Azure AD egyszeri bejelentkezés integrálása a Maverics Identity Orchestrator SAML-összekötővel

A Strata Maverics Identity Orchestrator egyszerű módot kínál a helyszíni alkalmazások azure Active Directoryval (Azure AD) való integrálására a hitelesítéshez és a hozzáférés-vezérléshez. A Maverics Orchestrator képes modernizálni a hitelesítést és engedélyezést az olyan alkalmazásokhoz, amelyek jelenleg fejlécekre, cookie-kra és más saját hitelesítési módszerekre támaszkodnak. A Maverics Orchestrator-példányok üzembe helyezhetők a helyszínen vagy a felhőben.

Ez a hibrid hozzáférési oktatóanyag bemutatja, hogyan migrálhat egy olyan helyszíni webalkalmazást, amelyet jelenleg egy örökölt webes hozzáférés-kezelési termék véd a hitelesítéshez és hozzáférés-vezérléshez Azure AD használatára. Íme az alapvető lépések:

  1. A Maverics Orchestrator beállítása
  2. Alkalmazás proxyja
  3. Vállalati alkalmazás regisztrálása a Azure AD
  4. Hitelesítés az Azure-on keresztül és az alkalmazáshoz való hozzáférés engedélyezése
  5. Fejlécek hozzáadása a zökkenőmentes alkalmazáshozzáféréshez
  6. Több alkalmazással végzett munka

Előfeltételek

  • Egy Azure AD előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot is kaphat.
  • Egy Maverics Identity Orchestrator SAML Connector SSO-kompatibilis előfizetés. A Maverics szoftver beszerzéséhez lépjen kapcsolatba a Strata értékesítési csapatával.
  • Legalább egy olyan alkalmazás, amely fejlécalapú hitelesítést használ. A példák egy Connectulum nevű, a címen https://app.connectulum.comüzemeltetett alkalmazáson működnek.
  • Linux rendszerű gép a Maverics Orchestrator üzemeltetéséhez
    • Operációs rendszer: RHEL 7.7 vagy újabb, CentOS 7+
    • Lemez: >= 10 GB
    • Memória: >= 4 GB
    • Portok: 22 (SSH/SCP), 443, 7474
    • Gyökérhozzáférés telepítési/felügyeleti feladatokhoz
    • Hálózati kimenő forgalom a Maverics Identity Orchestratort futtató kiszolgálóról a védett alkalmazásba

1. lépés: A Maverics Orchestrator beállítása

A Maverics telepítése

  1. Szerezze be a legújabb Maverics RPM-et. Másolja a csomagot arra a rendszerre, amelyre telepíteni szeretné a Maverics szoftvert.

  2. Telepítse a Maverics-csomagot, és helyettesítse a fájlnevet a maverics.rpmhelyett.

    sudo rpm -Uvf maverics.rpm

    A Maverics telepítése után szolgáltatásként fog futni a következő alatt systemd: . A szolgáltatás futásának ellenőrzéséhez hajtsa végre a következő parancsot:

    sudo systemctl status maverics

  3. Az Orchestrator újraindításához és a naplók követéséhez futtassa a következő parancsot:

    sudo service maverics restart; sudo journalctl --identifier=maverics -f

A Maverics telepítése után az alapértelmezett maverics.yaml fájl jön létre a /etc/maverics könyvtárban. Mielőtt szerkessze a konfigurációt, hogy tartalmazza appgateways a és connectorsa fájlt, a konfigurációs fájl a következőhöz fog hasonlítani:

# © Strata Identity Inc. 2020. All Rights Reserved. Patents Pending.

version: 0.1
listenAddress: ":7474"

DNS konfigurálása

A DNS hasznos lesz, hogy ne kelljen emlékeznie az Orchestrator-kiszolgáló IP-címére.

Szerkessze a böngészőgép (a laptop) gazdagépfájlját a 12.34.56.78-os feltételezett Orchestrator IP-cím használatával. Linux-alapú operációs rendszereken ez a fájl a következő helyen /etc/hoststalálható: . Windows rendszeren a címen található C:\windows\system32\drivers\etc.

12.34.56.78 sonar.maverics.com
12.34.56.78 connectulum.maverics.com

Annak ellenőrzéséhez, hogy a DNS a várt módon van-e konfigurálva, kérést intézhet az Orchestrator állapotvégpontjához. A böngészőben kérje a kérést http://sonar.maverics.com:7474/status.

TLS konfigurálása

A biztonság fenntartása szempontjából kritikus fontosságú, hogy biztonságos csatornákon keresztül kommunikáljon az Orchestratorral. Ehhez hozzáadhat egy tanúsítvány-/kulcspárt a tls szakaszban.

Ha önaláírt tanúsítványt és kulcsot szeretne létrehozni az Orchestrator-kiszolgálóhoz, futtassa a következő parancsot a /etc/maverics könyvtárból:

openssl req -new -newkey rsa:4096 -x509 -sha256 -days 365 -nodes -out maverics.crt -keyout maverics.key

Megjegyzés

Éles környezetek esetén valószínűleg egy ismert hitelesítésszolgáltató által aláírt tanúsítványt kell használnia, hogy elkerülje a böngészőben megjelenő figyelmeztetéseket. A Titkosítás jó és ingyenes lehetőség, ha megbízható hitelesítésszolgáltatót keres.

Most használja az újonnan létrehozott tanúsítványt és kulcsot az Orchestratorhoz. A konfigurációs fájlnak most a következő kódot kell tartalmaznia:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

Annak ellenőrzéséhez, hogy a TLS a várt módon van-e konfigurálva, indítsa újra a Maverics szolgáltatást, és küldjön egy kérést az állapotvégpontra.

2. lépés: Alkalmazás proxyja

Ezután konfigurálja az alapszintű proxyzást az Orchestratorban a használatával appgateways. Ez a lépés segít ellenőrizni, hogy az Orchestrator rendelkezik-e a szükséges kapcsolattal a védett alkalmazással.

A konfigurációs fájlnak most a következő kódot kell tartalmaznia:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

appgateways:
  - name: sonar
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

Annak ellenőrzéséhez, hogy a proxyzás a várt módon működik-e, indítsa újra a Maverics szolgáltatást, és küldjön egy kérést az alkalmazásnak a Maverics-proxyn keresztül. Igény szerint kérést is intézhet adott alkalmazáserőforrásokhoz.

3. lépés: Vállalati alkalmazás regisztrálása Azure AD

Most hozzon létre egy új vállalati alkalmazást a Azure AD, amelyet a végfelhasználók hitelesítésére fog használni.

Megjegyzés

Ha Azure AD olyan funkciókat használ, mint a feltételes hozzáférés, fontos, hogy helyszíni alkalmazásonként hozzon létre egy vállalati alkalmazást. Ez lehetővé teszi az alkalmazásonkénti feltételes hozzáférést, az alkalmazásonkénti kockázatfelmérést, az alkalmazásonkénti engedélyeket stb. Általában egy nagyvállalati alkalmazás Azure AD egy Azure-összekötőre képez le a Mavericsben.

Vállalati alkalmazás regisztrálása Azure AD:

  1. A Azure AD bérlőben lépjen a Vállalati alkalmazások elemre, majd válassza az Új alkalmazás lehetőséget. A Azure AD gyűjteményben keresse meg a Maverics Identity Orchestrator SAML-összekötőt, majd válassza ki.

  2. A Maverics Identity Orchestrator SAML-összekötő tulajdonságai panelen állítsa a Felhasználó-hozzárendelés szükséges? beállítást Nem értékre, hogy az alkalmazás a címtár összes felhasználója számára működjön.

  3. A Maverics Identity Orchestrator SAML-összekötő áttekintése panelen válassza az Egyszeri bejelentkezés beállítása, majd az SAML lehetőséget.

  4. A Maverics Identity Orchestrator SAML-összekötő SAML-alapú bejelentkezés paneljén a Szerkesztés (ceruza ikon) gombra kattintva szerkessze az Alapszintű SAML-konfigurációt.

    Képernyőkép az

  5. Adja meg a (z) entitásazonosítójáthttps://sonar.maverics.com. Az entitásazonosítónak egyedinek kell lennie a bérlőben lévő alkalmazásokban, és tetszőleges érték lehet. Ezt az értéket akkor fogja használni, ha a következő szakaszban definiálja az samlEntityID Azure-összekötő mezőjét.

  6. Adja meg a válasz URL-címét.https://sonar.maverics.com/acs Ezt az értéket akkor fogja használni, ha a következő szakaszban definiálja az samlConsumerServiceURL Azure-összekötő mezőjét.

  7. Adja meg a bejelentkezési URL-címét.https://sonar.maverics.com/ Ezt a mezőt a Maverics nem fogja használni, de a Azure AD szükséges ahhoz, hogy a felhasználók hozzáférjenek az alkalmazáshoz a Azure AD Saját alkalmazások portálon keresztül.

  8. Kattintson a Mentés gombra.

  9. Az SAML aláíró tanúsítvány szakaszban válassza a Másolás gombot az alkalmazás összevonási metaadatok URL-címének másolásához, majd mentse a számítógépre.

    Képernyőkép az

4. lépés: Hitelesítés az Azure-on keresztül és az alkalmazáshoz való hozzáférés engedélyezése

Ezután helyezze el az imént létrehozott nagyvállalati alkalmazást az Azure-összekötő Mavericsben való konfigurálásával. Ez a connectorsidps blokkhoz párosított konfiguráció lehetővé teszi, hogy az Orchestrator hitelesítse a felhasználókat.

A konfigurációs fájlnak most már tartalmaznia kell a következő kódot. Mindenképpen cserélje le METADATA_URL az előző lépés alkalmazás-összevonási metaadatainak URL-értékére.

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

idps:
  - name: azureSonarApp

appgateways:
  - name: sonar
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureSonarApp.authenticated}}", "true"]

connectors:
  - name: azureSonarApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://sonar.maverics.com/acs
    samlEntityID: https://sonar.maverics.com

Annak ellenőrzéséhez, hogy a hitelesítés a várt módon működik-e, indítsa újra a Maverics szolgáltatást, és küldjön kérést egy alkalmazáserőforrásnak a Maverics-proxyn keresztül. Az erőforrás elérése előtt át kell irányítani az Azure-ba hitelesítés céljából.

5. lépés: Fejlécek hozzáadása a zökkenőmentes alkalmazáshozzáféréshez

Még nem küld fejléceket a felsőbb rétegbeli alkalmazásnak. Adjunk hozzá headers a kéréshez, ahogy áthalad a Maverics-proxyn, hogy a felsőbb rétegbeli alkalmazás azonosíthassa a felhasználót.

A konfigurációs fájlnak most a következő kódot kell tartalmaznia:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

idps:
  - name: azureSonarApp

appgateways:
  - name: sonar
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureSonarApp.authenticated}}", "true"]

    headers:
      email: azureSonarApp.name
      firstname: azureSonarApp.givenname
      lastname: azureSonarApp.surname

connectors:
  - name: azureSonarApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://sonar.maverics.com/acs
    samlEntityID: https://sonar.maverics.com

Annak ellenőrzéséhez, hogy a hitelesítés a várt módon működik-e, küldjön kérést egy alkalmazáserőforrásnak a Maverics-proxyn keresztül. A védett alkalmazásnak mostantól fejléceket kell fogadnia a kérelemben.

Nyugodtan szerkessze a fejléckulcsokat, ha az alkalmazás eltérő fejléceket vár. Az SAML-folyamat részeként Azure AD visszaérkezési összes jogcím használható fejlécekben. Felvehet például egy másik fejlécet issecondary_email: azureSonarApp.email, ahol azureSonarApp az összekötő neve, és email egy jogcímet ad vissza Azure AD.

6. lépés: Több alkalmazás használata

Most vessünk egy pillantást arra, hogy mi szükséges a különböző gazdagépeken található több alkalmazás proxyzásához. A lépés elvégzéséhez konfiguráljon egy másik App Gatewayt, egy másik vállalati alkalmazást Azure AD és egy másik összekötőt.

A konfigurációs fájlnak tartalmaznia kell ezt a kódot:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

idps:
  - name: azureSonarApp
  - name: azureConnectulumApp

appgateways:
  - name: sonar
    host: sonar.maverics.com
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureSonarApp.authenticated}}", "true"]

    headers:
      email: azureSonarApp.name
      firstname: azureSonarApp.givenname
      lastname: azureSonarApp.surname

  - name: connectulum
    host: connectulum.maverics.com
    location: /
    # Replace https://app.connectulum.com with the address of your protected application
    upstream: https://app.connectulum.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureConnectulumApp.authenticated}}", "true"]

    headers:
      email: azureConnectulumApp.name
      firstname: azureConnectulumApp.givenname
      lastname: azureConnectulumApp.surname

connectors:
  - name: azureSonarApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://sonar.maverics.com/acs
    samlEntityID: https://sonar.maverics.com

  - name: azureConnectulumApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://connectulum.maverics.com/acs
    samlEntityID: https://connectulum.maverics.com

Bizonyára észrevette, hogy a kód egy mezőt ad hozzá host az App Gateway-definíciókhoz. A host mező lehetővé teszi a Maverics Orchestrator számára, hogy megkülönböztesse, melyik felsőbb rétegbeli gazdagépre irányuló forgalmat proxyzhatja.

Annak ellenőrzéséhez, hogy az újonnan hozzáadott App Gateway a várt módon működik-e, küldjön egy kérést a következőnek: https://connectulum.maverics.com.

Speciális forgatókönyvek

Identitás migrálása

Nem tudja elviselni az életciklusa végén használt webes hozzáférés-kezelő eszközt, de nincs módja arra, hogy tömeges jelszó-visszaállítás nélkül migrálja a felhasználókat? A Maverics Orchestrator a használatával migrationgatewaystámogatja az identitásmigrálást.

Webkiszolgáló-átjárók

Nem szeretné átdolgozni a hálózati és proxyforgalmat a Maverics Orchestratoron keresztül? Nem probléma. A Maverics Orchestrator webkiszolgáló-átjárókkal (modulokkal) párosítható, hogy proxyzás nélkül ugyanazokat a megoldásokat kínálhassa.

Wrap-up

Ezen a ponton telepítette a Maverics Orchestratort, létrehozott és konfigurált egy vállalati alkalmazást a Azure AD-ben, és konfigurálta az Orchestratort úgy, hogy egy védett alkalmazáshoz proxyt adjon meg, miközben hitelesítési és kényszerítési szabályzatot igényel. Ha többet szeretne megtudni arról, hogy a Maverics Orchestrator hogyan használható az elosztott identitáskezelési használati esetekhez, forduljon a Stratához.

Következő lépések