A Microsoft Entra egyszeri bejelentkezésének integrálása a Maverics Identity Orchestrator SAML Csatlakozás or használatával

Figyelemfelhívás

Ez a cikk a CentOS-ra, egy olyan Linux-disztribúcióra hivatkozik, amely közel áll az élettartam (EOL) állapotához. Fontolja meg a használatát, és ennek megfelelően tervezze meg. További információ: CentOS End Of Life útmutató.

A Strata Maverics Identity Orchestrator egyszerűen integrálhatja a helyszíni alkalmazásokat a Microsoft Entra-azonosítóval a hitelesítéshez és a hozzáférés-vezérléshez. A Maverics Orchestrator képes modernizálni a hitelesítést és az engedélyezést olyan alkalmazások esetében, amelyek jelenleg fejlécekre, cookie-kra és más védett hitelesítési módszerekre támaszkodnak. A Maverics Orchestrator-példányok üzembe helyezhetők a helyszínen vagy a felhőben.

Ez a hibrid hozzáférési oktatóanyag bemutatja, hogyan migrálhat egy olyan helyszíni webalkalmazást, amelyet egy örökölt webhozzáférés-kezelési termék véd a Microsoft Entra ID hitelesítéshez és hozzáférés-vezérléshez való használatához. Az alábbiakban az alapvető lépéseket követjük:

1. A Maverics Orchestrator beállítása
2. Alkalmazás proxyja
3. Vállalati alkalmazás regisztrálása a Microsoft Entra-azonosítóban
4. Hitelesítés az Azure-on keresztül és az alkalmazáshoz való hozzáférés engedélyezése
5. Élőfejek hozzáadása a zökkenőmentes alkalmazáshozzáféréshez
6. Több alkalmazással végzett munka

Előfeltételek

• Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
• Egy Maverics Identity Orchestrator SAML Csatlakozás or SSO-kompatibilis előfizetés. A Maverics szoftver beszerzéséhez lépjen kapcsolatba a Strata értékesítési csapatával.
• Legalább egy olyan alkalmazás, amely fejlécalapú hitelesítést használ. A példák egy Csatlakozás ulum nevű alkalmazáson működnek, amely a következő helyen https://app.connectulum.comtalálható: .
• Linux rendszerű gép a Maverics Orchestrator üzemeltetéséhez
  • OPERÁCIÓS RENDSZER: RHEL 7.7 vagy újabb, CentOS 7+
  • Lemez: >= 10 GB
  • Memória: >= 4 GB
  • Portok: 22 (SSH/SCP), 443, 7474
  • Gyökérhozzáférés telepítési/felügyeleti feladatokhoz
  • Hálózati kimenő forgalom a Maverics Identity Orchestratort futtató kiszolgálóról a védett alkalmazásba

1. lépés: A Maverics Orchestrator beállítása

A Maverics telepítése

1. Szerezze be a legújabb Maverics RPM-et. Másolja a csomagot arra a rendszerre, amelyre telepíteni szeretné a Maverics szoftvert.

2. Telepítse a Maverics-csomagot, és helyettesítse a fájlnevet a maverics.rpmhelyett.

   sudo rpm -Uvf maverics.rpm

   A Maverics telepítése után szolgáltatásként fog futni a következő alatt systemd: . A szolgáltatás futásának ellenőrzéséhez hajtsa végre a következő parancsot:

   sudo systemctl status maverics

3. Az Orchestrator újraindításához és a naplók követéséhez futtassa a következő parancsot:

   sudo service maverics restart; sudo journalctl --identifier=maverics -f

A Maverics telepítése után az alapértelmezett maverics.yaml fájl létrejön a /etc/maverics könyvtárban. Mielőtt szerkesztenie kell a konfigurációt a belefoglaláshoz appgateways , és connectorsa konfigurációs fájl a következőhöz hasonlóan fog kinézni:

# © Strata Identity Inc. 2020. All Rights Reserved. Patents Pending.

version: 0.1
listenAddress: ":7474"

DNS konfigurálása

A DNS hasznos lesz, hogy ne kelljen emlékeznie az Orchestrator-kiszolgáló IP-címére.

Szerkessze a böngészőgép (a laptop) gazdagépfájlját a 12.34.56.78-os feltételezett Orchestrator IP-cím használatával. Linux-alapú operációs rendszereken ez a fájl a következő helyen /etc/hoststalálható: . Windows rendszeren a C:\windows\system32\drivers\etchelye: .

12.34.56.78 sonar.maverics.com
12.34.56.78 connectulum.maverics.com

Annak ellenőrzéséhez, hogy a DNS a várt módon van-e konfigurálva, kérést intézhet az Orchestrator állapotvégpontjára. A böngészőből kérje a kérést http://sonar.maverics.com:7474/status.

TLS konfigurálása

A biztonságos csatornákon keresztüli kommunikáció az Orchestratorral való kommunikáció kritikus fontosságú a biztonság fenntartása érdekében. Ehhez hozzáadhat egy tanúsítvány-/kulcspárt a tls szakaszban.

Ha önaláírt tanúsítványt és kulcsot szeretne létrehozni az Orchestrator-kiszolgálóhoz, futtassa a következő parancsot a /etc/maverics könyvtárból:

openssl req -new -newkey rsa:4096 -x509 -sha256 -days 365 -nodes -out maverics.crt -keyout maverics.key

Feljegyzés

Éles környezetekben valószínűleg egy ismert hitelesítésszolgáltató által aláírt tanúsítványt kell használnia, hogy elkerülje a böngészőben megjelenő figyelmeztetéseket. A Titkosítás egy jó és ingyenes lehetőség, ha megbízható hitelesítésszolgáltatót keres.

Most használja az újonnan létrehozott tanúsítványt és kulcsot az Orchestratorhoz. A konfigurációs fájlnak tartalmaznia kell ezt a kódot:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

Annak ellenőrzéséhez, hogy a TLS a várt módon van-e konfigurálva, indítsa újra a Maverics szolgáltatást, és küldjön egy kérést az állapotvégponthoz.

2. lépés: Alkalmazás proxyja

Ezután konfigurálja az alapszintű proxyzást az Orchestratorban a használatával appgateways. Ez a lépés segít ellenőrizni, hogy az Orchestrator rendelkezik-e a szükséges kapcsolattal a védett alkalmazáshoz.

A konfigurációs fájlnak tartalmaznia kell ezt a kódot:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

appgateways:
  - name: sonar
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

Annak ellenőrzéséhez, hogy a proxyzás a várt módon működik-e, indítsa újra a Maverics szolgáltatást, és küldjön egy kérést az alkalmazásnak a Maverics-proxyn keresztül. Igény szerint kérést is intézhet adott alkalmazáserőforrásokhoz.

3. lépés: Vállalati alkalmazás regisztrálása a Microsoft Entra-azonosítóban

Most hozzon létre egy új vállalati alkalmazást a Microsoft Entra-azonosítóban, amely a végfelhasználók hitelesítéséhez lesz használva.

Feljegyzés

Ha a Microsoft Entra olyan funkcióit használja, mint a feltételes hozzáférés, fontos, hogy helyszíni alkalmazásonként hozzon létre egy nagyvállalati alkalmazást. Ez lehetővé teszi az alkalmazásonkénti feltételes hozzáférést, az alkalmazásonkénti kockázatfelmérést, az alkalmazásonkénti hozzárendelt engedélyeket stb. A Microsoft Entra ID-ban lévő nagyvállalati alkalmazások általában egy Azure-összekötőre képeznek le a Mavericsben.

Vállalati alkalmazás regisztrálása a Microsoft Entra-azonosítóban:

1. A Microsoft Entra-bérlőben nyissa meg a Nagyvállalati alkalmazásokat, majd válassza az Új alkalmazás lehetőséget. A Microsoft Entra katalógusban keresse meg a Maverics Identity Orchestrator SAML Csatlakozás ort, majd válassza ki.

2. A Maverics Identity Orchestrator SAML Csatlakozás or Properties panelen állítsa be a Felhasználó-hozzárendelés szükséges? beállítást Nem értékre, hogy az alkalmazás a címtár összes felhasználója számára működjön.

3. A Maverics Identity Orchestrator SAML Csatlakozás or Overview panelen válassza az Egyszeri bejelentkezés beállítása, majd az SAML lehetőséget.

4. A Maverics Identity Orchestrator SAML Csatlakozás or SAML-alapú bejelentkezési panelen a Szerkesztés (ceruza ikon) gombra kattintva szerkessze az egyszerű SAML-konfigurációt.

   

5. Adjon meg egy entitásazonosítót a (z https://sonar.maverics.com) . Az entitásazonosítónak egyedinek kell lennie a bérlő alkalmazásaiban, és tetszőleges érték lehet. Ezt az értéket akkor fogja használni, ha a következő szakaszban definiálja az samlEntityID Azure-összekötő mezőjét.

6. Adja meg a válasz URL-címéthttps://sonar.maverics.com/acs. Ezt az értéket akkor fogja használni, ha a következő szakaszban definiálja az samlConsumerServiceURL Azure-összekötő mezőjét.

7. Adja meg a bejelentkezési URL-címethttps://sonar.maverics.com/. Ezt a mezőt a Maverics nem fogja használni, de a Microsoft Entra-azonosítóban szükséges ahhoz, hogy a felhasználók hozzáférjenek az alkalmazáshoz a Microsoft Entra Saját alkalmazások portálon keresztül.

8. Válassza a Mentés lehetőséget.

9. Az SAML aláíró tanúsítvány szakaszban válassza a Másolás gombot az alkalmazás összevonási metaadatainak URL-értékének másolásához, majd mentse a számítógépre.

   

4. lépés: Hitelesítés az Azure-on keresztül és az alkalmazáshoz való hozzáférés engedélyezése

Ezután helyezze el az imént létrehozott nagyvállalati alkalmazást az Azure-összekötő Mavericsben való konfigurálásával. Ez connectors a idps blokktal párosított konfiguráció lehetővé teszi az Orchestrator számára a felhasználók hitelesítését.

A konfigurációs fájlnak mostantól tartalmaznia kell a következő kódot. Mindenképpen cserélje le METADATA_URL az alkalmazás összevonási metaadatainak URL-értékét az előző lépésben.

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

idps:
  - name: azureSonarApp

appgateways:
  - name: sonar
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureSonarApp.authenticated}}", "true"]

connectors:
  - name: azureSonarApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://sonar.maverics.com/acs
    samlEntityID: https://sonar.maverics.com

Annak ellenőrzéséhez, hogy a hitelesítés a várt módon működik-e, indítsa újra a Maverics szolgáltatást, és küldjön kérést egy alkalmazáserőforráshoz a Maverics-proxyn keresztül. Az erőforrás elérése előtt át kell irányítani az Azure-ba hitelesítés céljából.

5. lépés: Élőfejek hozzáadása a zökkenőmentes alkalmazáshozzáféréshez

Még nem küld fejléceket a felsőbb rétegbeli alkalmazásnak. Adjunk hozzá headers a kéréshez, ahogy áthalad a Maverics-proxyn, hogy a felsőbb rétegbeli alkalmazás azonosíthassa a felhasználót.

A konfigurációs fájlnak tartalmaznia kell ezt a kódot:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

idps:
  - name: azureSonarApp

appgateways:
  - name: sonar
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureSonarApp.authenticated}}", "true"]

    headers:
      email: azureSonarApp.name
      firstname: azureSonarApp.givenname
      lastname: azureSonarApp.surname

connectors:
  - name: azureSonarApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://sonar.maverics.com/acs
    samlEntityID: https://sonar.maverics.com

Annak ellenőrzéséhez, hogy a hitelesítés a várt módon működik-e, kérjen egy alkalmazáserőforrást a Maverics-proxyn keresztül. A védett alkalmazásnak mostantól fejléceket kell kapnia a kéréshez.

Nyugodtan szerkessze a fejléckulcsokat, ha az alkalmazás eltérő fejléceket vár. A Microsoft Entra-azonosítóból az SAML-folyamat részeként visszaérkezett jogcímek a fejlécekben használhatók. Felvehet például egy másik fejlécet secondary_email: azureSonarApp.emailis, ahol azureSonarApp az összekötő neve, és email a Microsoft Entra-azonosítóból visszaadott jogcím.

6. lépés: Több alkalmazással végzett munka

Most vessünk egy pillantást arra, hogy mi szükséges a proxyhoz több különböző gazdagépen található alkalmazáshoz. A lépés elvégzéséhez konfiguráljon egy másik App Gatewayt, egy másik vállalati alkalmazást a Microsoft Entra ID-ban és egy másik összekötőt.

A konfigurációs fájlnak tartalmaznia kell ezt a kódot:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

idps:
  - name: azureSonarApp
  - name: azureConnectulumApp

appgateways:
  - name: sonar
    host: sonar.maverics.com
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureSonarApp.authenticated}}", "true"]

    headers:
      email: azureSonarApp.name
      firstname: azureSonarApp.givenname
      lastname: azureSonarApp.surname

  - name: connectulum
    host: connectulum.maverics.com
    location: /
    # Replace https://app.connectulum.com with the address of your protected application
    upstream: https://app.connectulum.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureConnectulumApp.authenticated}}", "true"]

    headers:
      email: azureConnectulumApp.name
      firstname: azureConnectulumApp.givenname
      lastname: azureConnectulumApp.surname

connectors:
  - name: azureSonarApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://sonar.maverics.com/acs
    samlEntityID: https://sonar.maverics.com

  - name: azureConnectulumApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://connectulum.maverics.com/acs
    samlEntityID: https://connectulum.maverics.com

Észrevehette, hogy a kód egy mezőt ad hozzá host az App Gateway-definíciókhoz. A host mező lehetővé teszi a Maverics Orchestrator számára, hogy megkülönböztesse, hogy melyik felsőbb rétegbeli gazdagépre irányuló forgalmat proxyzhassa.

Annak ellenőrzéséhez, hogy az újonnan hozzáadott App Gateway a várt módon működik-e, küldjön egy kérést a következőre https://connectulum.maverics.com: .

Speciális forgatókönyvek

Identitásmigrálás

Nem állhatja ki az élettartam végéhez tartozó webes hozzáférés-kezelő eszközt, de nincs módja arra, hogy tömeges jelszó-visszaállítás nélkül migrálja a felhasználókat? A Maverics Orchestrator a segítségével támogatja az identitásmigrálást migrationgateways.

Webkiszolgáló-átjárók

Nem szeretné átdolgozni a hálózati és proxyforgalmat a Maverics Orchestratoron keresztül? Nem probléma. A Maverics Orchestrator webkiszolgáló-átjárókkal (modulokkal) párosítható, hogy proxyzás nélkül is ugyanazokat a megoldásokat kínálja.

Wrap-up

Ezen a ponton telepítette a Maverics Orchestratort, létrehozott és konfigurált egy vállalati alkalmazást a Microsoft Entra ID-ban, és konfigurálta az Orchestratort, hogy proxyt adjon meg egy védett alkalmazáshoz, miközben hitelesítési és kényszerítési szabályzatot igényel. Ha többet szeretne megtudni arról, hogy a Maverics Orchestrator hogyan használható az elosztott identitáskezelési használati esetekhez, forduljon a Stratához.

Következő lépések

• Mi az alkalmazáshozzáférés és az egyszeri bejelentkezés a Microsoft Entra-azonosítóval?
• Mi a feltételes hozzáférés a Microsoft Entra-azonosítóban?