Бөлісу құралы:

Интеграция единого входа Microsoft Entra с Maverics Orchestrator SAML Connector

  • Мақала

Maverics Orchestrator Strata предоставляет простой способ интеграции локальных приложений с идентификатором Microsoft Entra для проверки подлинности и управления доступом. Maverics Orchestrator поддерживает модернизацию проверки подлинности и авторизации приложений, в которых в настоящее время применяются заголовки, файлы cookie и другие защищаемые методы проверки подлинности. Экземпляры Maverics Orchestrator можно развертывать локально или в облаке.

В этом руководстве по гибридному доступу показано, как перенести локальное веб-приложение, которое в настоящее время защищено устаревшим продуктом управления веб-доступом для использования идентификатора Microsoft Entra для проверки подлинности и управления доступом. Ниже перечислены основные шаги.

  1. Настройка оркестратора Maverics
  2. Прокси-сервер приложения
  3. Регистрация корпоративного приложения в идентификаторе Microsoft Entra
  4. Проверка подлинности с помощью идентификатора Microsoft Entra и авторизация доступа к приложению
  5. Добавление заголовков для простого доступа к приложению
  6. Работа с несколькими приложениями

Необходимые компоненты

  • Подписка На идентификатор Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Учетная запись платформы Оркестратора удостоверений Maverics. Зарегистрируйтесь в maverics.strata.io.
  • По крайней мере одно приложение, использующее проверку подлинности на основе заголовков. В наших примерах мы будем работать над приложением с именем Sonar, которое будет доступно в https://localhost:8443.

Шаг 1. Настройка оркестратора Maverics

После регистрации учетной записи Maverics в maverics.strata.io используйте руководство по центру обучения с названием "Начало работы: среда оценки". В этом руководстве вы узнаете, как создать среду оценки, скачать оркестратор и установить оркестратор на компьютере.

Шаг 2. Расширение идентификатора Microsoft Entra в приложение с помощью рецепта

Затем используйте учебник по Центру обучения, расширьте идентификатор Microsoft Entra до устаревшего приложения, нестандартного. В этом руководстве представлен рецепт .json, который автоматически настраивает структуру удостоверений, приложение на основе заголовков и частично полный поток пользователя.

Шаг 3. Регистрация корпоративного приложения в идентификаторе Microsoft Entra

Теперь мы создадим новое корпоративное приложение в идентификаторе Microsoft Entra, используемом для проверки подлинности конечных пользователей.

Примечание.

При использовании функций идентификатора Microsoft Entra, таких как условный доступ, важно создать корпоративное приложение для каждого локального приложения. Это позволяет условному доступу для каждого приложения, оценке рисков для каждого приложения, назначенным разрешениям для каждого приложения и т. д. Как правило, корпоративное приложение в идентификаторе Microsoft Entra сопоставляется с соединителем Azure в Maverics.

  1. В клиенте Идентификатора Microsoft Entra перейдите к корпоративным приложениям, щелкните "Создать приложение " и найдите соединитель SamL Identity Orchestrator Maverics в коллекции идентификаторов Microsoft Entra ID, а затем выберите его.

  2. На панели Properties (Свойства) страницы Maverics Identity Orchestrator SAML Connector установите для параметра User assignment required? (Требуется ли назначение пользователя?) значение No (Нет), чтобы с приложением могли работать все пользователи в каталоге.

  3. На панели Overview (Обзор) страницы Maverics Identity Orchestrator SAML Connector Overview выберите Set up single sign-on (Настройка единого входа), а затем — SAML.

  4. На панели SAML-based sign on (Вход на основе SAML) страницы Maverics Identity Orchestrator SAML Connector измените базовую конфигурацию SAML, нажав кнопку редактирования (значок карандаша).

    Снимок экрана: кнопка редактирования базовой конфигурации SAML.

  5. Введите идентификатор сущности: https://sonar.maverics.com Идентификатор сущности должен быть уникальным для приложений в клиенте и может быть произвольным значением. Мы используем это значение при определении samlEntityID поля для соединителя Azure в следующем разделе.

  6. Введите URL-адрес ответа: https://sonar.maverics.com/acs Мы используем это значение при определении samlConsumerServiceURL поля для соединителя Azure в следующем разделе.

  7. Введите URL-адрес для входа: https://sonar.maverics.com/ Это поле не будет использоваться Maverics, но оно необходимо в идентификаторе Microsoft Entra, чтобы пользователи могли получить доступ к приложению через портал Microsoft Entra ID Мои приложения.

  8. Выберите Сохранить.

  9. В разделе Сертификат подписи SAML нажмите кнопку Копировать, чтобы скопировать URL-адрес метаданных федерации приложений и сохранить его на компьютере.

    Снимок экрана:

Шаг 4. Проверка подлинности с помощью идентификатора Microsoft Entra и авторизация доступа к приложению

Перейдите к шагу 4 раздела Центра обучения, расширьте идентификатор Microsoft Entra до устаревшего, нестандартного приложения , чтобы изменить поток пользователя в Maverics. Эти действия пошаговые инструкции по добавлению заголовков в вышестоящее приложение и развертыванию потока пользователя.

После развертывания потока пользователя убедитесь, что проверка подлинности работает должным образом, выполните запрос к ресурсу приложения через прокси-сервер Maverics. Теперь защищенное приложение должно получать заголовки в запросе.

Вы можете изменить ключи заголовков, если для приложения требуются другие заголовки. Все утверждения, которые возвращаются из идентификатора Microsoft Entra в рамках потока SAML, доступны для использования в заголовках. Например, можно включить другой заголовок secondary_email: azureSonarApp.email, где azureSonarApp имя соединителя и email является утверждением, возвращаемым идентификатором Microsoft Entra.

Сложные сценарии

Миграция удостоверений

Не удается стоять в вашем средстве управления веб-доступом, но не удается перенести пользователей без массовых сбросов паролей? Maverics Orchestrator поддерживает миграцию идентификаторов с помощью migrationgateways.

Модули веб-сервера

Не хотите перенастраивать сеть и использовать прокси-сервер для направления трафика через Maverics Orchestrator? Не проблема, оркестратор Maverics можно связать с модулями веб-сервера, чтобы предложить те же решения без прокси-сервера.

Упаковка

На этом этапе мы установили Оркестратор Maverics, создали и настроили корпоративное приложение в идентификаторе Microsoft Entra ID и настроили Orchestrator для прокси-сервера в защищенном приложении, требуя проверки подлинности и применения политики. Чтобы узнать больше о том, как maverics Orchestrator можно использовать для вариантов использования распределенного управления удостоверениями, обратитесь в Strata.