Oktatóanyag: Az Azure Active Directory B2C konfigurálása a Datawizával a biztonságos hibrid hozzáférés biztosításához
Ebből az oktatóanyagból megtudhatja, hogyan integrálhatja az Azure Active Directory B2C-t (Azure AD B2C) a Datawiza Access Proxyval (DAP), amely lehetővé teszi az egyszeri bejelentkezést (SSO) és a részletes hozzáférés-vezérlést, ezzel segítve Azure AD B2C-t a helyszíni örökölt alkalmazások védelmében. Ezzel a megoldással a vállalatok az alkalmazások újraírása nélkül válthatnak az örököltről Azure AD B2C-re.
Előfeltételek
Az első lépésekhez a következőkre lesz szüksége:
- Microsoft Entra-előfizetés
- Ha nem rendelkezik ilyen fiókkal, ingyenes Azure-fiókot kaphat
- Azure-előfizetéshez társított Azure AD B2C-bérlő
- A DAB futtatásához a Docker, egy nyílt platform szükséges az alkalmazások fejlesztéséhez, szállításához és futtatásához
- Az alkalmazások futtathatók olyan platformokon, mint a virtuális gép és az operációs rendszer nélküli
- Egy helyszíni alkalmazás, amely egy örökölt identitásrendszerről Azure AD B2C-ra vált
- Ebben az oktatóanyagban a DAB ugyanazon a kiszolgálón van üzembe helyezve, mint az alkalmazás
- Az alkalmazás a localhost: 3001-en fut, és a DAP a localhoston keresztül irányítja át az alkalmazások forgalmát: 9772
- Az alkalmazás forgalma először eléri a DAB-t, majd az alkalmazáshoz van irányítva
Forgatókönyv leírása
A Datawiza-integráció a következő összetevőket tartalmazza:
- Azure AD B2C: A felhasználói hitelesítő adatok ellenőrzésére használt engedélyezési kiszolgáló
- A hitelesített felhasználók az Azure AD B2C-címtárban tárolt helyi fiókkal férnek hozzá a helyszíni alkalmazásokhoz
- Datawiza Access Proxy (DAP): Az a szolgáltatás, amely http-fejléceken keresztül továbbítja az identitást az alkalmazásoknak
- Datawiza Cloud Management Console (DCMC): A DAB felügyeleti konzolja. A DCMC felhasználói felülete és a RESTful API-k segítenek a DAB-konfigurációk és a hozzáférés-vezérlési szabályzatok kezelésében
Az alábbi architektúradiagram az implementációt mutatja be.
- A felhasználó hozzáférést kér egy helyszíni alkalmazáshoz. A DAB proxyt ad az alkalmazásnak.
- A DAP ellenőrzi a felhasználó hitelesítési állapotát. Munkamenet-jogkivonat vagy érvénytelen jogkivonat nélkül a felhasználó Azure AD B2C-be megy hitelesítés céljából.
- Azure AD B2C elküldi a felhasználói kérést a DAP-regisztráció során megadott végpontnak a Azure AD B2C-bérlőben.
- A DAP kiértékeli a hozzáférési szabályzatokat, és kiszámítja az alkalmazásnak továbbított HTTP-fejlécekben szereplő attribútumértékeket. A DAP meghívhatja az identitásszolgáltatót (IdP) a fejlécértékek beállításához szükséges információk lekéréséhez. A DAP beállítja a fejlécértékeket, és elküldi a kérést az alkalmazásnak.
- A felhasználó hitelesítése az alkalmazáshoz való hozzáféréssel történik.
Előkészítés a Datawizával
Ha integrálni szeretné az örökölt helyszíni alkalmazást Azure AD B2C-vel, lépjen kapcsolatba a Datawizával.
A Azure AD B2C-bérlő konfigurálása
Lépjen a docs.datawiza.com a következőre:
Megtudhatja, hogyan regisztrálhatja webalkalmazását egy Azure AD B2C-bérlőben, és hogyan konfigurálhat regisztrációs és bejelentkezési felhasználói folyamatot. További információ: Azure AD B2C.
Felhasználói folyamat konfigurálása a Azure Portal.
Megjegyzés
Amikor beállítja a DAB-t a DCM-ben, szüksége lesz a bérlő nevére, a felhasználói folyamat nevére, az ügyfél-azonosítóra és az ügyfélkulcsra.
Alkalmazás létrehozása a DCMC-ben
A DCMC-ben hozzon létre egy alkalmazást, és hozzon létre egy és egy kulcspárt
PROVISIONING_KEYPROVISIONING_SECRETehhez az alkalmazáshoz. Lásd: Datawiza Cloud Management Console.Az identitásszolgáltató konfigurálása Azure AD B2C-vel. Lásd: I. rész: Azure AD B2C-konfiguráció.
A DAB futtatása fejlécalapú alkalmazással
A DAP-t a Docker vagy a Kubernetes használatával futtathatja. A Docker-rendszerkép használatával a felhasználók létrehozhatnak egy fejlécalapú mintaalkalmazást.
További információ: DAP- és SSO-integráció konfigurálásához lásd: Datawiza access proxy üzembe helyezése az alkalmazással
A rendszer egy docker-mintarendszerképet docker-compose.yml file biztosít. Jelentkezzen be a tárolóregisztrációs adatbázisba a DAP-rendszerképek és a fejlécalapú alkalmazás letöltéséhez.
Datawiza access proxy üzembe helyezése az alkalmazással.
version: '3' services: datawiza-access-broker: image: registry.gitlab.com/datawiza/access-broker container_name: datawiza-access-broker restart: always ports: - "9772:9772" environment: PROVISIONING_KEY: ############################# PROVISIONING_SECRET: ############################# header-based-app: image: registry.gitlab.com/datawiza/header-based-app container_name: ab-demo-header-app restart: always environment: CONNECTOR: B2C ports: - "3001:3001"A fejlécalapú alkalmazás SSO engedélyezve van Azure AD B2C-vel.
Nyisson meg egy böngészőt, és írja be a parancsot
http://localhost:9772/.Megjelenik egy Azure AD B2C bejelentkezési oldal.
Felhasználói attribútumok átadása a fejlécalapú alkalmazásnak
A DAB lekéri a felhasználói attribútumokat az identitásszolgáltatótól, és fejléccel vagy cookie-val továbbítja őket az alkalmazásnak. A felhasználói attribútumok konfigurálása után megjelenik a felhasználói attribútumok zöld pipajele.
További információ: Felhasználói attribútumok, például e-mail-cím, utónév és vezetéknév átadása a fejlécalapú alkalmazásnak.
A folyamat tesztelése
- Lépjen a helyszíni alkalmazás URL-címére.
- A DAP átirányítja a felhasználói folyamatban konfigurált lapra.
- A listából válassza ki az identitásszolgáltatót.
- A parancssorba írja be a hitelesítő adatait. Szükség esetén adjon meg egy Microsoft Entra többtényezős hitelesítési jogkivonatot.
- A rendszer átirányítja a Azure AD B2C-be, amely továbbítja az alkalmazáskérést a DAP átirányítási URI-jának.
- A DAB kiértékeli a szabályzatokat, kiszámítja a fejléceket, és elküldi a felhasználót a felsőbb rétegbeli alkalmazásnak.
- Megjelenik a kért alkalmazás.