Oktatóanyag: Biztonságos hibrid hozzáférés konfigurálása a Microsoft Entra ID és a Silverfort használatával

A Silverfort ügynök nélküli és proxy nélküli technológiával csatlakoztatja a helyszíni és a felhőbeli eszközöket a Microsoft Entra-azonosítóhoz. Ez a megoldás lehetővé teszi, hogy a szervezetek identitásvédelmet, láthatóságot és felhasználói élményt alkalmazzanak a Microsoft Entra ID környezeteiben. Lehetővé teszi a helyszíni és felhőkörnyezetek hitelesítési tevékenységének általános kockázatalapú monitorozását és értékelését, és segít megelőzni a fenyegetéseket.

Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja helyszíni Silverfort-implementációját a Microsoft Entra ID azonosítójával.

További információ: Microsoft Entra hibrid csatlakoztatott eszközök.

A Silverfort összekapcsolja az eszközöket a Microsoft Entra-azonosítóval. Ezek az áthidalt eszközök a Microsoft Entra ID-ban normál alkalmazásként jelennek meg, és feltételes hozzáféréssel, egyszeri bejelentkezéssel (SSO), többtényezős hitelesítéssel, naplózással és egyebekkel védhetők. A Silverfort használata eszközök csatlakoztatásához, beleértve a következőket:

  • Örökölt és házilag benőtt alkalmazások
  • Távoli asztal és Secure Shell (SSH)
  • Parancssori eszközök és egyéb rendszergazdai hozzáférés
  • Fájlmegosztások és adatbázisok
  • Infrastruktúra és ipari rendszerek

A Silverfort integrálja a vállalati eszközöket és a külső identitás- és hozzáférés-kezelési (IAM-) platformokat. Ebbe beletartozik az Active Directory, az Active Directory összevonási szolgáltatások (AD FS) (ADFS) és a Távoli hitelesítés betárcsázós felhasználói szolgáltatása (RADIUS) a Microsoft Entra ID-ban, beleértve a hibrid és többfelhős környezeteket is.

Ebben az oktatóanyagban konfigurálhatja és tesztelheti a Silverfort Azure AD-hidat a Microsoft Entra-bérlőben a Silverfort-implementációval való kommunikációhoz. A konfigurálás után létrehozhat Silverfort-hitelesítési szabályzatokat, amelyek hidat képeznek az identitásforrásoktól a Microsoft Entra id for SSO-hoz érkező hitelesítési kérelmekhez. Az alkalmazások áthidalás után a Microsoft Entra-azonosítóban kezelhetők.

Silverfort a Microsoft Entra hitelesítési architektúrájával

Az alábbi ábra a Silverfort által vezényelt hitelesítési architektúrát mutatja be hibrid környezetben.

image shows the architecture diagram

User flow

  1. A felhasználó hitelesítési kérelmet küld az eredeti identitásszolgáltatónak (IDP) olyan protokollokon keresztül, mint a Kerberos, az SAML, az NTLM, az OIDC és az LDAP(k)
  2. A rendszer a választ a Silverfortnak irányítja az ellenőrzéshez a hitelesítési állapot ellenőrzéséhez
  3. A Silverfort láthatóságot, felderítést és hidat biztosít a Microsoft Entra-azonosítóhoz
  4. Ha az alkalmazás áthidalva van, a hitelesítési döntés a Microsoft Entra-azonosítóra kerül. A Microsoft Entra ID kiértékeli a feltételes hozzáférési szabályzatokat, és ellenőrzi a hitelesítést.
  5. A hitelesítési állapot válasza a Silverforttól az idP-hez igazodik
  6. Az identitásszolgáltató hozzáférést ad vagy tagad az erőforráshoz
  7. A felhasználó értesítést kap, ha a hozzáférési kérelem meg van adva vagy megtagadva

Előfeltételek

Az oktatóanyag elvégzéséhez telepítenie kell a Silverfortot a bérlőjében vagy az infrastruktúrájában. A Silverfort bérlőben vagy infrastruktúrában való üzembe helyezéséhez lépjen silverfort.com Silverfortra , és telepítse a Silverfort asztali alkalmazást a munkaállomásokra.

A Silverfort Azure AD-adapter beállítása a Microsoft Entra-bérlőben:

  • Aktív előfizetéssel rendelkező Azure-fiók
    • Ingyenes Azure-fiókot hozhat létre
  • Az Alábbi szerepkörök egyike az Azure-fiókban:
    • Global Administrator
    • Cloud Application Administrator
    • Application Administrator
    • Szolgáltatásnév tulajdonosa
  • A Silverfort Azure AD Adapter alkalmazás a Microsoft Entra katalógusban előre konfigurálva van az egyszeri bejelentkezés támogatásához. A katalógusból adja hozzá a Silverfort Azure AD-adaptert a bérlőhöz nagyvállalati alkalmazásként.

A Silverfort konfigurálása és szabályzat létrehozása

  1. Böngészőből jelentkezzen be a Silverfort felügyeleti konzolra.

  2. A főmenüben keresse meg a Gépház, majd görgessen az Azure AD Bridge Csatlakozás orhoz az Általános szakaszban.

  3. Erősítse meg a bérlőazonosítót, majd válassza az Engedélyezés lehetőséget.

  4. Válassza a Módosítások mentése lehetőséget.

  5. A kért engedélyek párbeszédpanelen válassza az Elfogadás lehetőséget.

    image shows Azure A D bridge connector

    image shows registration confirmation

  6. A regisztráció befejeződött üzenete megjelenik egy új lapon. Zárja be ezt a lapot.

    image shows registration completed

  7. A Gépház lapon válassza a Módosítások mentése lehetőséget.

    image shows the Azure A D Adapter

  8. Jelentkezzen be a Microsoft Entra-fiókjába. A bal oldali panelen válassza ki a Vállalati alkalmazások elemet. A Silverfort Azure AD Adapter alkalmazás regisztráltként jelenik meg.

    image shows enterprise application

  9. A Silverfort felügyeleti konzolján lépjen a Szabályzatok lapra, és válassza a Szabályzat létrehozása lehetőséget. Megjelenik az Új házirend párbeszédpanel.

  10. Adjon meg egy szabályzatnevet, az Azure-ban létrehozandó alkalmazásnevet. Ha például több kiszolgálót vagy alkalmazást ad hozzá ehhez a szabályzathoz, nevezze el, hogy tükrözze a szabályzat által érintett erőforrásokat. A példában létrehozunk egy szabályzatot az SL-APP1 kiszolgálóhoz.

image shows define policy

  1. Válassza ki a hitelesítési típust és a protokollt.

  2. A Felhasználók és csoportok mezőben válassza a szerkesztés ikont a szabályzat által érintett felhasználók konfigurálásához. Ezek a felhasználók hitelesítési hídjai a Microsoft Entra-azonosítóhoz.

image shows user and groups

  1. Felhasználók, csoportok vagy szervezeti egységek (OU-k) keresése és kiválasztása.

image shows search users

  1. A kijelölt felhasználók megjelennek a Standard kiadás LECTED mezőben.

image shows selected user

  1. Válassza ki azt a forrást , amelyre a szabályzat vonatkozik. Ebben a példában a Minden eszköz elem ki van jelölve.

    image shows source

  2. Állítsa be a célhelyet SL-App1 értékre. Nem kötelező: A szerkesztés gombra kattintva módosíthatja vagy hozzáadhat további erőforrásokat vagy erőforráscsoportokat.

    image shows destination

  3. A művelethez válassza az Azure AD BRIDGE-et.

    image shows save Azure A D bridge

  4. Válassza a Mentés parancsot. A rendszer kéri, hogy kapcsolja be a szabályzatot.

    image shows change status

  5. Az Azure AD Bridge szakaszban a szabályzat megjelenik a Szabályzatok lapon.

    image shows add policy

  6. Térjen vissza a Microsoft Entra-fiókhoz, és keresse meg a Nagyvállalati alkalmazásokat. Megjelenik az új Silverfort-alkalmazás. Ezt az alkalmazást feltételes hozzáférési szabályzatokba is felveheti.

További információ: Oktatóanyag: Felhasználói bejelentkezési események biztonságossá tétele a Microsoft Entra többtényezős hitelesítésével.

További lépések