A Microsoft Entra egyszeri bejelentkezésének integrálása a Maverics Orchestrator SAML-összekötővel
A Strata Maverics Orchestrator egyszerűen integrálhatja a helyszíni alkalmazásokat a Microsoft Entra-azonosítóval a hitelesítéshez és a hozzáférés-vezérléshez. A Maverics Orchestrator képes modernizálni a hitelesítést és az engedélyezést olyan alkalmazások esetében, amelyek jelenleg fejlécekre, cookie-kra és más védett hitelesítési módszerekre támaszkodnak. A Maverics Orchestrator-példányok üzembe helyezhetők a helyszínen vagy a felhőben.
Ez a hibrid hozzáférési oktatóanyag bemutatja, hogyan migrálhat egy olyan helyszíni webalkalmazást, amelyet egy örökölt webhozzáférés-kezelési termék véd a Microsoft Entra ID hitelesítéshez és hozzáférés-vezérléshez való használatához. Az alábbiakban az alapvető lépéseket követjük:
- A Maverics Orchestrator beállítása
- Alkalmazás proxyzása
- Vállalati alkalmazás regisztrálása a Microsoft Entra-azonosítóban
- Hitelesítés a Microsoft Entra-azonosítón keresztül és az alkalmazáshoz való hozzáférés engedélyezése
- Élőfejek hozzáadása a zökkenőmentes alkalmazáshozzáféréshez
- Több alkalmazás használata
Előfeltételek
- Microsoft Entra ID-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
- Egy Maverics Identity Orchestrator platformfiók. Regisztráljon a maverics.strata.io.
- Legalább egy olyan alkalmazás, amely fejlécalapú hitelesítést használ. Példáinkban egy Sonar nevű alkalmazáson fogunk dolgozni, amely elérhető lesz a következő helyen
https://localhost:8443
: .
1. lépés: A Maverics Orchestrator beállítása
Miután regisztrált egy Maverics-fiókot a maverics.strata.io, használja a Learning Center első lépések: kiértékelési környezet című oktatóanyagát. Ez az oktatóanyag lépésről lépésre végigvezeti egy kiértékelési környezet létrehozásának, egy vezénylő letöltésének és a vezénylő gépre történő telepítésének folyamatán.
2. lépés: A Microsoft Entra ID kiterjesztése egy alkalmazásra egy recepttel
Ezután használja a Learning Center oktatóanyagot, amely a Microsoft Entra-azonosító kiterjesztése egy örökölt, nem standard alkalmazásra. Ez az oktatóanyag egy .json receptet biztosít, amely automatikusan konfigurál egy identitáshálót, egy fejlécalapú alkalmazást és részben teljes felhasználói folyamatot.
3. lépés: Vállalati alkalmazás regisztrálása a Microsoft Entra-azonosítóban
Most létrehozunk egy új nagyvállalati alkalmazást a Microsoft Entra-azonosítóban, amely a végfelhasználók hitelesítésére szolgál.
Feljegyzés
A Microsoft Entra ID-funkciók, például a feltételes hozzáférés használata esetén fontos, hogy helyszíni alkalmazásonként hozzon létre egy nagyvállalati alkalmazást. Ez lehetővé teszi az alkalmazásonkénti feltételes hozzáférést, az alkalmazásonkénti kockázatfelmérést, az alkalmazásonkénti hozzárendelt engedélyeket stb. A Microsoft Entra ID-ban lévő nagyvállalati alkalmazások általában egy Azure-összekötőre képeznek le a Mavericsben.
A Microsoft Entra ID-bérlőben nyissa meg a Nagyvállalati alkalmazásokat, kattintson az Új alkalmazás elemre, és keresse meg a Maverics Identity Orchestrator SAML-összekötőt a Microsoft Entra ID katalógusában, majd válassza ki.
A Maverics Identity Orchestrator SAML-összekötő tulajdonságai panelen állítsa a Felhasználó-hozzárendelés szükséges? beállítást Nem értékre, hogy az alkalmazás a címtár összes felhasználója számára működjön.
A Maverics Identity Orchestrator SAML Connector Overview panelen válassza az Egyszeri bejelentkezés beállítása, majd az SAML lehetőséget.
A Maverics Identity Orchestrator SAML-összekötő SAML-alapú bejelentkezés paneljén a Szerkesztés (ceruza ikon) gombra kattintva szerkessze az egyszerű SAML-konfigurációt.
Adja meg a következő entitásazonosítót :
https://sonar.maverics.com
. Az entitásazonosítónak egyedinek kell lennie a bérlő alkalmazásaiban, és tetszőleges érték lehet. Ezt az értéket akkor használjuk, amikor a következő szakaszban definiáljuk azsamlEntityID
Azure-összekötő mezőjét.Adja meg a következő válasz URL-címét :
https://sonar.maverics.com/acs
. Ezt az értéket akkor használjuk, amikor a következő szakaszban definiáljuk azsamlConsumerServiceURL
Azure-összekötő mezőjét.Adja meg a következő url-címét :
https://sonar.maverics.com/
. Ezt a mezőt a Maverics nem fogja használni, de a Microsoft Entra-azonosítóban szükséges ahhoz, hogy a felhasználók hozzáférjenek az alkalmazáshoz a Microsoft Entra-azonosító Saját alkalmazások portálon keresztül.Válassza a Mentés lehetőséget.
Az SAML aláíró tanúsítvány szakaszában válassza a Másolás gombot az alkalmazás összevonási metaadatainak URL-címének másolásához, majd mentse a számítógépre.
4. lépés: Hitelesítés a Microsoft Entra-azonosítón keresztül és az alkalmazáshoz való hozzáférés engedélyezése
Folytassa a Learning Center témakör 4. lépésével: A Microsoft Entra-azonosító kiterjesztése egy örökölt, nem szabványos alkalmazásra a felhasználói folyamat szerkesztéséhez a Mavericsben. Ezek a lépések végigvezetik a fejlécek felsőbb rétegbeli alkalmazáshoz való hozzáadásának és a felhasználói folyamat üzembe helyezésének folyamatán.
Miután üzembe helyezte a felhasználói folyamatot, ellenőrizze, hogy a hitelesítés a várt módon működik-e, kérjen egy alkalmazáserőforrást a Maverics-proxyn keresztül. A védett alkalmazásnak mostantól fejléceket kell kapnia a kéréshez.
Nyugodtan szerkessze a fejléckulcsokat, ha az alkalmazás eltérő fejléceket vár. A Microsoft Entra-azonosítóból az SAML-folyamat részeként visszaérkezett jogcímek a fejlécekben használhatók. Felvehetünk például egy másik fejlécet secondary_email: azureSonarApp.email
is, ahol azureSonarApp
az összekötő neve, és email
a Microsoft Entra-azonosítóból visszaadott jogcím.
Speciális forgatókönyvek
Identitásmigrálás
Nem állhatja ki az élettartam végéhez tartozó webes hozzáférés-kezelő eszközt, de nincs módja arra, hogy tömeges jelszó-visszaállítás nélkül migrálja a felhasználókat? A Maverics Orchestrator a segítségével támogatja az identitásmigrálást migrationgateways
.
Webkiszolgáló-modulok
Nem szeretné átdolgozni a hálózati és proxyforgalmat a Maverics Orchestratoron keresztül? Nem probléma, a Maverics Orchestrator webkiszolgáló-modulokkal párosítható, hogy proxyzás nélkül is ugyanazokat a megoldásokat kínálja.
Körbefuttatás felfelé
Ezen a ponton telepítettük a Maverics Orchestratort, létrehoztunk és konfiguráltunk egy nagyvállalati alkalmazást a Microsoft Entra ID-ban, és konfiguráltuk az Orchestratort, hogy proxyt biztosítsunk egy védett alkalmazáshoz, miközben hitelesítési és kényszerítési szabályzatot igényel. Ha többet szeretne megtudni arról, hogy a Maverics Orchestrator hogyan használható az elosztott identitáskezelési használati esetekhez, forduljon a Stratához.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: