Руководство по настройке безопасного гибридного доступа с помощью идентификатора Microsoft Entra и Datawiza

В этом руководстве описано, как интегрировать идентификатор Microsoft Entra с Datawiza для гибридного доступа. Datawiza Access Proxy (DAP) расширяет идентификатор Microsoft Entra, чтобы включить единый вход (SSO) и предоставить элементы управления доступом для защиты локальных и облачных приложений, таких как Oracle E-Business Suite, Microsoft IIS и SAP. Благодаря этому решению предприятия могут переходить от устаревших диспетчеров веб-доступа (WAM), таких как Symantec SiteMinder, NetIQ, Oracle и IBM, на идентификатор Microsoft Entra id без перезаписи приложений. Предприятия могут использовать Datawiza в качестве кода без кода или низкого кода для интеграции новых приложений с идентификатором Microsoft Entra. Этот подход позволяет предприятиям реализовывать свою стратегию "Никому не доверяй", экономя время на проектирование и сокращая расходы.

Дополнительные сведения: безопасность нулевого доверия

Datawiza с архитектурой проверки подлинности Microsoft Entra

Интеграция с Datawiza включает в себя следующие компоненты:

• Идентификатор Microsoft Entra — служба управления удостоверениями и доступом, которая помогает пользователям входить и получать доступ к внешним и внутренним ресурсам
• Прокси-сервер доступа Datawiza (DAP) — эта служба прозрачно передает сведения об удостоверениях приложениям через заголовки HTTP
• Консоль управления облаком Datawiza (DCMC) — интерфейсы ПОЛЬЗОВАТЕЛЬСКОго интерфейса и API RESTful для администраторов для управления конфигурацией DAP и политиками управления доступом

На следующей схеме показана архитектура проверки подлинности с datawiza в гибридной среде.

1. Пользователь запрашивает доступ к локальному или облачному приложению. DAP прокси-серверы запрашивают приложение.
2. DAP проверяет состояние проверки подлинности пользователя. Если маркер сеанса отсутствует или маркер сеанса недействителен, DAP отправляет запрос пользователя в идентификатор Microsoft Entra для проверки подлинности.
3. Идентификатор Microsoft Entra отправляет запрос пользователя в конечную точку, указанную во время регистрации DAP в клиенте Microsoft Entra.
4. DAP оценивает политики и значения атрибутов, которые будут включены в заголовки HTTP, перенаправленные в приложение. DAP может вызвать поставщика удостоверений, чтобы получить информацию, чтобы правильно задать значения заголовков. DAP задает значения заголовков и отправляет запрос приложению.
5. Пользователь проходит проверку подлинности и предоставляется доступ.

Необходимые компоненты

Для начала работы необходимы перечисленные ниже компоненты и данные.

• Подписка Azure
  • Если у вас ее нет, получите бесплатную учетную запись Azure.
• Клиент Microsoft Entra, связанный с подпиской Azure
• Docker и docker-compose необходимы для запуска DAP
  • Приложения могут выполняться на платформах, таких как виртуальная машина или компьютер без операционной системы.
• Локальное или облачное приложение для перехода с устаревшей системы удостоверений на идентификатор Microsoft Entra
  • В этом примере DAP развертывается на том же сервере, что и приложение.
  • Приложение выполняется в localhost: 3001. Трафик прокси-серверов DAP к приложению через localhost: 9772
  • Трафик к приложению достигает DAP и является прокси-сервером приложения.

Настройка консоли управления облаком Datawiza

1. Войдите в консоль управления облаком Datawiza (DCMC).

2. Создайте приложение в DCMC и создайте пару ключей для приложения: PROVISIONING_KEY и PROVISIONING_SECRET.

3. Чтобы создать приложение и сгенерировать пару ключей, следуйте инструкциям в Datawiza Cloud Management Console.

4. Зарегистрируйте приложение в идентификаторе Microsoft Entra с помощью one Click Integration With Microsoft Entra ID.

   

5. Чтобы использовать веб-приложение, заполните поля формы вручную: идентификатор клиента, идентификатор клиента и секрет клиента.

   Дополнительные сведения. Чтобы создать веб-приложение и получить значения, перейдите к docs.datawiza.com документации по идентификатору Microsoft Entra.

   

6. Запустите DAP с помощью Docker или Kubernetes. Образ Docker требуется для создания примера приложения на основе заголовков.

• Сведения о Kubernetes см. в статье "Развертывание прокси-сервера Datawiza Access с помощью Веб-приложения с помощью Kubernetes"
• Сведения о Docker см. в разделе "Развертывание прокси-сервера доступа Datawiza с помощью приложения"
  • Можно использовать следующий пример файла образца docker-compose.yml:

services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
   - "9772:9772"
   environment:
   PROVISIONING_KEY: #############################################
   PROVISIONING_SECRET: ##############################################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   restart: always
ports:
- "3001:3001"

7. Войдите в реестр контейнеров.
8. Скачайте образы DAP и приложение на основе заголовков на этом важном шаге.
9. Выполните следующую команду: docker-compose -f docker-compose.yml up.
10. Приложение на основе заголовков включает единый вход с идентификатором Microsoft Entra.
11. Для этого откройте в браузере адрес http://localhost:9772/.
12. Появится страница входа в Microsoft Entra.
13. Передайте пользовательские атрибуты в приложение на основе заголовков. DAP получает атрибуты пользователя из идентификатора Microsoft Entra и передает атрибуты приложению через заголовок или файл cookie.
14. Чтобы передать атрибуты пользователя, такие как адрес электронной почты, имя и фамилию в приложение на основе заголовков, см . раздел "Передача атрибутов пользователя".
15. Чтобы подтвердить настроенные атрибуты пользователя, обратитесь к зеленому флажку рядом с каждым атрибутом.

Проверка потока

1. Выберите URL-адрес приложения.
2. DAP перенаправляет вас на страницу входа Microsoft Entra.
3. После проверки подлинности вы перенаправляетесь в DAP.
4. DAP вычисляет политики, вычисляет заголовки и отправляет вас в приложение.
5. Появится запрошенное приложение.

Следующие шаги

• Руководство по настройке Azure Active Directory B2C с Datawiza для обеспечения безопасного гибридного доступа
• Руководство по настройке Datawiza для включения многофакторной проверки подлинности Microsoft Entra и единого входа в Oracle JD Edwards
• Руководство по настройке Datawiza для включения многофакторной проверки подлинности Microsoft Entra и единого входа в Oracle PeopleSoft
• Руководство по настройке Datawiza для включения многофакторной проверки подлинности Microsoft Entra и единого входа в Oracle Hyperion EPM
• Перейти к docs.datawiza.com пользовательских руководств по Datawiza