A Microsoft Entra SSO integrációja a SURFconexttel
Ebből a cikkből megtudhatja, hogyan integrálhatja a SURFconextet a Microsoft Entra ID-val. A SURF-hez csatlakoztatott intézmények a SURFconext használatával számos felhőalkalmazásba jelentkezhetnek be az intézmény hitelesítő adataival. Ha integrálja a SURFconextet a Microsoft Entra ID-val, a következőt teheti:
- A SURFconext-hez hozzáféréssel rendelkező Microsoft Entra-azonosító vezérlése.
- Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek a SURFconext szolgáltatásba a Microsoft Entra-fiókjukkal.
- A fiókokat egy központi helyen kezelheti.
Tesztkörnyezetben konfigurálja és teszteli a Microsoft Entra egyszeri bejelentkezését a SURFconexthez. A SURFconext támogatja az SP által kezdeményezett egyszeri bejelentkezést és a Just In Time felhasználókiépítést.
Feljegyzés
Az alkalmazás azonosítója rögzített sztringérték, így egyetlen bérlőben csak egy példány konfigurálható.
Előfeltételek
A Microsoft Entra ID és a SURFconext integrálásához a következőkre van szükség:
- Egy Microsoft Entra felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
- Az alábbi szerepkörök egyike: Application Rendszergazda istrator, Cloud Application Rendszergazda istrator vagy Application Owner.
- Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
- SURFconext egyszeri bejelentkezésre (SSO) engedélyezett előfizetés.
Alkalmazás hozzáadása és tesztfelhasználó hozzárendelése
Mielőtt elkezdené az egyszeri bejelentkezés konfigurálásának folyamatát, hozzá kell adnia a SURFconext alkalmazást a Microsoft Entra katalógusából. Egy tesztfelhasználói fiókra van szüksége az alkalmazáshoz való hozzárendeléshez és az egyszeri bejelentkezési konfiguráció teszteléséhez.
SURFconext hozzáadása a Microsoft Entra katalógusából
A SURFconext hozzáadása a Microsoft Entra alkalmazáskatalógusából az egyszeri bejelentkezés konfigurálásához a SURFconext használatával. Az alkalmazás katalógusból való hozzáadásáról további információt a gyorsútmutatóban talál: Alkalmazás hozzáadása a katalógusból.
Microsoft Entra tesztfelhasználó létrehozása és hozzárendelése
A B.Simon nevű tesztfelhasználói fiók létrehozásához kövesse a felhasználói fiók létrehozását és hozzárendelését ismertető cikkben szereplő irányelveket.
Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, és szerepköröket rendelhet hozzá. A varázsló az egyszeri bejelentkezés konfigurációs paneljére mutató hivatkozást is tartalmaz. További információ a Microsoft 365 varázslóiról.
A Microsoft Entra SSO konfigurálása
Végezze el az alábbi lépéseket a Microsoft Entra egyszeri bejelentkezésének engedélyezéséhez.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat> SURFconext>Egyszeri bejelentkezést.
A Select a single sign-on method page, select SAML.
Az saml-alapú egyszeri bejelentkezés beállítása lapon válassza az egyszerű SAML-konfiguráció ceruzaikonját a beállítások szerkesztéséhez.
Az Egyszerű SAML-konfiguráció szakaszban hajtsa végre a következő lépéseket:
a. Az Azonosító szövegmezőbe írja be az alábbi URL-címek egyikét:
Környezet URL-cím Termelés https://engine.surfconext.nl/authentication/sp/metadata
Előkészítés https://engine.test.surfconext.nl/authentication/sp/metadata
b. A Válasz URL-cím szövegmezőbe írja be az alábbi URL-címek egyikét:
Környezet URL-cím Termelés https://engine.surfconext.nl/authentication/sp/consume-assertion
Előkészítés https://engine.test.surfconext.nl/authentication/sp/consume-assertion
c. A Bejelentkezés URL-cím szövegmezőbe írja be az alábbi URL-címek egyikét:
Környezet URL-cím Termelés https://engine.surfconext.nl/authentication/sp/debug
Előkészítés https://engine.test.surfconext.nl/authentication/sp/debug
A SURFconext alkalmazás az SAML-állításokat egy adott formátumban várja, amelyhez egyéni attribútumleképezéseket kell hozzáadnia az SAML-tokenattribútumok konfigurációjához. Az alábbi képernyőképen az alapértelmezett attribútumok listája látható.
Feljegyzés
Ezeket az alapértelmezett attribútumokat manuálisan is eltávolíthatja vagy törölheti a További jogcímek szakaszban, ha nincs rá szükség.
A fentieken kívül a SURFconext alkalmazás várhatóan néhány további attribútumot ad vissza az SAML-válaszban, amelyek alább láthatók. Ezek az attribútumok szintén előre fel vannak töltve, de a követelményeknek megfelelően áttekintheti őket.
Név Forrásattribútum urn:mace:dir:attribútum-def:cn user.displayname urn:mace:dir:attribútum-def:displayName user.displayname urn:mace:dir:attribútum-def:eduPersonPrincipalName user.userprincipalname urn:mace:dir:attribútum-def:givenName user.givenname urn:mace:dir:attribútum-def:mail user.mail urn:mace:dir:attribútum-def:preferredLanguage user.preferredlanguage urn:mace:dir:attribútum-def:sn user.surname urn:mace:dir:attribútum-def:uid user.userprincipalname urn:mace:terena.org:attribute-def:schacHomeOrganization user.userprincipalname Az urn:mace:terena.org:attribute-def:schacHomeOrganization jogcím átalakításával kapcsolatos művelet végrehajtásához válassza az Átalakítás gombot forrásként a Jogcím kezelése szakaszban.
Az átalakítás kezelése lapon hajtsa végre a következő lépéseket:
Válassza a Kicsomagolás() lehetőséget az Átalakítás mező legördülő listájából, és kattintson az Egyeztetés után gombra.
Válassza ki az attribútumot 1. paraméterként (bemenet).
Az Attribútumnév mezőben válassza ki a user.userprinciplename elemet a legördülő listából.
Válassza ki @ az értéket a legördülő listából.
Kattintson a Hozzáadás gombra.
Az saml-alapú egyszeri bejelentkezés beállítása lapon, az SAML aláíró tanúsítvány szakaszában kattintson a Másolás gombra az alkalmazás összevonási metaadatainak URL-címének másolásához és a számítógépre való mentéséhez.
SURFconext SSO konfigurálása
Az egyszeri bejelentkezés SURFconext oldalon való konfigurálásához el kell küldenie az alkalmazás összevonási metaadatainak URL-címét a SURFconext támogatási csapatának. Ezt a beállítást úgy állítják be, hogy az SAML SSO-kapcsolat megfelelően legyen beállítva mindkét oldalon.
SURFconext tesztfelhasználó létrehozása
Ebben a szakaszban egy B.Simon nevű felhasználó jön létre a SURFconextben. A SURFconext támogatja az igény szerinti felhasználói kiépítést, amely alapértelmezés szerint engedélyezve van. Ebben a szakaszban nincs műveletelem. Ha egy felhasználó még nem létezik a SURFconextben, a hitelesítés után gyakran létrejön egy új.
Egyszeri bejelentkezés tesztelése
Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.
Kattintson az alkalmazás tesztelésére, ez átirányítja a SURFconext bejelentkezési URL-címre, ahol elindíthatja a bejelentkezési folyamatot.
Lépjen közvetlenül a SURFconext bejelentkezési URL-címre, és indítsa el onnan a bejelentkezési folyamatot.
Használhatja a Microsoft Saját alkalmazások. Amikor a SURFconext csempére kattint a Saját alkalmazások, a rendszer átirányítja a SURFconext bejelentkezési URL-címre. További információ: Microsoft Entra Saját alkalmazások.
További erőforrások
- Mi az egyszeri bejelentkezés a Microsoft Entra-azonosítóval?
- Tervezze meg az egyszeri bejelentkezési üzembe helyezést.
Következő lépések
A SURFconext konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést a Microsoft Felhőappbiztonság.