Esercitazione: Integrazione di Microsoft Entra SSO con Kemp LoadMaster Microsoft Entra integration

  • Articolo

In questa esercitazione si apprenderà come integrare Kemp LoadMaster Microsoft Entra integration with Microsoft Entra ID (Integrazione di Kemp LoadMaster con Microsoft Entra ID). Integrando Kemp LoadMaster Microsoft Entra ID con Microsoft Entra ID, è possibile:

  • Controllare in Microsoft Entra ID chi può accedere a Kemp LoadMaster Microsoft Entra integration.
  • Abilitare gli utenti per l'accesso automatico a Kemp LoadMaster Microsoft Entra integration con gli account Microsoft Entra personali.
  • Gestire gli account in un'unica posizione centrale.

Prerequisiti

Per iniziare, sono necessari gli elementi seguenti:

  • Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
  • Sottoscrizione di Kemp LoadMaster di Microsoft Entra integration abilitata per l'accesso Single Sign-On (SSO).

Nota

Questa integrazione è disponibile anche per l'uso dall'ambiente Microsoft Entra US Government Cloud. È possibile trovare questa applicazione nella raccolta di applicazioni cloud Microsoft Entra US Government e configurarla nello stesso modo in cui si esegue dal cloud pubblico.

Descrizione dello scenario

In questa esercitazione viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

  • Kemp LoadMaster Microsoft Entra integration supporta l'accesso SSO avviato da IDP .

Per configurare l'integrazione di Kemp LoadMaster Microsoft Entra ID in Microsoft Entra ID, è necessario aggiungere Kemp LoadMaster Microsoft Entra integration dalla raccolta all'elenco di app SaaS gestite.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
  2. Passare a Applicazioni di identità>Applicazioni>aziendali>Nuova applicazione.
  3. Nella sezione Aggiungi dalla raccolta digitare Kemp LoadMaster Microsoft Entra integration nella casella di ricerca.
  4. Selezionare Kemp LoadMaster Microsoft Entra integration nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.

In alternativa, è anche possibile usare l'Enterprise Configurazione app Wizard. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.

Configurare e testare l'integrazione di Microsoft Entra SSO for Kemp LoadMaster Microsoft Entra

Configurare e testare l'accesso SSO di Microsoft Entra con Kemp LoadMaster Microsoft Entra integration usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato nell'integrazione di Kemp LoadMaster Microsoft Entra.

Per configurare e testare l'accesso SSO di Microsoft Entra con Kemp LoadMaster Microsoft Entra integration, seguire questa procedura:

  1. Configurare l'accesso Single Sign-On di Microsoft Entra: per consentire agli utenti di usare questa funzionalità.

    1. Creare un utente di test di Microsoft Entra: per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
    2. Assegnare l'utente di test di Microsoft Entra : per abilitare B.Simon all'uso dell'accesso Single Sign-On di Microsoft Entra.

  2. Configurare l'accesso Single Sign-On di Kemp LoadMaster Microsoft Entra integration : per configurare le impostazioni di Single Sign-On sul lato applicazione.

  3. Server Web di pubblicazione

    1. Creare un servizio virtuale
    2. Certificati e sicurezza
    3. Kemp LoadMaster Integrazione di Microsoft Entra SAML Profile
    4. Verificare le modifiche

  4. Configurare l'autenticazione basata su Kerberos

    1. Creare un account di delega Kerberos per Kemp LoadMaster Microsoft Entra integration
    2. Kemp LoadMaster Microsoft Entra integration KCD (Kerberos Delegation Accounts)
    3. Kemp LoadMaster Microsoft Entra integration ESP
    4. Creare l'utente di test di Kemp LoadMaster Microsoft Entra: per avere una controparte di B.Simon in Kemp LoadMaster Microsoft Entra integration collegata alla rappresentazione dell'utente in Microsoft Entra.

  5. Testare l'accesso Single Sign-On: per verificare se la configurazione funziona.

Configurare l'accesso Single Sign-On di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

  2. Passare ad Applicazioni di identità>Applicazioni>aziendali>Kemp LoadMaster Microsoft Entra integration>Single Sign-On.

  3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  4. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita per modificare le impostazioni di Configurazione SAML di base.

    Edit Basic SAML Configuration

  5. Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti:

    a. Nella casella di testo Identificatore (ID entità) digitare un URL: https://<KEMP-CUSTOMER-DOMAIN>.com/

    b. Nella casella di testo URL di risposta digitare un URL: https://<KEMP-CUSTOMER-DOMAIN>.com/

    Nota

    Poiché questi non sono i valori reali, è necessario aggiornarli con l'identificatore e l'URL di risposta effettivi. Per ottenere questi valori, contattare il team di supporto clienti di Kemp LoadMaster Microsoft Entra integration. È anche possibile fare riferimento ai modelli illustrati nella sezione Configurazione SAML di base.

  6. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare Certificato (Base 64) e il file XML dei metadati della federazione, quindi selezionare Scarica per scaricare il file del certificato e il file XML dei metadati della federazione e salvarli nel computer.

    The Certificate download link

  7. Nella sezione Configura Kemp LoadMaster Microsoft Entra integration copiare gli URL appropriati in base alle esigenze.

    Copy configuration URLs

Creare un utente di test di Microsoft Entra

In questa sezione verrà creato un utente di test di nome B.Simon.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un utente Amministrazione istrator.
  2. Passare a Utenti>identità>Tutti gli utenti.
  3. Selezionare Nuovo utente Crea nuovo utente> nella parte superiore della schermata.
  4. Nelle proprietà Utente seguire questa procedura:
    1. Nel campo Nome visualizzato immettere B.Simon.
    2. Nel campo Nome entità utente immettere .username@companydomain.extension Ad esempio: B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
    4. Selezionare Rivedi e crea.
  5. Seleziona Crea.

Assegnare l'utente di test di Microsoft Entra

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On concedendole l'accesso a Kemp LoadMaster Microsoft Entra integration.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
  2. Passare ad Applicazioni di identità>Applicazioni>aziendali>Kemp LoadMaster Integrazione di Microsoft Entra.
  3. Nella pagina di panoramica dell'app selezionare Utenti e gruppi.
  4. Selezionare Aggiungi utente/gruppo, quindi utenti e gruppi nella finestra di dialogo Aggiungi assegnazione .
    1. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
    2. Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
    3. Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.

Configurare l'accesso Single Sign-On di Kemp LoadMaster Microsoft Entra integration

Server Web di pubblicazione

Creare un servizio virtuale

  1. Passare a Kemp LoadMaster Microsoft Entra integration LoadMaster Web UI > Virtual Services > Add New( Aggiungi nuovo).

  2. Fare clic su Add New (Aggiungi nuovo).

  3. Specificare i parametri per il servizio virtuale.

    Screenshot that shows the

    a. Virtual Address (Indirizzo virtuale)

    b. Porta

    c. Service Name (Optional) (Nome del servizio (facoltativo))

    d. Protocollo

  4. Passare alla sezione Real Servers (Server reali).

  5. Fare clic su Add New (Aggiungi nuovo).

  6. Specificare i parametri per il server reale.

    Screenshot that shows the

    a. Selezionare Allow Remote Addresses (Consenti indirizzi remoti)

    b. Digitare l'indirizzo del server reale

    c. Porta

    d. Forwarding method (Metodo di inoltro)

    e. Peso

    f. Connection Limit (Limite connessione)

    g. Fare clic su Add This Real Server (Aggiungi questo server reale)

Certificati e sicurezza

Importare il certificato in Kemp LoadMaster Microsoft Entra integration

  1. Passare a Kemp LoadMaster Microsoft Entra integration Web Portal > Certificates & Security SSL Certificates (Certificati SSL di sicurezza e certificati SSL di sicurezza > ).

  2. In Gestisci configurazione certificati > .

  3. Fare clic su Import Certificate (Importa certificato).

  4. Specificare il nome del file contenente il certificato. Il file può anche contenere la chiave privata. Se il file non contiene la chiave privata, è necessario specificare anche il file contenente la chiave privata. Il formato del certificato può essere PEM o PFX (IIS).

  5. Fare clic su Choose file (Scegli file) in Certificate file (File del certificato).

  6. Fare clic su Key file (optional) (File di chiave (facoltativo)).

  7. Fare clic su Salva.

Accelerazione SSL

  1. Passare a Kemp LoadMaster Web UI Virtual Services View/Modify Services .Go to Kemp LoadMaster Web UI Virtual Services View/Modify Services.Go to Kemp LoadMaster Web UI > Virtual Services > View/Modify Services.

  2. Fare clic su Modify (Modifica) in Operation (Operazione).

  3. Fare clic su SSL Properties (Proprietà SSL), che funziona al livello 7.

    Screenshot that shows the

    a. Fare clic su Enabled (Abilitata) in SSL Acceleration (Accelerazione SSL).

    b. In Available Certificates (Certificati disponibili) selezionare il certificato importato e fare clic sul simbolo >.

    c. Quando il certificato SSL desiderato viene visualizzato in Assigned Certificates (Certificati assegnati), fare clic su Set Certificates (Imposta certificati).

    Nota

    Assicurarsi di fare clic su Set Certificates (Imposta certificati).

Kemp LoadMaster Integrazione di Microsoft Entra SAML Profile

Importare il certificato del provider di identità

Passare a Kemp LoadMaster Microsoft Entra integration Web Console.

  1. Fare clic su Intermediate Certificates (Certificati intermedi) in Certificates and Authority (Certificati e autorità).

    Screenshot that shows the

    a. Fare clic su Choose file (Scegli file) in Add a new Intermediate Certificate (Aggiungi un nuovo certificato intermedio).

    b. Passare al file di certificato scaricato in precedenza dall'applicazione Microsoft Entra Enterprise.

    c. Fare clic su Open (Apri).

    d. Specificare un nome in Certificate Name (Nome certificato).

    e. Fare clic su Add Certificate (Aggiungi certificato).

Creare i criteri di autenticazione

Passare a Manage SSO (Gestisci SSO) in Virtual Services (Servizi virtuali).

Screenshot that shows the

a. Fare clic su Add (Aggiungi) in Add new Client Side Configuration (Aggiungi nuova configurazione lato client) dopo averle assegnato un nome.

b. In Authentication Protocol (Protocollo di autenticazione) selezionare SAML.

c. Selezionare MetaData File (File di metadati) in IdP Provisioning (Provisioning IdP).

d. Fare clic su Choose file (Scegli file).

e. Passare al file XML scaricato in precedenza dal portale di Azure.

f. Fare clic su Open (Apri) e quindi su Import IdP MetaData File (Importa file di metadati IdP).

g. Selezionare il certificato intermedio dal certificato IdP.

h. Impostare l'ID entità SP che deve corrispondere all'identità creata in portale di Azure.

i. Fare clic su Set SP Entity ID (Imposta entità provider di servizi).

Impostare l'autenticazione

In Kemp LoadMaster Microsoft Entra integration Web Console.

  1. Fare clic su Virtual Services (Servizi virtuali).

  2. Fare clic su View/Modify Services (Visualizza/Modifica servizi).

  3. Fare clic su Modify (Modifica) e passare a ESP Options (Opzioni ESP).

    Screenshot that shows the

    a. Fare clic su Enable ESP (Abilita ESP).

    b. Selezionare SAML in Client Authentication Mode (Modalità di autenticazione client).

    c. Selezionare l'autenticazione lato client creata in precedenza in SSO Domain (Dominio SSO).

    d. Digitare il nome host in Allowed Virtual Hosts (Host virtuali consentiti) e fare clic su Set Allowed Virtual Hosts (Imposta host virtuali consentiti).

    e. Digitare /* in Allowed Virtual Directories (Directory virtuali consentite), in base ai requisiti di accesso, e fare clic su Set Allowed Directories (Imposta directory consentite).

Verificare le modifiche

Passare all'URL dell'applicazione.

Verrà visualizzata la pagina di accesso al tenant invece del messaggio di accesso non autenticato visualizzato in precedenza.

Screenshot that shows the tenanted

Configurare l'autenticazione basata su Kerberos

Creare un account di delega Kerberos per Kemp LoadMaster Microsoft Entra integration

  1. Creare un account utente (in questo esempio AppDelegation).

    Screenshot that shows the

    a. Selezionare la scheda Editor attributi.

    b. Passare a servicePrincipalName.

    c. Selezionare servicePrincipalName e fare clic su Modifica.

    d. Digitare http/kcduser nel campo Valore da aggiungere e fare clic su Aggiungi.

    e. Fare clic su Applica e su OK. È necessario chiudere la finestra prima di riaprirla (per visualizzare la nuova scheda Delega).

  2. Aprire di nuovo la finestra delle proprietà dell'utente e la scheda Delega diventerà disponibile.

  3. Selezionare la scheda Delega.

    Screenshot that shows the

    a. Selezionare Utente attendibile per la delega solo ai servizi specificati.

    b. Selezionare Usa un qualsiasi protocollo di autenticazione.

    c. Aggiungere i server reali e aggiungere http come servizio.

    d. Selezionare la casella di controllo Espansa.

    e. È possibile visualizzare tutti i server con il nome host e il nome di dominio completo.

    f. Fare clic su OK.

Nota

Impostare il nome dell'entità servizio nell'applicazione o nel sito Web in base alle esigenze. Per accedere all'applicazione quando è stata impostata l'identità del pool di applicazioni. Per accedere all'applicazione IIS utilizzando il nome di dominio completo, passare al prompt dei comandi del server reale e digitare SetSpn con i parametri necessari. Ad esempio: Setspn –S HTTP/sescoindc.sunehes.co.in suneshes\kdcuser

Kemp LoadMaster Microsoft Entra integration KCD (Kerberos Delegation Accounts)

Passare a Kemp LoadMaster Microsoft Entra integration Web Console > Virtual Services > Manage SSO (Gestisci SSO).

Screenshot that shows the

a. Passare a Server Side Single Sign On Configurations (Configurazioni Single Sign-On lato server).

b. Digitare il nome in Add new Server-Side Configuration (Aggiungi nuova configurazione lato server) e fare clic su Add (Aggiungi).

c. Selezionare Kerberos Constrained Delegation (Delega vincolata Kerberos) in Authentication Protocol (Protocollo di autenticazione).

d. Digitare il nome di dominio in Kerberos Realm (Area autenticazione Kerberos).

e. Fare clic su Set Kerberos realm (Imposta area autenticazione Kerberos).

f. Digitare l'indirizzo IP del controller di dominio in Kerberos Key Distribution Center (Centro distribuzione chiavi Kerberos).

g. Fare clic su Set Kerberos KDC (Imposta delega vincolata Kerberos).

h. Digitare il nome utente della delega vincolata Kerberos in Kerberos Trusted User Name (Nome utente attendibile Kerberos).

i. Fare clic su Set KCD trusted user name (Imposta nome utente attendibile delega vincolata Kerberos).

j. Digitare la password in Kerberos Trusted User Password (Password utente attendibile Kerberos).

k. Fare clic su Set KCD trusted user password (Imposta password attendibile delega vincolata Kerberos).

Kemp LoadMaster Microsoft Entra integration ESP

Passare a Visualizzazione servizi virtuali/Modificare i servizi > .

Kemp LoadMaster Microsoft Entra integration webserver

a. Fare clic su Modify (Modifica) sul nome alternativo del servizio virtuale.

b. Fare clic su ESP Options (Opzioni ESP).

c. In Server Authentication Mode (Modalità di autenticazione server) selezionare KCD (Delega vincolata Kerberos).

d. In Server-Side Configuration (Configurazione lato server) selezionare il profilo lato server creato in precedenza.

Creare l'utente di test di Kemp LoadMaster Microsoft Entra integration

In questa sezione viene creato un utente di nome B.Simon in Kemp LoadMaster Microsoft Entra integration. Collaborare con il team di supporto clienti di Kemp LoadMaster Microsoft Entra integration per aggiungere gli utenti alla piattaforma di integrazione Kemp LoadMaster Microsoft Entra. Gli utenti devono essere creati e attivati prima di usare l'accesso Single Sign-On.

Testare l'accesso SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

  • Fare clic su Test this application (Testa questa applicazione) e si dovrebbe accedere automaticamente all'integrazione di Kemp LoadMaster Microsoft Entra per cui si è configurato l'accesso SSO.

  • È possibile usare App personali Microsoft. Quando si fa clic sul riquadro di integrazione di Kemp LoadMaster Microsoft Entra nel App personali, si dovrebbe accedere automaticamente all'integrazione di Kemp LoadMaster Microsoft Entra per cui si è configurato l'accesso SSO. Per altre informazioni su App personali, vedere l'introduzione ad App personali.

Passaggi successivi

Dopo aver configurato Kemp LoadMaster Microsoft Entra integration, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con app Microsoft Defender per il cloud.