Mengintegrasikan akses menyeluruh Microsoft Entra dengan Maverics Identity Orchestrator SAML Koneksi or
Perhatian
Artikel ini mereferensikan CentOS, distribusi Linux yang mendekati status End Of Life (EOL). Harap pertimbangkan penggunaan dan rencanakan yang sesuai. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.
Maverics Identity Orchestrator Strata menyediakan cara sederhana untuk mengintegrasikan aplikasi lokal dengan ID Microsoft Entra untuk autentikasi dan kontrol akses. Maverics Orchestrator mampu memodernisasi autentikasi dan otorisasi untuk aplikasi yang saat ini mengandalkan header, cookie, dan metode autentikasi kepemilikan lainnya. Instans Maverics Orchestrator dapat digunakan secara lokal atau di cloud.
Tutorial akses hibrid ini menunjukkan cara memigrasikan aplikasi web lokal yang saat ini dilindungi oleh produk manajemen akses web warisan untuk menggunakan ID Microsoft Entra untuk autentikasi dan kontrol akses. Berikut adalah langkah-langkah dasarnya:
- Siapkan Maverics Orchestrator
- Proksi aplikasi
- Mendaftarkan aplikasi perusahaan di ID Microsoft Entra
- Autentikasi melalui Azure dan otorisasi akses ke aplikasi
- Tambahkan header untuk akses aplikasi yang mulus
- Bekerja dengan beberapa aplikasi
Prasyarat
- Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
- Langganan SSO Maverics Identity Orchestrator SAML Connector yang diaktifkan. Untuk mendapatkan perangkat lunak Maverics, hubungi bagian penjualan Strata.
- Setidaknya satu aplikasi yang menggunakan autentikasi berbasis header. Contoh kerja melawan aplikasi yang disebut Connectulum, yang dihosting di
https://app.connectulum.com
. - Komputer Linux untuk menghosting Maverics Orchestrator
- OS: RHEL 7.7 atau lebih tinggi, CentOS 7+
- Disk: >= 10 GB
- Memori: >= 4 GB
- Port: 22 (SSH/SCP), 443, 7474
- Akses root untuk tugas pemasangan/administratif
- Keluarnya jaringan dari server yang menghosting Maverics Identity Orchestrator ke aplikasi anda yang dilindungi
Langkah 1: Siapkan Maverics Orchestrator
Pasang Maverics
Dapatkan Maverics RPM terbaru. Salin paket ke sistem tempat Anda ingin memasang perangkat lunak Maverics.
Pasang paket Maverics, menggantikan nama file Anda sebagai ganti
maverics.rpm
.sudo rpm -Uvf maverics.rpm
Setelah dipasang, Maverics akan berjalan sebagai layanan di bawah
systemd
. Untuk memverifikasi bahwa layanan sedang berjalan, jalankan perintah berikut:sudo systemctl status maverics
Untuk memulai ulang Orchestrator dan mengikuti log, Anda bisa menjalankan perintah berikut:
sudo service maverics restart; sudo journalctl --identifier=maverics -f
Setelah Anda memasang Maverics, file maverics.yaml
default dibuat di direktori /etc/maverics
. Sebelum Anda mengedit konfigurasi untuk menyertakan appgateways
dan connectors
, file konfigurasi Anda akan terlihat seperti z ini:
# © Strata Identity Inc. 2020. All Rights Reserved. Patents Pending.
version: 0.1
listenAddress: ":7474"
Mengonfigurasi DNS
DNS akan sangat membantu sehingga Anda tidak perlu mengingat IP server Orchestrator.
Edit file host mesin browser (laptop Anda), menggunakan IP Orchestrator hipotetis 12.34.56.78. Pada sistem operasi berbasis Linux, file ini terletak di /etc/hosts
. Pada Windows, file ini terletak di C:\windows\system32\drivers\etc
.
12.34.56.78 sonar.maverics.com
12.34.56.78 connectulum.maverics.com
Untuk mengonfirmasi bahwa DNS dikonfigurasi seperti yang diharapkan, Anda dapat mengajukan permintaan ke titik akhir status Orchestrator. Dari browser Anda, minta http://sonar.maverics.com:7474/status
.
Konfigurasikan TLS
Berkomunikasi melalui saluran yang aman untuk berbicara dengan Orchestrator Anda sangat penting untuk menjaga keamanan. Anda dapat menambahkan pasangan sertifikat/kunci di bagian tls
Anda untuk mencapai hal ini.
Untuk menghasilkan sertifikat dan kunci yang ditandatangani sendiri untuk server Orchestrator, jalankan perintah berikut dari dalam direktori /etc/maverics
:
openssl req -new -newkey rsa:4096 -x509 -sha256 -days 365 -nodes -out maverics.crt -keyout maverics.key
Catatan
Untuk lingkungan produksi, Anda mungkin ingin menggunakan sertifikat yang ditandatangani oleh CA yang dikenal untuk menghindari peringatan di browser. Let's Encrypt adalah opsi yang bagus dan gratis jika Anda mencari CA terpercaya.
Sekarang, gunakan sertifikat dan kunci yang baru dihasilkan untuk Orchestrator. File konfigurasi Anda sekarang akan memuat kode ini:
version: 0.1
listenAddress: ":443"
tls:
maverics:
certFile: /etc/maverics/maverics.crt
keyFile: /etc/maverics/maverics.key
Untuk mengonfirmasi bahwa TLS dikonfigurasi seperti yang diharapkan, mulai ulang layanan Maverics, dan buat permintaan ke titik akhir status.
Langkah 2: Proksi aplikasi
Selanjutnya, konfigurasikan proksi dasar di Orchestrator dengan menggunakan appgateways
. Langkah ini membantu Anda memvalidasi bahwa Orchestrator memiliki konektivitas yang diperlukan ke aplikasi yang dilindungi.
File konfigurasi Anda sekarang akan memuat kode ini:
version: 0.1
listenAddress: ":443"
tls:
maverics:
certFile: /etc/maverics/maverics.crt
keyFile: /etc/maverics/maverics.key
appgateways:
- name: sonar
location: /
# Replace https://app.sonarsystems.com with the address of your protected application
upstream: https://app.sonarsystems.com
Untuk mengonfirmasi bahwa pemroksian berfungsi seperti yang diharapkan, mulai ulang layanan Maverics, dan buat permintaan ke aplikasi melalui proksi Maverics. Anda dapat secara opsional membuat permintaan ke sumber daya aplikasi tertentu.
Langkah 3: Mendaftarkan aplikasi perusahaan di ID Microsoft Entra
Sekarang, buat aplikasi perusahaan baru di ID Microsoft Entra yang akan digunakan untuk mengautentikasi pengguna akhir.
Catatan
Saat Anda menggunakan fitur Microsoft Entra seperti Akses Bersyarah, penting untuk membuat aplikasi perusahaan per aplikasi lokal. Ini memungkinkan Akses Bersyarat per aplikasi, evaluasi risiko per aplikasi, izin yang diberikan per aplikasi, dan sebagainya. Umumnya, aplikasi perusahaan di MICROSOFT Entra ID memetakan ke konektor Azure di Maverics.
Untuk mendaftarkan aplikasi perusahaan di ID Microsoft Entra:
Di penyewa Microsoft Entra Anda, buka Aplikasi perusahaan, lalu pilih Aplikasi Baru. Di galeri Microsoft Entra, cari maverics Identity Orchestrator SAML Koneksi or, lalu pilih.
Pada panel Properti Maverics Identity Orchestrator SAML Connector, atur Penugasan pengguna diperlukan? ke Tidak untuk memungkinkan aplikasi berfungsi untuk semua pengguna di direktori Anda.
Pada panel Gambaran umum Maverics Identity Orchestrator SAML Connector, pilih Siapkan akses menyeluruh, lalu pilih SAML.
Pada panel masuk berbasis SAML pada Maverics Identity Orchestrator SAML Connector, edit Konfigurasi SAML Dasar dengan memilih tombol Edit (ikon pensil).
Masukkan ID Entitas
https://sonar.maverics.com
. ID entitas harus unik di seluruh aplikasi di penyewa, dan bisa berupa nilai sebarang. Anda akan menggunakan nilai ini saat menentukan bidangsamlEntityID
untuk konektor Azure di bagian berikutnya.Masukkan URL Balasan
https://sonar.maverics.com/acs
. Anda akan menggunakan nilai ini saat menentukan bidangsamlConsumerServiceURL
untuk konektor Azure di bagian berikutnya.Masukkan URL Masuk dari
https://sonar.maverics.com/
. Bidang ini tidak akan digunakan oleh Maverics, tetapi diperlukan di MICROSOFT Entra ID untuk memungkinkan pengguna mendapatkan akses ke aplikasi melalui portal Microsoft Entra Aplikasi Saya.Pilih Simpan.
Di bagian Sertifikat Penandatanganan SAML, pilih tombol Salin untuk menyalin nilai URL Federation Metadata Aplikasi, lalu simpan ke komputer Anda.
Langkah 4: Autentikasi melalui Azure dan otorisasi akses ke aplikasi
Selanjutnya, letakkan aplikasi perusahaan yang baru saja Anda buat untuk digunakan dengan mengonfigurasi konektor Azure di Maverics. Konfigurasi connectors
ini dipasangkan dengan idps
blok memungkinkan Orchestrator untuk mengautentikasi pengguna.
File konfigurasi Anda sekarang akan berisi kode berikut. Pastikan untuk mengganti METADATA_URL
dengan nilai URL Federation Metadata Aplikasi dari langkah sebelumnya.
version: 0.1
listenAddress: ":443"
tls:
maverics:
certFile: /etc/maverics/maverics.crt
keyFile: /etc/maverics/maverics.key
idps:
- name: azureSonarApp
appgateways:
- name: sonar
location: /
# Replace https://app.sonarsystems.com with the address of your protected application
upstream: https://app.sonarsystems.com
policies:
- resource: /
allowIf:
- equal: ["{{azureSonarApp.authenticated}}", "true"]
connectors:
- name: azureSonarApp
type: azure
authType: saml
# Replace METADATA_URL with the App Federation Metadata URL
samlMetadataURL: METADATA_URL
samlConsumerServiceURL: https://sonar.maverics.com/acs
samlEntityID: https://sonar.maverics.com
Untuk mengonfirmasi bahwa autentikasi berfungsi seperti yang diharapkan, mulai ulang layanan Maverics, dan buat permintaan ke sumber daya aplikasi melalui proksi Maverics. Anda akan diarahkan ke Azure untuk autentikasi sebelum mengakses sumber daya.
Langkah 5: Tambahkan header untuk akses aplikasi yang mulus
Anda belum mengirim header ke aplikasi upstream. Mari kita tambahkan headers
ke permintaan saat melewati proksi Maverics untuk memungkinkan aplikasi upstream untuk mengidentifikasi pengguna.
File konfigurasi Anda sekarang akan memuat kode ini:
version: 0.1
listenAddress: ":443"
tls:
maverics:
certFile: /etc/maverics/maverics.crt
keyFile: /etc/maverics/maverics.key
idps:
- name: azureSonarApp
appgateways:
- name: sonar
location: /
# Replace https://app.sonarsystems.com with the address of your protected application
upstream: https://app.sonarsystems.com
policies:
- resource: /
allowIf:
- equal: ["{{azureSonarApp.authenticated}}", "true"]
headers:
email: azureSonarApp.name
firstname: azureSonarApp.givenname
lastname: azureSonarApp.surname
connectors:
- name: azureSonarApp
type: azure
authType: saml
# Replace METADATA_URL with the App Federation Metadata URL
samlMetadataURL: METADATA_URL
samlConsumerServiceURL: https://sonar.maverics.com/acs
samlEntityID: https://sonar.maverics.com
Untuk mengonfirmasi bahwa autentikasi berfungsi seperti yang diharapkan, buat permintaan ke sumber daya aplikasi melalui proksi Maverics. Aplikasi yang dilindungi sekarang akan menerima header pada permintaan.
Jangan ragu untuk mengedit tombol header jika aplikasi Anda memberikan header yang berbeda. Semua klaim yang kembali dari ID Microsoft Entra sebagai bagian dari alur SAML tersedia untuk digunakan di header. Misalnya, Anda dapat menyertakan header lain dari secondary_email: azureSonarApp.email
, di mana azureSonarApp
adalah nama konektor dan email
merupakan klaim yang dikembalikan dari ID Microsoft Entra.
Langkah 6: Bekerja dengan beberapa aplikasi
Sekarang mari kita lihat apa yang diperlukan untuk memproksi ke beberapa aplikasi yang ada di host yang berbeda. Untuk mencapai langkah ini, konfigurasikan App Gateway lain, aplikasi perusahaan lain di ID Microsoft Entra, dan konektor lain.
File konfigurasi Anda sekarang akan memuat kode ini:
version: 0.1
listenAddress: ":443"
tls:
maverics:
certFile: /etc/maverics/maverics.crt
keyFile: /etc/maverics/maverics.key
idps:
- name: azureSonarApp
- name: azureConnectulumApp
appgateways:
- name: sonar
host: sonar.maverics.com
location: /
# Replace https://app.sonarsystems.com with the address of your protected application
upstream: https://app.sonarsystems.com
policies:
- resource: /
allowIf:
- equal: ["{{azureSonarApp.authenticated}}", "true"]
headers:
email: azureSonarApp.name
firstname: azureSonarApp.givenname
lastname: azureSonarApp.surname
- name: connectulum
host: connectulum.maverics.com
location: /
# Replace https://app.connectulum.com with the address of your protected application
upstream: https://app.connectulum.com
policies:
- resource: /
allowIf:
- equal: ["{{azureConnectulumApp.authenticated}}", "true"]
headers:
email: azureConnectulumApp.name
firstname: azureConnectulumApp.givenname
lastname: azureConnectulumApp.surname
connectors:
- name: azureSonarApp
type: azure
authType: saml
# Replace METADATA_URL with the App Federation Metadata URL
samlMetadataURL: METADATA_URL
samlConsumerServiceURL: https://sonar.maverics.com/acs
samlEntityID: https://sonar.maverics.com
- name: azureConnectulumApp
type: azure
authType: saml
# Replace METADATA_URL with the App Federation Metadata URL
samlMetadataURL: METADATA_URL
samlConsumerServiceURL: https://connectulum.maverics.com/acs
samlEntityID: https://connectulum.maverics.com
Anda mungkin telah memperhatikan bahwa kode tersebut menambahkan bidang host
ke definisi App Gateway Anda. Bidang host
memungkinkan Maverics Orchestrator untuk membedakan host upstream mana untuk proksi lalu lintas.
Untuk mengonfirmasi bahwa App Gateway yang baru ditambahkan berfungsi seperti yang diharapkan, buat permintaan ke https://connectulum.maverics.com
.
Skenario tingkat lanjut
Migrasi identitas
Tidak tahan dengan alat pengelolaan akses web yang sudah habis masa pakainya, tetapi Anda tidak memiliki cara untuk memigrasi pengguna Anda tanpa reset kata sandi massal? Maverics Orchestrator mendukung migrasi identitas dengan menggunakan migrationgateways
.
Gateway server Web
Tidak ingin mengerjakan ulang lalu lintas proksi dan jaringan Anda melalui Maverics Orchestrator? Tidak masalah. Maverics Orchestrator dapat dipasangkan dengan gateway server web (modul) untuk menawarkan solusi yang sama tanpa pemroksian.
Wrap-up
Pada titik ini, Anda telah menginstal Maverics Orchestrator, membuat dan mengonfigurasi aplikasi perusahaan di MICROSOFT Entra ID, dan mengonfigurasi Orchestrator untuk memproksi ke aplikasi yang dilindungi sambil memerlukan autentikasi dan menegakkan kebijakan. Untuk mempelajari lebih lanjut tentang cara Maverics Orchestrator dapat digunakan untuk kasus penggunaan pengelolaan identitas terdistribusi, hubungi Strata.