Megosztás a következőn keresztül:

A Microsoft Entra egyszeri bejelentkezésének integrálása a Maverics Orchestrator SAML-összekötővel

  • Cikk

A Strata Maverics Orchestrator egyszerűen integrálhatja a helyszíni alkalmazásokat a Microsoft Entra-azonosítóval a hitelesítéshez és a hozzáférés-vezérléshez. A Maverics Orchestrator képes modernizálni a hitelesítést és az engedélyezést olyan alkalmazások esetében, amelyek jelenleg fejlécekre, cookie-kra és más védett hitelesítési módszerekre támaszkodnak. A Maverics Orchestrator-példányok üzembe helyezhetők a helyszínen vagy a felhőben.

Ez a hibrid hozzáférési oktatóanyag bemutatja, hogyan migrálhat egy olyan helyszíni webalkalmazást, amelyet egy örökölt webhozzáférés-kezelési termék véd a Microsoft Entra ID hitelesítéshez és hozzáférés-vezérléshez való használatához. Az alábbiakban az alapvető lépéseket követjük:

  1. A Maverics Orchestrator beállítása
  2. Alkalmazás proxyzása
  3. Vállalati alkalmazás regisztrálása a Microsoft Entra-azonosítóban
  4. Hitelesítés a Microsoft Entra-azonosítón keresztül és az alkalmazáshoz való hozzáférés engedélyezése
  5. Élőfejek hozzáadása a zökkenőmentes alkalmazáshozzáféréshez
  6. Több alkalmazás használata

Előfeltételek

  • Microsoft Entra ID-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
  • Egy Maverics Identity Orchestrator platformfiók. Regisztráljon a maverics.strata.io.
  • Legalább egy olyan alkalmazás, amely fejlécalapú hitelesítést használ. Példáinkban egy Sonar nevű alkalmazáson fogunk dolgozni, amely elérhető lesz a következő helyen https://localhost:8443: .

1. lépés: A Maverics Orchestrator beállítása

Miután regisztrált egy Maverics-fiókot a maverics.strata.io, használja a Learning Center első lépések: kiértékelési környezet című oktatóanyagát. Ez az oktatóanyag lépésről lépésre végigvezeti egy kiértékelési környezet létrehozásának, egy vezénylő letöltésének és a vezénylő gépre történő telepítésének folyamatán.

2. lépés: A Microsoft Entra ID kiterjesztése egy alkalmazásra egy recepttel

Ezután használja a Learning Center oktatóanyagot, amely a Microsoft Entra-azonosító kiterjesztése egy örökölt, nem standard alkalmazásra. Ez az oktatóanyag egy .json receptet biztosít, amely automatikusan konfigurál egy identitáshálót, egy fejlécalapú alkalmazást és részben teljes felhasználói folyamatot.

3. lépés: Vállalati alkalmazás regisztrálása a Microsoft Entra-azonosítóban

Most létrehozunk egy új nagyvállalati alkalmazást a Microsoft Entra-azonosítóban, amely a végfelhasználók hitelesítésére szolgál.

Feljegyzés

A Microsoft Entra ID-funkciók, például a feltételes hozzáférés használata esetén fontos, hogy helyszíni alkalmazásonként hozzon létre egy nagyvállalati alkalmazást. Ez lehetővé teszi az alkalmazásonkénti feltételes hozzáférést, az alkalmazásonkénti kockázatfelmérést, az alkalmazásonkénti hozzárendelt engedélyeket stb. A Microsoft Entra ID-ban lévő nagyvállalati alkalmazások általában egy Azure-összekötőre képeznek le a Mavericsben.

  1. A Microsoft Entra ID-bérlőben nyissa meg a Nagyvállalati alkalmazásokat, kattintson az Új alkalmazás elemre, és keresse meg a Maverics Identity Orchestrator SAML-összekötőt a Microsoft Entra ID katalógusában, majd válassza ki.

  2. A Maverics Identity Orchestrator SAML-összekötő tulajdonságai panelen állítsa a Felhasználó-hozzárendelés szükséges? beállítást Nem értékre, hogy az alkalmazás a címtár összes felhasználója számára működjön.

  3. A Maverics Identity Orchestrator SAML Connector Overview panelen válassza az Egyszeri bejelentkezés beállítása, majd az SAML lehetőséget.

  4. A Maverics Identity Orchestrator SAML-összekötő SAML-alapú bejelentkezés paneljén a Szerkesztés (ceruza ikon) gombra kattintva szerkessze az egyszerű SAML-konfigurációt.

    Képernyőkép az

  5. Adja meg a következő entitásazonosítót : https://sonar.maverics.com. Az entitásazonosítónak egyedinek kell lennie a bérlő alkalmazásaiban, és tetszőleges érték lehet. Ezt az értéket akkor használjuk, amikor a következő szakaszban definiáljuk az samlEntityID Azure-összekötő mezőjét.

  6. Adja meg a következő válasz URL-címét : https://sonar.maverics.com/acs. Ezt az értéket akkor használjuk, amikor a következő szakaszban definiáljuk az samlConsumerServiceURL Azure-összekötő mezőjét.

  7. Adja meg a következő url-címét : https://sonar.maverics.com/. Ezt a mezőt a Maverics nem fogja használni, de a Microsoft Entra-azonosítóban szükséges ahhoz, hogy a felhasználók hozzáférjenek az alkalmazáshoz a Microsoft Entra-azonosító Saját alkalmazások portálon keresztül.

  8. Válassza a Mentés lehetőséget.

  9. Az SAML aláíró tanúsítvány szakaszában válassza a Másolás gombot az alkalmazás összevonási metaadatainak URL-címének másolásához, majd mentse a számítógépre.

    Képernyőkép az

4. lépés: Hitelesítés a Microsoft Entra-azonosítón keresztül és az alkalmazáshoz való hozzáférés engedélyezése

Folytassa a Learning Center témakör 4. lépésével: A Microsoft Entra-azonosító kiterjesztése egy örökölt, nem szabványos alkalmazásra a felhasználói folyamat szerkesztéséhez a Mavericsben. Ezek a lépések végigvezetik a fejlécek felsőbb rétegbeli alkalmazáshoz való hozzáadásának és a felhasználói folyamat üzembe helyezésének folyamatán.

Miután üzembe helyezte a felhasználói folyamatot, ellenőrizze, hogy a hitelesítés a várt módon működik-e, kérjen egy alkalmazáserőforrást a Maverics-proxyn keresztül. A védett alkalmazásnak mostantól fejléceket kell kapnia a kéréshez.

Nyugodtan szerkessze a fejléckulcsokat, ha az alkalmazás eltérő fejléceket vár. A Microsoft Entra-azonosítóból az SAML-folyamat részeként visszaérkezett jogcímek a fejlécekben használhatók. Felvehetünk például egy másik fejlécet secondary_email: azureSonarApp.emailis, ahol azureSonarApp az összekötő neve, és email a Microsoft Entra-azonosítóból visszaadott jogcím.

Speciális forgatókönyvek

Identitásmigrálás

Nem állhatja ki az élettartam végéhez tartozó webes hozzáférés-kezelő eszközt, de nincs módja arra, hogy tömeges jelszó-visszaállítás nélkül migrálja a felhasználókat? A Maverics Orchestrator a segítségével támogatja az identitásmigrálást migrationgateways.

Webkiszolgáló-modulok

Nem szeretné átdolgozni a hálózati és proxyforgalmat a Maverics Orchestratoron keresztül? Nem probléma, a Maverics Orchestrator webkiszolgáló-modulokkal párosítható, hogy proxyzás nélkül is ugyanazokat a megoldásokat kínálja.

Körbefuttatás felfelé

Ezen a ponton telepítettük a Maverics Orchestratort, létrehoztunk és konfiguráltunk egy nagyvállalati alkalmazást a Microsoft Entra ID-ban, és konfiguráltuk az Orchestratort, hogy proxyt biztosítsunk egy védett alkalmazáshoz, miközben hitelesítési és kényszerítési szabályzatot igényel. Ha többet szeretne megtudni arról, hogy a Maverics Orchestrator hogyan használható az elosztott identitáskezelési használati esetekhez, forduljon a Stratához.