Mengintegrasikan akses menyeluruh Microsoft Entra dengan Maverics Identity Orchestrator SAML Koneksi or

Perhatian

Artikel ini mereferensikan CentOS, distribusi Linux yang mendekati status End Of Life (EOL). Harap pertimbangkan penggunaan dan rencanakan yang sesuai. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.

Maverics Identity Orchestrator Strata menyediakan cara sederhana untuk mengintegrasikan aplikasi lokal dengan ID Microsoft Entra untuk autentikasi dan kontrol akses. Maverics Orchestrator mampu memodernisasi autentikasi dan otorisasi untuk aplikasi yang saat ini mengandalkan header, cookie, dan metode autentikasi kepemilikan lainnya. Instans Maverics Orchestrator dapat digunakan secara lokal atau di cloud.

Tutorial akses hibrid ini menunjukkan cara memigrasikan aplikasi web lokal yang saat ini dilindungi oleh produk manajemen akses web warisan untuk menggunakan ID Microsoft Entra untuk autentikasi dan kontrol akses. Berikut adalah langkah-langkah dasarnya:

1. Siapkan Maverics Orchestrator
2. Proksi aplikasi
3. Mendaftarkan aplikasi perusahaan di ID Microsoft Entra
4. Autentikasi melalui Azure dan otorisasi akses ke aplikasi
5. Tambahkan header untuk akses aplikasi yang mulus
6. Bekerja dengan beberapa aplikasi

Prasyarat

• Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
• Langganan SSO Maverics Identity Orchestrator SAML Connector yang diaktifkan. Untuk mendapatkan perangkat lunak Maverics, hubungi bagian penjualan Strata.
• Setidaknya satu aplikasi yang menggunakan autentikasi berbasis header. Contoh kerja melawan aplikasi yang disebut Connectulum, yang dihosting di https://app.connectulum.com.
• Komputer Linux untuk menghosting Maverics Orchestrator
  • OS: RHEL 7.7 atau lebih tinggi, CentOS 7+
  • Disk: >= 10 GB
  • Memori: >= 4 GB
  • Port: 22 (SSH/SCP), 443, 7474
  • Akses root untuk tugas pemasangan/administratif
  • Keluarnya jaringan dari server yang menghosting Maverics Identity Orchestrator ke aplikasi anda yang dilindungi

Langkah 1: Siapkan Maverics Orchestrator

Pasang Maverics

1. Dapatkan Maverics RPM terbaru. Salin paket ke sistem tempat Anda ingin memasang perangkat lunak Maverics.

2. Pasang paket Maverics, menggantikan nama file Anda sebagai ganti maverics.rpm.

   sudo rpm -Uvf maverics.rpm

   Setelah dipasang, Maverics akan berjalan sebagai layanan di bawah systemd. Untuk memverifikasi bahwa layanan sedang berjalan, jalankan perintah berikut:

   sudo systemctl status maverics

3. Untuk memulai ulang Orchestrator dan mengikuti log, Anda bisa menjalankan perintah berikut:

   sudo service maverics restart; sudo journalctl --identifier=maverics -f

Setelah Anda memasang Maverics, file maverics.yaml default dibuat di direktori /etc/maverics. Sebelum Anda mengedit konfigurasi untuk menyertakan appgateways dan connectors, file konfigurasi Anda akan terlihat seperti z ini:

# © Strata Identity Inc. 2020. All Rights Reserved. Patents Pending.

version: 0.1
listenAddress: ":7474"

Mengonfigurasi DNS

DNS akan sangat membantu sehingga Anda tidak perlu mengingat IP server Orchestrator.

Edit file host mesin browser (laptop Anda), menggunakan IP Orchestrator hipotetis 12.34.56.78. Pada sistem operasi berbasis Linux, file ini terletak di /etc/hosts. Pada Windows, file ini terletak di C:\windows\system32\drivers\etc.

12.34.56.78 sonar.maverics.com
12.34.56.78 connectulum.maverics.com

Untuk mengonfirmasi bahwa DNS dikonfigurasi seperti yang diharapkan, Anda dapat mengajukan permintaan ke titik akhir status Orchestrator. Dari browser Anda, minta http://sonar.maverics.com:7474/status.

Konfigurasikan TLS

Berkomunikasi melalui saluran yang aman untuk berbicara dengan Orchestrator Anda sangat penting untuk menjaga keamanan. Anda dapat menambahkan pasangan sertifikat/kunci di bagian tls Anda untuk mencapai hal ini.

Untuk menghasilkan sertifikat dan kunci yang ditandatangani sendiri untuk server Orchestrator, jalankan perintah berikut dari dalam direktori /etc/maverics:

openssl req -new -newkey rsa:4096 -x509 -sha256 -days 365 -nodes -out maverics.crt -keyout maverics.key

Catatan

Untuk lingkungan produksi, Anda mungkin ingin menggunakan sertifikat yang ditandatangani oleh CA yang dikenal untuk menghindari peringatan di browser. Let's Encrypt adalah opsi yang bagus dan gratis jika Anda mencari CA terpercaya.

Sekarang, gunakan sertifikat dan kunci yang baru dihasilkan untuk Orchestrator. File konfigurasi Anda sekarang akan memuat kode ini:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

Untuk mengonfirmasi bahwa TLS dikonfigurasi seperti yang diharapkan, mulai ulang layanan Maverics, dan buat permintaan ke titik akhir status.

Langkah 2: Proksi aplikasi

Selanjutnya, konfigurasikan proksi dasar di Orchestrator dengan menggunakan appgateways. Langkah ini membantu Anda memvalidasi bahwa Orchestrator memiliki konektivitas yang diperlukan ke aplikasi yang dilindungi.

File konfigurasi Anda sekarang akan memuat kode ini:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

appgateways:
  - name: sonar
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

Untuk mengonfirmasi bahwa pemroksian berfungsi seperti yang diharapkan, mulai ulang layanan Maverics, dan buat permintaan ke aplikasi melalui proksi Maverics. Anda dapat secara opsional membuat permintaan ke sumber daya aplikasi tertentu.

Langkah 3: Mendaftarkan aplikasi perusahaan di ID Microsoft Entra

Sekarang, buat aplikasi perusahaan baru di ID Microsoft Entra yang akan digunakan untuk mengautentikasi pengguna akhir.

Catatan

Saat Anda menggunakan fitur Microsoft Entra seperti Akses Bersyarah, penting untuk membuat aplikasi perusahaan per aplikasi lokal. Ini memungkinkan Akses Bersyarat per aplikasi, evaluasi risiko per aplikasi, izin yang diberikan per aplikasi, dan sebagainya. Umumnya, aplikasi perusahaan di MICROSOFT Entra ID memetakan ke konektor Azure di Maverics.

Untuk mendaftarkan aplikasi perusahaan di ID Microsoft Entra:

1. Di penyewa Microsoft Entra Anda, buka Aplikasi perusahaan, lalu pilih Aplikasi Baru. Di galeri Microsoft Entra, cari maverics Identity Orchestrator SAML Koneksi or, lalu pilih.

2. Pada panel Properti Maverics Identity Orchestrator SAML Connector, atur Penugasan pengguna diperlukan? ke Tidak untuk memungkinkan aplikasi berfungsi untuk semua pengguna di direktori Anda.

3. Pada panel Gambaran umum Maverics Identity Orchestrator SAML Connector, pilih Siapkan akses menyeluruh, lalu pilih SAML.

4. Pada panel masuk berbasis SAML pada Maverics Identity Orchestrator SAML Connector, edit Konfigurasi SAML Dasar dengan memilih tombol Edit (ikon pensil).

   

5. Masukkan ID Entitashttps://sonar.maverics.com. ID entitas harus unik di seluruh aplikasi di penyewa, dan bisa berupa nilai sebarang. Anda akan menggunakan nilai ini saat menentukan bidang samlEntityID untuk konektor Azure di bagian berikutnya.

6. Masukkan URL Balasanhttps://sonar.maverics.com/acs. Anda akan menggunakan nilai ini saat menentukan bidang samlConsumerServiceURL untuk konektor Azure di bagian berikutnya.

7. Masukkan URL Masuk dari https://sonar.maverics.com/. Bidang ini tidak akan digunakan oleh Maverics, tetapi diperlukan di MICROSOFT Entra ID untuk memungkinkan pengguna mendapatkan akses ke aplikasi melalui portal Microsoft Entra Aplikasi Saya.

8. Pilih Simpan.

9. Di bagian Sertifikat Penandatanganan SAML, pilih tombol Salin untuk menyalin nilai URL Federation Metadata Aplikasi, lalu simpan ke komputer Anda.

   

Langkah 4: Autentikasi melalui Azure dan otorisasi akses ke aplikasi

Selanjutnya, letakkan aplikasi perusahaan yang baru saja Anda buat untuk digunakan dengan mengonfigurasi konektor Azure di Maverics. Konfigurasi connectors ini dipasangkan dengan idps blok memungkinkan Orchestrator untuk mengautentikasi pengguna.

File konfigurasi Anda sekarang akan berisi kode berikut. Pastikan untuk mengganti METADATA_URL dengan nilai URL Federation Metadata Aplikasi dari langkah sebelumnya.

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

idps:
  - name: azureSonarApp

appgateways:
  - name: sonar
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureSonarApp.authenticated}}", "true"]

connectors:
  - name: azureSonarApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://sonar.maverics.com/acs
    samlEntityID: https://sonar.maverics.com

Untuk mengonfirmasi bahwa autentikasi berfungsi seperti yang diharapkan, mulai ulang layanan Maverics, dan buat permintaan ke sumber daya aplikasi melalui proksi Maverics. Anda akan diarahkan ke Azure untuk autentikasi sebelum mengakses sumber daya.

Langkah 5: Tambahkan header untuk akses aplikasi yang mulus

Anda belum mengirim header ke aplikasi upstream. Mari kita tambahkan headers ke permintaan saat melewati proksi Maverics untuk memungkinkan aplikasi upstream untuk mengidentifikasi pengguna.

File konfigurasi Anda sekarang akan memuat kode ini:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

idps:
  - name: azureSonarApp

appgateways:
  - name: sonar
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureSonarApp.authenticated}}", "true"]

    headers:
      email: azureSonarApp.name
      firstname: azureSonarApp.givenname
      lastname: azureSonarApp.surname

connectors:
  - name: azureSonarApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://sonar.maverics.com/acs
    samlEntityID: https://sonar.maverics.com

Untuk mengonfirmasi bahwa autentikasi berfungsi seperti yang diharapkan, buat permintaan ke sumber daya aplikasi melalui proksi Maverics. Aplikasi yang dilindungi sekarang akan menerima header pada permintaan.

Jangan ragu untuk mengedit tombol header jika aplikasi Anda memberikan header yang berbeda. Semua klaim yang kembali dari ID Microsoft Entra sebagai bagian dari alur SAML tersedia untuk digunakan di header. Misalnya, Anda dapat menyertakan header lain dari secondary_email: azureSonarApp.email, di mana azureSonarApp adalah nama konektor dan email merupakan klaim yang dikembalikan dari ID Microsoft Entra.

Langkah 6: Bekerja dengan beberapa aplikasi

Sekarang mari kita lihat apa yang diperlukan untuk memproksi ke beberapa aplikasi yang ada di host yang berbeda. Untuk mencapai langkah ini, konfigurasikan App Gateway lain, aplikasi perusahaan lain di ID Microsoft Entra, dan konektor lain.

File konfigurasi Anda sekarang akan memuat kode ini:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

idps:
  - name: azureSonarApp
  - name: azureConnectulumApp

appgateways:
  - name: sonar
    host: sonar.maverics.com
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureSonarApp.authenticated}}", "true"]

    headers:
      email: azureSonarApp.name
      firstname: azureSonarApp.givenname
      lastname: azureSonarApp.surname

  - name: connectulum
    host: connectulum.maverics.com
    location: /
    # Replace https://app.connectulum.com with the address of your protected application
    upstream: https://app.connectulum.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureConnectulumApp.authenticated}}", "true"]

    headers:
      email: azureConnectulumApp.name
      firstname: azureConnectulumApp.givenname
      lastname: azureConnectulumApp.surname

connectors:
  - name: azureSonarApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://sonar.maverics.com/acs
    samlEntityID: https://sonar.maverics.com

  - name: azureConnectulumApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://connectulum.maverics.com/acs
    samlEntityID: https://connectulum.maverics.com

Anda mungkin telah memperhatikan bahwa kode tersebut menambahkan bidang host ke definisi App Gateway Anda. Bidang host memungkinkan Maverics Orchestrator untuk membedakan host upstream mana untuk proksi lalu lintas.

Untuk mengonfirmasi bahwa App Gateway yang baru ditambahkan berfungsi seperti yang diharapkan, buat permintaan ke https://connectulum.maverics.com.

Skenario tingkat lanjut

Migrasi identitas

Tidak tahan dengan alat pengelolaan akses web yang sudah habis masa pakainya, tetapi Anda tidak memiliki cara untuk memigrasi pengguna Anda tanpa reset kata sandi massal? Maverics Orchestrator mendukung migrasi identitas dengan menggunakan migrationgateways.

Gateway server Web

Tidak ingin mengerjakan ulang lalu lintas proksi dan jaringan Anda melalui Maverics Orchestrator? Tidak masalah. Maverics Orchestrator dapat dipasangkan dengan gateway server web (modul) untuk menawarkan solusi yang sama tanpa pemroksian.

Wrap-up

Pada titik ini, Anda telah menginstal Maverics Orchestrator, membuat dan mengonfigurasi aplikasi perusahaan di MICROSOFT Entra ID, dan mengonfigurasi Orchestrator untuk memproksi ke aplikasi yang dilindungi sambil memerlukan autentikasi dan menegakkan kebijakan. Untuk mempelajari lebih lanjut tentang cara Maverics Orchestrator dapat digunakan untuk kasus penggunaan pengelolaan identitas terdistribusi, hubungi Strata.

Langkah berikutnya

• Apa itu akses aplikasi dan akses menyeluruh dengan MICROSOFT Entra ID?
• Apa itu Akses Bersyar di ID Microsoft Entra?