Condividi tramite

Configurare Datawiza Access Proxy per l'accesso SSO e l'autenticazione a più fattori di Microsoft Entra per Outlook Web Access

  • Articolo

Questa esercitazione descrive come configurare Datawiza Access Proxy (DAP) per abilitare l'accesso Single Sign-On (SSO) di Microsoft Entra e l'autenticazione a più fattori di Microsoft Entra per Outlook Web Access (OWA). Consente di risolvere i problemi quando i provider di identità moderni si integrano con l'applicazione OWA legacy, che supporta l'autenticazione di token Kerberos per identificare gli utenti.

Spesso, l'integrazione tra l'app legacy e l'accesso SSO moderno rappresenta una sfida perché non esiste alcun supporto dei protocolli moderni. Datawiza Access Proxy elimina il gap del supporto del protocollo, riduce il sovraccarico di integrazione e migliora la sicurezza delle applicazioni.

Vantaggi dell'integrazione:

Architettura

L'architettura di integrazione DAP include i componenti seguenti:

  • Microsoft Entra ID: servizio di gestione delle identità e degli accessi che consente agli utenti di eseguire l'accesso e di accedere a risorse esterne e interne
  • OWA: il componente legacy di Exchange Server da proteggere con Microsoft Entra ID
  • Controller di dominio: server che gestisce l'autenticazione degli utenti e l'accesso alle risorse di rete in una rete basata su Windows
  • Centro distribuzione chiavi (KDC): distribuisce e gestisce chiavi segrete e ticket in un sistema di autenticazione Kerberos
  • DAP: un proxy inverso che implementa OpenID Connect (OIDC), OAuth o SAML (Security Assertion Markup Language) per l'accesso degli utenti. DAP si integra con le applicazioni protette usando:
    • Intestazioni HTTP
    • Kerberos
    • Token JSON Web (JWT)
    • Altri protocolli
  • DCMC: la console di gestione DAP con l'interfaccia utente e le API RESTful per gestire le configurazioni e i criteri di controllo di accesso

Il diagramma seguente illustra un flusso utente con DAP nella rete di un cliente.

Screenshot del flusso utente con DAP in una rete del cliente.

Il diagramma seguente illustra il flusso utente dal browser utente a OWA.

Screenshot del flusso utente dal browser utente a owa.

  1. Il browser utente richiede l'accesso a OWA protetto da DAP.
  2. Il browser utente viene indirizzato a Microsoft Entra ID.
  3. Viene visualizzata la pagina di accesso di Microsoft Entra.
  4. L'utente immette le credenziali.
  5. Dopo l'autenticazione, il browser utente viene indirizzato a DAP.
  6. DAP e Microsoft Entra ID si scambiano i token.
  7. Microsoft Entra ID rilascia il nome utente e le informazioni pertinenti per DAP.
  8. DAP accede al centro di distribuzione chiavi (KDC) con le credenziali. DAP richiede un ticket Kerberos.
  9. KDC restituisce un ticket Kerberos.
  10. DAP reindirizza il browser utente a OWA.
  11. Viene visualizzata la risorsa OWA.|

Nota

Le successive richieste del browser utente contengono il token Kerberos, che consente l'accesso a OWA tramite DAP.

Prerequisiti

Sono necessari i componenti seguenti. Non è necessaria una precedente esperienza con DAP.

  • Un account Azure
  • Un tenant di Microsoft Entra collegato all'account Azure
  • Docker e Docker Compose sono necessari per eseguire DAP
  • Identità utente sincronizzate da una directory locale a Microsoft Entra ID o create in Microsoft Entra ID e restituite alla directory locale
  • Un account con autorizzazioni di amministratore dell'applicazione Microsoft Entra
  • Un ambiente Exchange Server. Versioni supportate:
    • Autenticazione integrata di Windows (IWA) di Microsoft Internet Information Services (IIS) - IIS 7 o versione successiva
    • Autenticazione integrata di Windows per Microsoft OWA: IIS 7 o versione successiva
  • Istanza di Windows Server configurata con i servizi IIS e Microsoft Entra in esecuzione come controller di dominio (DC) e implementazione dell'accesso SSO Kerberos (IWA)
    • È insolito che gli ambienti di produzione di grandi dimensioni abbiano un server applicazioni (IIS) che funzioni anche come controller di dominio.
  • Facoltativo: un certificato Web SSL per pubblicare i servizi tramite HTTPS o certificati autofirmato DAP per i test.

Abilitare l'autenticazione Kerberos per OWA

  1. Accedere all'interfaccia di amministrazione di Exchange.

  2. Nell'interfaccia di amministrazione di Exchange selezionare server nel riquadro di spostamento a sinistra.

  3. Selezionare la scheda directory virtuali.

    Screenshot che mostra le directory virtuali.

  4. Nell'elenco a discesa Seleziona server selezionare un server.

  5. Fare doppio clic su owa (sito Web predefinito).

  6. Nella Directory virtuale selezionare la scheda autenticazione.

    Screenshot che mostra la scheda autenticazione delle directory virtuali.

  7. Nella scheda autenticazione selezionare Usa uno o più metodi di autenticazione standard e quindi selezionare Autenticazione integrata di Windows.

  8. Selezionare salva

    Screenshot che mostra la scheda Internet Explorer.

  9. Apri un prompt dei comandi.

  10. Eseguire il comando iisreset.

    Screenshot del comando di reimpostazione iis.

Creare un account del servizio DAP

DAP richiede credenziali di Windows note usate dall'istanza per configurare il servizio Kerberos. L'utente è l'account del servizio DAP.

  1. Accedere all'istanza di Windows Server.

  2. Selezionare Utenti e computer.

  3. Selezionare la freccia rivolta verso il basso dell'istanza DAP. L'esempio è datawizatest.com.

  4. Nell'elenco fare clic con il pulsante destro del mouse su Utenti.

  5. Nel menu scegliere Nuovo, quindi selezionare Utente.

  6. In Nuovo oggetto--Utente immettere Nome e Cognome.

  7. Per Nome accesso utente immettere dap.

  8. Selezionare Avanti.

    Screenshot dell'accesso utente.

  9. In Password immettere una password.

  10. Immetterla di nuovo in Conferma.

  11. Selezionare le caselle per L'utente non può modificare la password e Password senza scadenza.

    Screenshot del menu password.

  12. Selezionare Avanti.

  13. Fare clic con il pulsante destro del mouse sul nuovo utente per visualizzare le proprietà configurate.

Creare un nome dell'entità servizio per l'account del servizio

Prima di creare il nome dell'entità servizio (SPN), è possibile elencare i nomi SPN e verificare che il nome SPN http sia tra questi.

  1. Per elencare i nomi SPN, usare la sintassi seguente nella riga di comando di Windows.

    setspn -Q \*/\<**domain.com**

  2. Verificare che il nome SPN http sia tra questi.

  3. Per registrare il nome SPN host per l'account, usare la sintassi seguente nella riga di comando di Windows.

    setspn -A host/dap.datawizatest.com dap

Nota

host/dap.datawizatest.com è il nome SPN univoco e dap è l'account del servizio creato.

Configurare Windows Server IIS per la delega vincolata

  1. Accedere a un controller di dominio.

  2. Selezionare Utenti e computer.

  3. Nell'organizzazione individuare e selezionare l'oggetto Utenti.

  4. Individuare l'account del servizio creato.

  5. Fare clic con il pulsante destro del mouse sull'account.

  6. Nell'elenco scegliere Proprietà.

  7. Selezionare la scheda Delega.

  8. Selezionare Utente attendibile per la delega solo ai servizi specificati.

  9. Selezionare Usa un qualsiasi protocollo di autenticazione.

  10. Selezionare Aggiungi.

    Screenshot che mostra il protocollo di autenticazione.

  11. In Aggiungi servizi selezionare Utenti o computer.

    Screenshot che mostra la finestra Aggiungi servizi.

  12. In Immettere i nomi degli oggetti da selezionare digitare il nome del computer.

  13. seleziona OK.

    Screenshot che mostra i campi di selezione dei nomi degli oggetti.

  14. In Servizi disponibili di Aggiungi servizi selezionare http in Tipo di servizio.

  15. seleziona OK.

    Screenshot che mostra i campi aggiungi servizi http.

Integrare OWA con Microsoft Entra ID

Usare le istruzioni seguenti per integrare OWA con Microsoft Entra ID.

  1. Accedere a Datawiza Cloud Management Console (DCMC).

  2. Viene visualizzata la pagina iniziale.

  3. Selezionare il pulsante arancione Attività iniziali.

    Screenshot che mostra la schermata del proxy di accesso.

Nome della distribuzione

  1. In Nome distribuzione digitare il Nome e la Descrizione.

  2. Selezionare Avanti.

    Screenshot che mostra la schermata Nome distribuzione.

Aggiungi applicazione

  1. In Aggiungi applicazione per Piattaforma selezionare Web.

  2. Per Nome app immettere il nome dell'app. È consigliabile usare una convenzione di denominazione significativa.

  3. Per Dominio pubblico immettere l'URL esterno dell'app. Ad esempio: https://external.example.com. Usare localhost domain name server (DNS) per il test.

  4. Per Porta di ascolto immettere la porta su cui è in ascolto DAP. Se DAP non viene distribuito dietro un servizio di bilanciamento del carico, è possibile usare la porta indicata in Dominio pubblico.

  5. Per Server upstream immettere la combinazione di URL e porta delle implementazioni OWA.

  6. Selezionare Avanti.

    Screenshot che mostra la schermata Aggiungi applicazione.

Configurare il provider di identità

Le funzionalità di integrazione di DCMC consentono di completare la configurazione di Microsoft Entra. DCMC chiama invece l'API Microsoft Graph per eseguire le attività. La funzionalità riduce i tempi, gli sforzi e gli errori.

  1. In Configura provider di identità immettere un Nome.

  2. Per Protocollo selezionare OIDC.

  3. Per Provider di identità selezionare Microsoft Entra ID.

  4. Abilitare Generatore automatico.

  5. Per Tipi di account supportati selezionare Account solo in questa directory dell'organizzazione (tenant singolo).

  6. Seleziona Crea.

  7. Viene visualizzata una pagina con i passaggi di distribuzione per DAP e l'applicazione.

  8. Vedere il file Docker Compose della distribuzione, che include un'immagine di DAP, nonché PROVISIONING_KEY e PROVISIONING_SECRET. DAP usa le chiavi per eseguire il pull della configurazione e dei criteri DCMC più recenti.

Configurare Kerberos

  1. Nella pagina dell'applicazione selezionare Dettagli applicazione.

  2. Selezionare la scheda Avanzate .

  3. Nella scheda secondaria Kerberos abilitare Kerberos.

  4. Per Area di autenticazione Kerberos immettere il percorso in cui è archiviato il database Kerberos o il dominio.

  5. Per SPN immettere il nome dell'entità servizio dell'applicazione OWA. Non è lo stesso nome SPN creato.

  6. Per Identità di accesso delegata immettere l'URL esterno dell'applicazione. Per i test usare il DNS localhost.

  7. Per KDC immettere un indirizzo IP del controller di dominio. Se è configurato il DNS, immettere un nome di dominio completo (FQDN).

  8. Per Account del servizio immettere l'account del servizio creato.

  9. Per Tipo di autenticazione selezionare Password.

  10. Immettere la Password dell'account del servizio.

  11. Seleziona Salva.

    Screenshot che mostra la configurazione di Kerberos.

Configurazione di SSL

  1. Nella pagina dell'applicazione selezionare la scheda Avanzate.

  2. Selezionare la scheda secondaria SSL.

  3. Seleziona Modifica

    Screenshot che mostra la finestra Avanzate di Datawiza.

  4. Selezionare l'opzione per Abilita SSL.

  5. In Tipo di certificato selezionare un tipo di certificato. È possibile usare il certificato localhost autofirmato fornito per i test.

    Screenshot che mostra il tipo di certificato.

  6. Seleziona Salva.

Facoltativo: Abilitare l'autenticazione a più fattori di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per garantire maggiore sicurezza per gli accessi, è possibile applicare l'autenticazione a più fattori di Microsoft Entra. Il processo viene avviato nell'interfaccia di amministrazione di Microsoft Entra.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore dell'applicazione.
  2. Passare alla scheda Identità>Panoramica>Proprietà.
  3. In Impostazioni predefinite per la sicurezza selezionare Gestisci impostazioni predefinite per la sicurezza.
  4. Nel riquadro Impostazioni predefinite per la sicurezza attivare o disattivare il menu a discesa per selezionare Abilitato.
  5. Seleziona Salva.

Passaggi successivi