Руководство. Интеграция единого входа Microsoft Entra с Kemp LoadMaster Microsoft Entra integration

В этом руководстве вы узнаете, как интегрировать Kemp LoadMaster Microsoft Entra integration with Microsoft Entra ID. Интеграция Kemp LoadMaster Microsoft Entra с идентификатором Microsoft Entra id позволяет:

• Управляйте идентификатором Microsoft Entra, имеющим доступ к интеграции Kemp LoadMaster Microsoft Entra.
• Включите автоматический вход пользователей в Kemp LoadMaster Microsoft Entra интеграции с учетными записями Microsoft Entra.
• Управление учетными записями в одном центральном расположении.

Необходимые условия

Чтобы приступить к работе, вам потребуется следующее:

• Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
• Подписка Kemp LoadMaster Microsoft Entra integration с поддержкой единого входа.

Заметка

Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Интеграция Kemp LoadMaster Microsoft Entra поддерживает единый вход, инициированный поставщиком удостоверений .

Добавление интеграции Kemp LoadMaster Microsoft Entra из коллекции

Чтобы настроить интеграцию Kemp LoadMaster Microsoft Entra с Идентификатором Microsoft Entra, необходимо добавить интеграцию Kemp LoadMaster Microsoft Entra из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
3. В разделе "Добавление из коллекции" в поле поиска введите интеграцию Kemp LoadMaster Microsoft Entra.
4. Выберите интеграцию Kemp LoadMaster Microsoft Entra с панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в клиент.

Кроме того, можно использовать мастер корпоративной Конфигурация приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Kemp LoadMaster Microsoft Entra integration

Настройте и проверьте единый вход Microsoft Entra в Kemp LoadMaster Microsoft Entra интеграции с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в интеграции Kemp LoadMaster Microsoft Entra.

Чтобы настроить и проверить единый вход Microsoft Entra в Kemp LoadMaster Microsoft Entra, выполните следующие действия.

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.

   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.

2. Настройка единого входа для интеграции Kemp LoadMaster Microsoft Entra с целью настройки параметров единого входа на стороне приложения.

3. Публикация веб-сервера

   1. Создание виртуальной службы
   2. Сертификаты и безопасность
   3. Kemp LoadMaster Microsoft Entra integration SAML Profile
   4. Проверка изменений

4. Настройка проверки подлинности на основе Kerberos

   1. Создание учетной записи делегирования Kerberos для интеграции Kemp LoadMaster Microsoft Entra
   2. KCD интеграции Kemp LoadMaster Microsoft Entra (учетные записи делегирования Kerberos)
   3. Интеграция Kemp LoadMaster Microsoft Entra ESP
   4. Создание тестового пользователя Microsoft LoadMaster Microsoft Entra требуется для того, чтобы в Kemp LoadMaster Microsoft Entra интеграции с Microsoft Entra был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.

5. Проверьте единый вход , чтобы проверить, работает ли конфигурация.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к приложениям>Identity>Applications>Enterprise Kemp LoadMaster Microsoft Entra integration>Single sign-on.

3. На странице "Выбор метода единого входа" выберите SAML.

4. На странице "Настройка единого входа" на странице SAML щелкните значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

   

5. В разделе "Базовая конфигурация SAML" введите значения для следующих полей:

   a. В текстовом поле "Идентификатор сущности" введите URL-адрес: https://<KEMP-CUSTOMER-DOMAIN>.com/

   b. В текстовом поле "URL-адрес ответа" введите URL-адрес: https://<KEMP-CUSTOMER-DOMAIN>.com/

   Заметка

   Эти значения не являются реальными. Обновите эти значения фактическим URL-адресом идентификатора и ответа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов Microsoft LoadMaster Microsoft Entra. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

6. На странице "Настройка единого входа" на странице SAML в разделе "Сертификат подписи SAML" найдите сертификат (Base64) и XML метаданных федерации, выберите "Скачать", чтобы скачать XML-файлы сертификатов и метаданных федерации и сохранить его на компьютере.

   

7. В разделе интеграции "Настройка Kemp LoadMaster Microsoft Entra" скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

   

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
2. Перейдите ко всем пользователям удостоверений>>.
3. Выберите "Создать пользователя>" в верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
   3. Установите флажок "Показать пароль", а затем запишите значение, отображаемое в поле "Пароль".
   4. Выберите "Рецензирование и создание".
5. Нажмите кнопку "Создать".

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к интеграции Kemp LoadMaster Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к интеграции Microsoft Entra с приложениями>Identity>Applications>Enterprise Kemp LoadMaster.
3. На странице обзора приложения выберите "Пользователи" и "Группы".
4. Выберите " Добавить пользователя или группу", а затем выберите "Пользователи" и "Группы " в диалоговом окне "Добавить назначение ".
   1. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
   2. Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке "Выбор роли ". Если для этого приложения не настроена роль, вы увидите выбранную роль "Доступ по умолчанию".
   3. В диалоговом окне "Добавление назначения" нажмите кнопку "Назначить".

Настройка единого входа интеграции Kemp LoadMaster Microsoft Entra

Публикация веб-сервера

Создание виртуальной службы

1. Перейдите к Kemp LoadMaster Microsoft Entra integration LoadMaster Web UI > Virtual Services > Add New.

2. Нажмите кнопку "Добавить новую".

3. Укажите параметры для виртуальной службы.

   

   a. Виртуальный адрес

   b. Порт

   c. Имя службы (необязательно)

   d. Протокол

4. Перейдите к разделу "Реальные серверы".

5. Нажмите кнопку "Добавить новую".

6. Укажите параметры для реального сервера.

   

   a. Выберите "Разрешить удаленные адреса"

   b. Введите адрес реального сервера

   c. Порт

   d. Метод пересылки

   e. Вес

   f. Ограничение подключения

   g. Щелкните "Добавить этот реальный сервер"

Сертификаты и безопасность

Импорт сертификата в интеграции Kemp LoadMaster Microsoft Entra

1. Перейдите к Kemp LoadMaster Microsoft Entra integration Web Portal > Certificates и Security > SSL Certificates.

2. В разделе "Управление конфигурацией сертификатов > "

3. Нажмите кнопку "Импорт сертификата".

4. Укажите имя файла, содержащего сертификат. Файл также может содержать закрытый ключ. Если файл не содержит закрытый ключ, необходимо также указать файл, содержащий закрытый ключ. Сертификат может находиться в любом элементе. PEM или . Формат PFX (IIS).

5. Щелкните "Выбрать файл" в файле сертификата.

6. Щелкните файл ключа (необязательно).

7. Нажмите кнопку "Сохранить".

Ускорение SSL

1. Перейдите в представление виртуальных служб > веб-интерфейса > Kemp LoadMaster и измените службы.

2. Щелкните "Изменить" в разделе "Операция".

3. Щелкните свойства SSL (который работает на уровне 7).

   

   a. Нажмите кнопку "Включить" в режиме ускорения SSL.

   b. В разделе "Доступные сертификаты" выберите импортированный сертификат и щелкните > символ.

   c. Когда требуемый SSL-сертификат появится в назначенных сертификатах, щелкните "Задать сертификаты".

   Заметка

   Убедитесь, что щелкните набор сертификатов.

Kemp LoadMaster Microsoft Entra integration SAML Profile

Импорт сертификата поставщика удостоверений

Перейдите в веб-консоль интеграции Kemp LoadMaster Microsoft Entra.

1. Щелкните промежуточные сертификаты в разделе "Сертификаты и центр".

   

   a. Щелкните "Выбрать файл" в разделе "Добавить новый промежуточный сертификат".

   b. Перейдите к файлу сертификата, скачанного ранее из приложения Microsoft Entra Enterprise.

   c. Нажмите кнопку "Открыть".

   d. Укажите имя в имени сертификата.

   e. Нажмите кнопку "Добавить сертификат".

Создание политики проверки подлинности

Перейдите к разделу "Управление единым входом" в разделе "Виртуальные службы".

a. Нажмите кнопку "Добавить" в разделе "Добавить новую конфигурацию на стороне клиента" после предоставления ему имени.

b. Выберите SAML в разделе "Протокол проверки подлинности".

c. Выберите файл MetaData в разделе "Подготовка поставщика удостоверений".

d. Щелкните "Выбрать файл".

e. Перейдите к ранее скачанным XML из портал Azure.

f. Нажмите кнопку "Открыть" и щелкните "Импортировать файл MetaData idP".

g. Выберите промежуточный сертификат из сертификата поставщика удостоверений.

h. Задайте идентификатор сущности SP, который должен соответствовать удостоверению, созданному в портал Azure.

я. Щелкните "Задать идентификатор сущности sp".

Установка проверки подлинности

В веб-консоли интеграции Kemp LoadMaster Microsoft Entra.

1. Щелкните "Виртуальные службы".

2. Щелкните "Просмотр и изменение служб".

3. Щелкните "Изменить" и перейдите к параметрам ESP.

   

   a. Нажмите кнопку "Включить ESP".

   b. Выберите SAML в режиме проверки подлинности клиента.

   c. Выберите ранее созданную проверку подлинности на стороне клиента в домене единого входа.

   d. Введите имя узла в разрешенных виртуальных узлах и щелкните "Задать разрешенные виртуальные узлы".

   e. Введите /* в разрешенных виртуальных каталогах (на основе требований к доступу) и щелкните "Задать разрешенные каталоги".

Проверка изменений

Перейдите по URL-адресу приложения.

Вы должны увидеть страницу входа в клиент, а не доступ без проверки подлинности ранее.

Настройка проверки подлинности на основе Kerberos

Создание учетной записи делегирования Kerberos для интеграции Kemp LoadMaster Microsoft Entra

1. Создайте учетную запись пользователя (в этом примере AppDelegation).

   a. Перейдите на вкладку "Редактор атрибутов".

   b. Перейдите к servicePrincipalName.

   c. Выберите servicePrincipalName и нажмите кнопку "Изменить".

   d. Введите http/kcduser в поле "Значение", чтобы добавить поле, и нажмите кнопку "Добавить".

   e. Нажмите кнопку "Применить" и "ОК". Окно должно закрыться, прежде чем снова открыть его (чтобы увидеть новую вкладку делегирования).

2. Снова откройте окно свойств пользователя, а вкладка "Делегирование" станет доступной.

3. Перейдите на вкладку "Делегирование".

   

   a. Выберите "Доверять этому пользователю" только для делегирования указанным службам.

   b. Выберите "Использовать любой протокол проверки подлинности".

   c. Добавьте реальные серверы и добавьте http в качестве службы.

   d. Установите флажок "Развернутый".

   e. Все серверы отображаются как с именем узла, так и полным доменным именем.

   f. Нажмите кнопку "ОК".

Заметка

Задайте имя субъекта-службы в приложении или веб-сайте в соответствии с применимым параметром. Доступ к приложению при установке удостоверения пула приложений. Чтобы получить доступ к приложению IIS с помощью имени полного доменного имени, перейдите в командную строку Real Server и введите SetSpn с необходимыми параметрами. Например, Setspn –S HTTP/sescoindc.sunehes.co.in suneshes\kdcuser.

KCD интеграции Kemp LoadMaster Microsoft Entra (учетные записи делегирования Kerberos)

Перейдите к Kemp LoadMaster Microsoft Entra integration Web Console > Virtual Services > Manage SSO.

a. Перейдите к конфигурациям на стороне сервера Единый вход.

b. Введите имя в поле "Добавить новую конфигурацию на стороне сервера" и нажмите кнопку "Добавить".

c. Выберите ограниченное делегирование Kerberos в протоколе проверки подлинности.

d. Введите доменное имя в области Kerberos.

e. Щелкните область Set Kerberos.

f. Введите IP-адрес контроллера домена в Центре распространения ключей Kerberos.

g. Щелкните "Задать KDC Kerberos".

h. Введите имя пользователя KCD в имени доверенного пользователя Kerberos.

я. Щелкните "Задать имя доверенного пользователя KDC".

j. Введите пароль в доверенном пароле пользователя Kerberos.

k. Щелкните "Задать доверенный пароль пользователя KCD".

Интеграция Kemp LoadMaster Microsoft Entra ESP

Перейдите к представлению или изменению служб виртуальных служб > .

a. Щелкните "Изменить" имя Ник виртуальной службы.

b. Нажмите кнопку "Параметры ESP".

c. В разделе "Режим проверки подлинности сервера" выберите KCD.

d. В разделе "Конфигурация на стороне сервера" выберите ранее созданный серверный профиль.

Создание тестового пользователя Microsoft Entra LoadMaster Для Kemp

В этом разделе описано, как создать пользователя B.Simon в интеграции Kemp LoadMaster Microsoft Entra. Обратитесь к группе поддержки клиентов интеграции Kemp LoadMaster Microsoft Entra, чтобы добавить пользователей на платформу интеграции Kemp LoadMaster Microsoft Entra. Пользователи должны быть созданы и активированы перед использованием единого входа.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

• Щелкните "Тестировать это приложение", и вы автоматически войдете в интеграцию Kemp LoadMaster Microsoft Entra, для которой настроили единый вход.

• Вы можете использовать microsoft Мои приложения. Щелкнув плитку интеграции Kemp LoadMaster Microsoft Entra в Мои приложения, вы автоматически войдете в интеграцию Kemp LoadMaster Microsoft Entra, для которой настроили единый вход. Дополнительные сведения о Мои приложения см. в статье "Введение в Мои приложения".

Дальнейшие действия

После настройки интеграции Kemp LoadMaster Microsoft Entra можно применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Элемент управления сеансом расширяется от условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облака Apps.