Megosztás a következőn keresztül:

A Microsoft Entra SSO integrációja a Szigettel

  • Cikk

Ebből a cikkből megtudhatja, hogyan integrálhatja a Szigetet a Microsoft Entra ID-val. A Microsoft Entra egyszeri bejelentkezés lehetővé teszi, hogy a végfelhasználók a Microsoft Entra-hitelesítéssel közvetlenül elérhessék a Szigetet, a Nagyvállalati böngészőt. Rendszergazda felhasználókat adhat hozzá vagy távolíthat el, valamint frissítheti az attribútumokat a Microsoft Entra-azonosítóból is. Ha integrálja az Island-t a Microsoft Entra ID-val, a következőt teheti:

  • A Szigethez hozzáféréssel rendelkező Microsoft Entra-azonosító vezérlése.
  • Lehetővé teszi, hogy a felhasználók automatikusan bejelentkezhessenek a Szigetre a Microsoft Entra-fiókjukkal.
  • A fiókokat egy központi helyen kezelheti.

A Microsoft Entra egyszeri bejelentkezését egy tesztkörnyezetben konfigurálhatja és tesztelheti. Az Island támogatja az SP és az IDP által kezdeményezett egyszeri bejelentkezést és a Just In Time felhasználókiépítést is.

Előfeltételek

A Microsoft Entra ID és az Island integrálásához a következőkre van szükség:

Alkalmazás hozzáadása és tesztfelhasználó hozzárendelése

Mielőtt elkezdené az egyszeri bejelentkezés konfigurálásának folyamatát, hozzá kell adnia a Sziget alkalmazást a Microsoft Entra katalógusából. Egy tesztfelhasználói fiókra van szüksége az alkalmazáshoz való hozzárendeléshez és az egyszeri bejelentkezési konfiguráció teszteléséhez.

Adja hozzá a Szigetet a Microsoft Entra alkalmazáskatalógusából az egyszeri bejelentkezés a Szigettel való konfigurálásához. Az alkalmazás katalógusból való hozzáadásáról további információt a gyorsútmutatóban talál: Alkalmazás hozzáadása a katalógusból.

Microsoft Entra tesztfelhasználó létrehozása és hozzárendelése

A B.Simon nevű tesztfelhasználói fiók létrehozásához kövesse a felhasználói fiók létrehozását és hozzárendelését ismertető cikkben szereplő irányelveket.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, és szerepköröket rendelhet hozzá. A varázsló az egyszeri bejelentkezés konfigurációs paneljére mutató hivatkozást is tartalmaz. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása

Végezze el az alábbi lépéseket a Microsoft Entra egyszeri bejelentkezésének engedélyezéséhez.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Tallózással keresse meg az Identity>Applications>Enterprise-alkalmazásokat>– szigeti>egyszeri bejelentkezés.

  3. A Select a single sign-on method page, select SAML.

  4. Az saml-alapú egyszeri bejelentkezés beállítása lapon válassza az egyszerű SAML-konfiguráció ceruzaikonját a beállítások szerkesztéséhez.

    Képernyőkép az egyszerű SAML-konfiguráció szerkesztéséről.

  5. Az Egyszerű SAML-konfiguráció szakaszban hajtsa végre a következő lépéseket:

    a. Az Azonosító szövegmezőbe írjon be egy URL-címet a következő mintával:urn:auth0:za-production:<TENANTID>-saml-browser-prod

    b. A Válasz URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:https://login.island.io/login/callback?connection=<TENANTID>-saml-browser-prod

  6. Ha sp által kezdeményezett módban szeretné konfigurálni az alkalmazást, hajtsa végre a következő lépést:

    A Bejelentkezés URL-cím szövegmezőbe írja be az URL-címet:https://download.island.io

    Feljegyzés

    Ezek az értékek nem valósak. Frissítse ezeket az értékeket a tényleges azonosítóval és válasz URL-címmel. Az értékek lekéréséhez lépjen kapcsolatba a Sziget ügyféltámogatási csapatával . Az egyszerű SAML-konfiguráció szakaszban látható mintákra is hivatkozhat.

  7. A szigetalkalmazás az SAML-állításokat egy adott formátumban várja, amihez egyéni attribútumleképezéseket kell hozzáadnia az SAML-tokenattribútumok konfigurációjához. Az alábbi képernyőképen egy példa látható erre. Az egyedi felhasználóazonosító alapértelmezett értéke a user.userprincipalname, de a Island azt várja, hogy a rendszer megfelelteti ezt a felhasználó objektumazonosítójának, és módosítsa a névazonosító formátumbeállítását állandóra. Ehhez használhatja a user.objectid attribútumot a listából, vagy használhatja a szervezet konfigurációja alapján a megfelelő attribútumértéket.

    Képernyőkép az attribútumok konfigurációjáról.

    Feljegyzés

    Az alapértelmezett attribútumok listájában manuálisan szerkessze a következő jogcímeket:

    1. Kattintson a givenname (user.givenname) jogcímre, módosítsa a Név beállítást given_name értékre, majd kattintson a Mentés gombra.
    2. Kattintson a név (user.userprincipalname) jogcímre, módosítsa a Forrás beállítást átalakításra, és szerkessze az átalakítási beállításokat az alábbiak szerint.
    3. Válassza az Átalakítás lehetőséget, majd a Csatlakozás() lehetőséget. Válassza ki a user.givenname paramétert 1. paraméterként, és adjon hozzá egyetlen szóközt elválasztóként, és válassza a user.vezetéknevet a 2. paraméterként.
    4. A konfiguráció befejezéséhez kattintson a Hozzáadás és mentés gombra.

  8. A fentieken kívül az Island-alkalmazás várhatóan néhány további attribútumot ad vissza az SAML-válaszban, amelyek alább láthatók. Ezek az attribútumok szintén előre fel vannak töltve, de a követelményeknek megfelelően áttekintheti őket.

    Név Forrásattribútum
    e-mail user.mail
    family_name user.surname
    csoportok user.groups [Mind]

  9. Az saml-alapú egyszeri bejelentkezés beállítása lapon, az SAML aláíró tanúsítvány szakaszában keresse meg a Tanúsítványt (Base64), és válassza a Letöltés lehetőséget a tanúsítvány letöltéséhez és a számítógépre való mentéséhez.

    Képernyőkép a Tanúsítvány letöltési hivatkozásról.

  10. A Sziget beállítása szakaszban másolja ki a megfelelő URL-cím(ek)et a követelmény alapján.

    Képernyőkép a konfiguráció megfelelő URL-címének másolásához.

A sziget egyszeri bejelentkezésének konfigurálása

Az egyszeri bejelentkezés szigetoldali konfigurálásához el kell küldenie a letöltött tanúsítványt (Base64) és a megfelelő másolt URL-címeket az alkalmazáskonfigurációból a Sziget támogatási csapatának. Ezt a beállítást úgy állítják be, hogy az SAML SSO-kapcsolat megfelelően legyen beállítva mindkét oldalon.

Sziget tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű felhasználó jön létre a Szigeten. A Island támogatja az igény szerinti felhasználói kiépítést, amely alapértelmezés szerint engedélyezve van. Ebben a szakaszban nincs műveletelem. Ha egy felhasználó még nem létezik a szigeten, a hitelesítés után gyakran létrejön egy új.

Egyszeri bejelentkezés tesztelése

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

Sp kezdeményezve:

  • Kattintson az alkalmazás tesztelésére, ez átirányítja a sziget bejelentkezési URL-címére, ahol elindíthatja a bejelentkezési folyamatot.

  • Lépjen közvetlenül a Island Sign-on URL-címre, és indítsa el onnan a bejelentkezési folyamatot.

IdP kezdeményezve:

  • Kattintson az alkalmazás tesztelésére, és automatikusan be kell jelentkeznie arra a szigetre, amelyhez beállította az egyszeri bejelentkezést.

A Microsoft Saját alkalmazások használatával is tesztelheti az alkalmazást bármilyen módban. Amikor a Saját alkalmazások a Sziget csempére kattint, az SP módban konfigurálva a rendszer átirányítja az alkalmazás bejelentkezési lapjára a bejelentkezési folyamat elindításához, és ha IDP módban van konfigurálva, akkor automatikusan be kell jelentkeznie arra a szigetre, amelyhez beállította az egyszeri bejelentkezést. További információ: Microsoft Entra Saját alkalmazások.

További erőforrások

Következő lépések

A Sziget konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést a Microsoft Felhőappbiztonság.