Esercitazione: Configurare l'accesso ibrido sicuro con ID Microsoft Entra e Datawiza

Questa esercitazione descrive come integrare Microsoft Entra ID con Datawiza per l'accesso ibrido. Datawiza Access Proxy (DAP) estende Microsoft Entra ID per abilitare l'accesso Single Sign-On (SSO) e fornire controlli di accesso per proteggere applicazioni locali e cloud ospitate, ad esempio Oracle E-Business Suite, Microsoft IIS e SAP. Con questa soluzione, le aziende possono passare da manager di accesso Web legacy (WAMS), ad esempio Symantec SiteMinder, NetIQ, Oracle e IBM, a Microsoft Entra ID senza riscrivere le applicazioni. Le aziende possono usare Datawiza come una soluzione senza codice o a basso codice per integrare nuove applicazioni in Microsoft Entra ID. Questo approccio consente alle aziende di implementare la propria strategia di Zero Trust, risparmiando tempo di progettazione e riducendo i costi.

Altre informazioni: sicurezza Zero Trust

Datawiza con architettura di autenticazione Microsoft Entra

L'integrazione di Datawiza include i componenti seguenti:

• Microsoft Entra ID - Servizio di gestione delle identità e degli accessi che consente agli utenti di accedere e accedere alle risorse esterne e interne
• Datawiza Access Proxy (DAP) - Questo servizio passa in modo trasparente le informazioni sull'identità alle applicazioni tramite intestazioni HTTP
• Datawiza Cloud Management Console (DCMC) - API di interfaccia utente e RESTful per gli amministratori per gestire i criteri di configurazione e controllo degli accessi DAP

Il diagramma seguente illustra l'architettura di autenticazione con Datawiza in un ambiente ibrido.

1. L'utente richiede l'accesso all'applicazione locale o ospitata dal cloud. DAP proxy la richiesta all'applicazione.
2. DAP controlla lo stato di autenticazione dell'utente. Se non è presente alcun token di sessione o il token di sessione non è valido, DAP invia la richiesta utente a Microsoft Entra ID per l'autenticazione.
3. Microsoft Entra ID invia la richiesta utente all'endpoint specificato durante la registrazione DAP nel tenant di Microsoft Entra.
4. DAP valuta i criteri e i valori degli attributi da includere nelle intestazioni HTTP inoltrate all'applicazione. DAP potrebbe chiamare il provider di identità per recuperare le informazioni per impostare correttamente i valori dell'intestazione. DAP imposta i valori di intestazione e invia la richiesta all'applicazione.
5. L'utente viene autenticato e viene concesso l'accesso.

Prerequisiti

Per iniziare, è necessario:

• Una sottoscrizione di Azure
  • Se non ne è disponibile uno, è possibile ottenere un account gratuito di Azure
• Un tenant di Microsoft Entra collegato alla sottoscrizione di Azure
• Docker e docker-compose sono necessari per eseguire DAP
  • Le applicazioni possono essere eseguite su piattaforme, ad esempio una macchina virtuale (VM) o bare metal
• Un'applicazione locale o ospitata dal cloud per passare da un sistema di identità legacy a un ID Microsoft Entra
  • In questo esempio, il daP viene distribuito nello stesso server dell'applicazione
  • L'applicazione viene eseguita in localhost: 3001. DAP proxies il traffico all'applicazione tramite localhost: 9772
  • Il traffico verso l'applicazione raggiunge daP ed è proxied all'applicazione

Configurare Datawiza Cloud Management Console

1. Accedere a Datawiza Cloud Management Console (DCMC).

2. Creare un'applicazione in DCMC e generare una coppia di chiavi per l'app: PROVISIONING_KEY e PROVISIONING_SECRET.

3. Per creare l'app e generare la coppia di chiavi, seguire le istruzioni in Datawiza Cloud Management Console.

4. Registrare l'applicazione in Microsoft Entra ID con un clic di integrazione con Microsoft Entra ID.

   

5. Per usare un'applicazione Web, popolare manualmente i campi modulo: ID tenant, ID client e Segreto client.

   Altre informazioni: per creare un'applicazione Web e ottenere valori, passare a docs.datawiza.com per la documentazione dell'ID Microsoft Entra.

   

6. Eseguire DAP usando Docker o Kubernetes. L'immagine docker è necessaria per creare un'applicazione basata sull'intestazione di esempio.

• Per Kubernetes, vedere Distribuire il proxy di accesso datawiza con un'app Web con Kubernetes
• Per Docker, vedere Distribuire il proxy di accesso datawiza con l'app
  • È possibile usare il file docker di esempio docker-compose.yml seguente:

services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
   - "9772:9772"
   environment:
   PROVISIONING_KEY: #############################################
   PROVISIONING_SECRET: ##############################################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   restart: always
ports:
- "3001:3001"

7. Accedere al Registro contenitori.
8. Scaricare le immagini DAP e l'applicazione basata sull'intestazione in questo passaggio importante.
9. Eseguire questo comando: docker-compose -f docker-compose.yml up.
10. L'applicazione basata su intestazione ha l'accesso SSO abilitato con Microsoft Entra ID.
11. In un browser passare all'indirizzo http://localhost:9772/.
12. Viene visualizzata una pagina di accesso Microsoft Entra.
13. Passare gli attributi utente all'applicazione basata sull'intestazione. DAP ottiene gli attributi utente dall'ID Microsoft Entra e passa gli attributi all'applicazione tramite un'intestazione o un cookie.
14. Per passare attributi utente, ad esempio indirizzo di posta elettronica, nome e cognome all'applicazione basata sull'intestazione, vedere Passare attributi utente.
15. Per confermare gli attributi utente configurati, osservare un segno di spunta verde accanto a ogni attributo.

Testare il flusso

1. Passare all'URL dell'applicazione.
2. DAP reindirizza alla pagina di accesso Microsoft Entra.
3. Dopo l'autenticazione, viene eseguito il reindirizzamento a DAP.
4. DAP valuta i criteri, calcola le intestazioni e invia all'applicazione.
5. Viene visualizzata l'applicazione richiesta.

Passaggi successivi

• Esercitazione: Configurare Azure Active Directory B2C con Datawiza per fornire accesso ibrido sicuro
• Esercitazione: Configurare Datawiza per abilitare Microsoft Entra l'autenticazione a più fattori e l'accesso SSO a Oracle JD Edwards
• Esercitazione: Configurare Datawiza per abilitare Microsoft Entra l'autenticazione a più fattori e l'accesso SSO a Oracle PeopleSoft
• Passare a docs.datawiza.com per Le guide utente di Datawiza