A Microsoft Entra SSO integrációja a SURFconexttel

Ebből a cikkből megtudhatja, hogyan integrálhatja a SURFconextet a Microsoft Entra ID-val. A SURF-hez csatlakoztatott intézmények a SURFconext használatával számos felhőalkalmazásba jelentkezhetnek be az intézmény hitelesítő adataival. Ha integrálja a SURFconextet a Microsoft Entra ID-val, a következőt teheti:

• A SURFconext-hez hozzáféréssel rendelkező Microsoft Entra-azonosító vezérlése.
• Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek a SURFconext szolgáltatásba a Microsoft Entra-fiókjukkal.
• A fiókokat egy központi helyen kezelheti.

Tesztkörnyezetben konfigurálja és teszteli a Microsoft Entra egyszeri bejelentkezését a SURFconexthez. A SURFconext támogatja az SP által kezdeményezett egyszeri bejelentkezést és a Just In Time felhasználókiépítést.

Feljegyzés

Az alkalmazás azonosítója rögzített sztringérték, így egyetlen bérlőben csak egy példány konfigurálható.

Előfeltételek

A Microsoft Entra ID és a SURFconext integrálásához a következőkre van szükség:

• Egy Microsoft Entra felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
• Az alábbi szerepkörök egyike: Application Rendszergazda istrator, Cloud Application Rendszergazda istrator vagy Application Owner.
• Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
• SURFconext egyszeri bejelentkezésre (SSO) engedélyezett előfizetés.

Alkalmazás hozzáadása és tesztfelhasználó hozzárendelése

Mielőtt elkezdené az egyszeri bejelentkezés konfigurálásának folyamatát, hozzá kell adnia a SURFconext alkalmazást a Microsoft Entra katalógusából. Egy tesztfelhasználói fiókra van szüksége az alkalmazáshoz való hozzárendeléshez és az egyszeri bejelentkezési konfiguráció teszteléséhez.

SURFconext hozzáadása a Microsoft Entra katalógusából

A SURFconext hozzáadása a Microsoft Entra alkalmazáskatalógusából az egyszeri bejelentkezés konfigurálásához a SURFconext használatával. Az alkalmazás katalógusból való hozzáadásáról további információt a gyorsútmutatóban talál: Alkalmazás hozzáadása a katalógusból.

Microsoft Entra tesztfelhasználó létrehozása és hozzárendelése

A B.Simon nevű tesztfelhasználói fiók létrehozásához kövesse a felhasználói fiók létrehozását és hozzárendelését ismertető cikkben szereplő irányelveket.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, és szerepköröket rendelhet hozzá. A varázsló az egyszeri bejelentkezés konfigurációs paneljére mutató hivatkozást is tartalmaz. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása

Végezze el az alábbi lépéseket a Microsoft Entra egyszeri bejelentkezésének engedélyezéséhez.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat> SURFconext>Egyszeri bejelentkezést.

3. A Select a single sign-on method page, select SAML.

4. Az saml-alapú egyszeri bejelentkezés beállítása lapon válassza az egyszerű SAML-konfiguráció ceruzaikonját a beállítások szerkesztéséhez.

   

5. Az Egyszerű SAML-konfiguráció szakaszban hajtsa végre a következő lépéseket:

   a. Az Azonosító szövegmezőbe írja be az alábbi URL-címek egyikét:

   Környezet	URL-cím
   Termelés	https://engine.surfconext.nl/authentication/sp/metadata
   Előkészítés	https://engine.test.surfconext.nl/authentication/sp/metadata

   b. A Válasz URL-cím szövegmezőbe írja be az alábbi URL-címek egyikét:

   Környezet	URL-cím
   Termelés	https://engine.surfconext.nl/authentication/sp/consume-assertion
   Előkészítés	https://engine.test.surfconext.nl/authentication/sp/consume-assertion

   c. A Bejelentkezés URL-cím szövegmezőbe írja be az alábbi URL-címek egyikét:

   Környezet	URL-cím
   Termelés	https://engine.surfconext.nl/authentication/sp/debug
   Előkészítés	https://engine.test.surfconext.nl/authentication/sp/debug

6. A SURFconext alkalmazás az SAML-állításokat egy adott formátumban várja, amelyhez egyéni attribútumleképezéseket kell hozzáadnia az SAML-tokenattribútumok konfigurációjához. Az alábbi képernyőképen az alapértelmezett attribútumok listája látható.

   

   Feljegyzés

   Ezeket az alapértelmezett attribútumokat manuálisan is eltávolíthatja vagy törölheti a További jogcímek szakaszban, ha nincs rá szükség.

7. A fentieken kívül a SURFconext alkalmazás várhatóan néhány további attribútumot ad vissza az SAML-válaszban, amelyek alább láthatók. Ezek az attribútumok szintén előre fel vannak töltve, de a követelményeknek megfelelően áttekintheti őket.

   Név	Forrásattribútum
   urn:mace:dir:attribútum-def:cn	user.displayname
   urn:mace:dir:attribútum-def:displayName	user.displayname
   urn:mace:dir:attribútum-def:eduPersonPrincipalName	user.userprincipalname
   urn:mace:dir:attribútum-def:givenName	user.givenname
   urn:mace:dir:attribútum-def:mail	user.mail
   urn:mace:dir:attribútum-def:preferredLanguage	user.preferredlanguage
   urn:mace:dir:attribútum-def:sn	user.surname
   urn:mace:dir:attribútum-def:uid	user.userprincipalname
   urn:mace:terena.org:attribute-def:schacHomeOrganization	user.userprincipalname

8. Az urn:mace:terena.org:attribute-def:schacHomeOrganization jogcím átalakításával kapcsolatos művelet végrehajtásához válassza az Átalakítás gombot forrásként a Jogcím kezelése szakaszban.

9. Az átalakítás kezelése lapon hajtsa végre a következő lépéseket:

   

   1. Válassza a Kicsomagolás() lehetőséget az Átalakítás mező legördülő listájából, és kattintson az Egyeztetés után gombra.

   2. Válassza ki az attribútumot 1. paraméterként (bemenet).

   3. Az Attribútumnév mezőben válassza ki a user.userprinciplename elemet a legördülő listából.

   4. Válassza ki @ az értéket a legördülő listából.

   5. Kattintson a Hozzáadás gombra.

10. Az saml-alapú egyszeri bejelentkezés beállítása lapon, az SAML aláíró tanúsítvány szakaszában kattintson a Másolás gombra az alkalmazás összevonási metaadatainak URL-címének másolásához és a számítógépre való mentéséhez.

    

SURFconext SSO konfigurálása

Az egyszeri bejelentkezés SURFconext oldalon való konfigurálásához el kell küldenie az alkalmazás összevonási metaadatainak URL-címét a SURFconext támogatási csapatának. Ezt a beállítást úgy állítják be, hogy az SAML SSO-kapcsolat megfelelően legyen beállítva mindkét oldalon.

SURFconext tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű felhasználó jön létre a SURFconextben. A SURFconext támogatja az igény szerinti felhasználói kiépítést, amely alapértelmezés szerint engedélyezve van. Ebben a szakaszban nincs műveletelem. Ha egy felhasználó még nem létezik a SURFconextben, a hitelesítés után gyakran létrejön egy új.

Egyszeri bejelentkezés tesztelése

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

• Kattintson az alkalmazás tesztelésére, ez átirányítja a SURFconext bejelentkezési URL-címre, ahol elindíthatja a bejelentkezési folyamatot.

• Lépjen közvetlenül a SURFconext bejelentkezési URL-címre, és indítsa el onnan a bejelentkezési folyamatot.

• Használhatja a Microsoft Saját alkalmazások. Amikor a SURFconext csempére kattint a Saját alkalmazások, a rendszer átirányítja a SURFconext bejelentkezési URL-címre. További információ: Microsoft Entra Saját alkalmazások.

További erőforrások

• Mi az egyszeri bejelentkezés a Microsoft Entra-azonosítóval?
• Tervezze meg az egyszeri bejelentkezési üzembe helyezést.

Következő lépések

A SURFconext konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést a Microsoft Felhőappbiztonság.