresarial en Microsoft Entra ID se asigna a un conector de Azure en Maverics.

  1. En el inquilino de Microsoft Entra ID, vaya a Aplicaciones empresariales, haga clic en Nueva aplicación y busque Maverics Identity Orchestrator SAML Connector en la galería de Microsoft Entra ID y, a continuación, selecciónelo.

  2. En el panel Propiedades de Maverics Identity Orchestrator SAML Connector, establezca ¿Asignación de usuarios? en No para permitir que la aplicación funcione para todos los usuarios del directorio.

  3. En el panel Información general de Maverics Identity Orchestrator SAML Connector, seleccione Configurar inicio de sesión único y, a continuación, seleccione SAML.

  4. En el Inicio de sesión basado en SAML de Maverics Identity Orchestrator SAML Connector, edite Configuración básica de SAML; para ello, seleccione el botón Editar (icono de lápiz).

    Captura de pantalla del botón Editar de la

  5. Escriba un Id. de entidad de: https://sonar.maverics.com. El id. de entidad debe ser único en las aplicaciones del inquilino y puede ser un valor arbitrario. Este valor se usa al definir el campo samlEntityID para nuestro conector de Azure en la siguiente sección.

  6. Escriba una URL de respuesta de: https://sonar.maverics.com/acs. Este valor se usa al definir el campo samlConsumerServiceURL para nuestro conector de Azure en la siguiente sección.

  7. Escriba una dirección URL de inicio de sesión de: https://sonar.maverics.com/. Este campo no lo utilizará Maverics, pero es necesario en Microsoft Entra ID para permitir que los usuarios accedan a la aplicación mediante el portal Aplicaciones de Microsoft Entra ID.

  8. Seleccione Guardar.

  9. En la sección Certificado de firma de SAML, seleccione el botón Copiar para copiar la Dirección URL de metadatos de federación de aplicación y guárdelo en su equipo.

    Captura de pantalla del botón Copiar de

Paso 4: autenticación a través de Microsoft Entra ID y autorización del acceso a la aplicación

Continúe con el paso 4 del tema centro de aprendizaje Extensión de Microsoft Entra ID a una aplicación heredada no estándar para editar el flujo de usuario en Maverics. Estos pasos le guiarán por el proceso de agregar encabezados a la aplicación ascendente e implementar el flujo de usuario.

Una vez implementado el flujo de usuario, para confirmar que la autenticación funciona según lo esperado, realice una solicitud a un recurso de aplicación mediante el proxy de Maverics. Ahora la aplicación protegida debe recibir encabezados en la solicitud.

No dude en editar las claves de encabezado si la aplicación espera encabezados diferentes. Todas las notificaciones que se devuelven de Microsoft Entra ID como parte del flujo SAML están disponibles para su uso en encabezados. Por ejemplo, podemos incluir otro encabezado de secondary_email: azureSonarApp.email, donde azureSonarApp es el nombre del conector y email es una notificación devuelta desde Microsoft Entra ID.

Escenarios avanzados

Migración de identidades

¿No soporta su herramienta de administración de acceso web, pero no sabe cómo migrar a sus usuarios sin tener que restablecer las contraseñas en masa? Maverics Orchestrator admite la migración de identidades mediante migrationgateways.

Módulos de servidor web

¿No desea reutilizar el tráfico de la red y del proxy mediante Maverics Orchestrator? No es un problema, Maverics Orchestrator se puede emparejar con módulos de servidor web para ofrecer las mismas soluciones sin proxy.

Resumen

En este punto, hemos instalado Maverics Orchestrator, hemos creado y configurado una aplicación empresarial en Microsoft Entra ID y hemos configurado Orchestrator como proxy para una aplicación protegida, al tiempo que requiere autenticación y aplica la directiva. Para más información sobre cómo se puede usar Maverics Orchestrator para casos de uso de la administración de identidades distribuida, póngase en contacto con Strata.