Zelfstudie: Integratie van Microsoft Entra SSO met Kemp LoadMaster Microsoft Entra-integratie

In deze zelfstudie leert u hoe u Kemp LoadMaster Microsoft Entra-integratie integreert met Microsoft Entra ID. Wanneer u Kemp LoadMaster Microsoft Entra-integratie integreert met Microsoft Entra ID, kunt u het volgende doen:

• In Microsoft Entra ID beheren wie toegang heeft tot Kemp LoadMaster Microsoft Entra-integratie.
• Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Kemp LoadMaster Microsoft Entra-integratie.
• Beheer uw accounts op één centrale locatie.

Voorwaarden

U hebt het volgende nodig om aan de slag te gaan:

• Een Microsoft Entra-abonnement. Als u geen abonnement hebt, kunt u een gratis account krijgen.
• Een abonnement op Kemp LoadMaster Microsoft Entra Integration waarvoor eenmalige aanmelding is ingeschakeld.

Notitie

Deze integratie is ook beschikbaar voor gebruik vanuit de Microsoft Entra US Government Cloud-omgeving. U vindt deze toepassing in de Microsoft Entra US Government Cloud Application Gallery en configureert deze op dezelfde manier als vanuit de openbare cloud.

Beschrijving van scenario

In deze zelfstudie configureert en test u eenmalige aanmelding van Microsoft Entra in een testomgeving.

• Kemp LoadMaster Microsoft Entra Integration ondersteunt door IDP geïnitieerde eenmalige aanmelding.

Kemp LoadMaster Microsoft Entra Integration toevoegen vanuit de galerie

Voor het configureren van de integratie van Kemp LoadMaster Microsoft Entra-integratie met Microsoft Entra ID moet u Kemp LoadMaster Microsoft Entra-integratie vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.
3. Typ in de sectie Toevoegen uit de galerie Kemp LoadMaster Microsoft Entra-integratie in het zoekvak.
4. Selecteer Kemp LoadMaster Microsoft Entra-integratie in het resultatenvenster en voeg vervolgens de app toe. Wacht enkele seconden terwijl de app is toegevoegd aan uw tenant.

U kunt ook de wizard Enterprise App Configuration gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Eenmalige aanmelding van Microsoft Entra configureren en testen voor Kemp LoadMaster Microsoft Entra-integratie

Configureer en test eenmalige aanmelding van Microsoft Entra met Kemp LoadMaster Microsoft Entra-integratie met behulp van een testgebruiker met de naam B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Kemp LoadMaster Microsoft Entra-integratie.

Voer de volgende stappen uit om eenmalige aanmelding van Microsoft Entra met Kemp LoadMaster Microsoft Entra-integratie te configureren en te testen:

1. Configureer eenmalige aanmelding van Microsoft Entra - zodat uw gebruikers deze functie kunnen gebruiken.

   1. Een Microsoft Entra-testgebruiker maken : eenmalige aanmelding van Microsoft Entra testen met B.Simon.
   2. Wijs de Microsoft Entra-testgebruiker toe om B.Simon in staat te stellen eenmalige aanmelding van Microsoft Entra te gebruiken.

2. Eenmalige aanmelding voor Kemp LoadMaster Microsoft Entra Integration configureren : als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.

3. Publicerende webserver

   1. Een virtuele service maken
   2. Certificaten en beveiliging
   3. Kemp LoadMaster Microsoft Entra integration SAML Profile
   4. De wijzigingen controleren

4. Verificatie op basis van Kerberos configureren

   1. Een Kerberos-delegatieaccount maken voor Kemp LoadMaster Microsoft Entra-integratie
   2. Kemp LoadMaster Microsoft Entra integration KCD (Kerberos Delegation Accounts)
   3. Kemp LoadMaster Microsoft Entra integration ESP
   4. Testgebruiker voor Kemp LoadMaster Microsoft Entra Integration maken : als u een tegenhanger van B.Simon in Kemp LoadMaster Microsoft Entra-integratie wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.

5. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Eenmalige aanmelding voor Microsoft Entra configureren

Volg deze stappen om eenmalige aanmelding van Microsoft Entra in te schakelen.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Identity>Applications Enterprise-toepassingen>>Kemp LoadMaster Microsoft Entra integration>Single sign-on.

3. Selecteer SAML op de pagina Een methode voor eenmalige aanmelding selecteren.

4. Klik op de pagina Eenmalige aanmelding instellen met SAML op het potloodpictogram voor Standaard SAML-configuratie om de instellingen te bewerken.

   

5. Voer in de sectie Standaard SAML-configuratie de waarden in voor de volgende velden:

   een. Typ een URL in het tekstvak Id (Entiteits-id ): https://<KEMP-CUSTOMER-DOMAIN>.com/

   b. Typ een URL in het tekstvak Antwoord-URL : https://<KEMP-CUSTOMER-DOMAIN>.com/

   Notitie

   Deze waarden zijn niet echt. Werk deze waarden bij met de werkelijke id en antwoord-URL. Neem contact op met het klantondersteuningsteam van Kemp LoadMaster Microsoft Entra Integration om deze waarden te verkrijgen. U kunt ook verwijzen naar de patronen die worden weergegeven in de sectie Standaard SAML-configuratie.

6. Zoek op de pagina Eenmalige aanmelding instellen met SAML in de sectie SAML-handtekeningcertificaat het certificaat (Base64) en xml-bestand met federatieve metagegevens, selecteer Downloaden om het certificaat en de XML-bestanden met federatieve metagegevens te downloaden en op uw computer op te slaan.

   

7. In de sectie Kemp LoadMaster Microsoft Entra-integratie instellen kopieert u de juiste URL('s) op basis van uw behoeften.

   

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
2. Blader naar Identiteitsgebruikers>>Alle gebruikers.
3. Selecteer Nieuwe gebruiker Nieuwe gebruiker> maken bovenaan het scherm.
4. Voer in de gebruikerseigenschappen de volgende stappen uit:
   1. Voer in het veld Weergavenaam de tekst in B.Simon.
   2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld B.Simon@contoso.com.
   3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord .
   4. Selecteer Beoordelen en maken.
5. Selecteer Maken.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door toegang te verlenen tot Kemp LoadMaster Microsoft Entra-integratie.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
2. Blader naar Identity>Applications Enterprise-toepassingen>>Kemp LoadMaster Microsoft Entra-integratie.
3. Selecteer gebruikers en groepen op de overzichtspagina van de app.
4. Selecteer Gebruiker/groep toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
   1. Selecteer B.Simon in het dialoogvenster Gebruikers en groepen in de lijst Gebruikers en klik vervolgens op de knop Selecteren onder aan het scherm.
   2. Als u verwacht dat een rol wordt toegewezen aan de gebruikers, kunt u deze selecteren in de vervolgkeuzelijst Een rol selecteren. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
   3. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen .

Eenmalige aanmelding voor Kemp LoadMaster Microsoft Entra Integration configureren

Publicerende webserver

Een virtuele service maken

1. Ga naar Kemp LoadMaster Microsoft Entra integration LoadMaster Web UI > Virtual Services > Add New.

2. Klik op Nieuw toevoegen.

3. Geef de parameters voor de virtuele service op.

   

   een. Virtueel adres

   b. Haven

   c. Servicenaam (optioneel)

   d. Protocol

4. Navigeer naar de sectie Real Servers.

5. Klik op Nieuwe toevoegen.

6. Geef de parameters voor de echte server op.

   

   een. Externe adressen toestaan selecteren

   b. Typ het adres van de echte server

   c. Haven

   d. Doorstuurmethode

   e. Gewicht

   f. Verbindingslimiet

   g. Klik op Deze echte server toevoegen

Certificaten en beveiliging

Certificaat importeren op Kemp LoadMaster Microsoft Entra-integratie

1. Ga naar Kemp LoadMaster Microsoft Entra integration Web Portal > Certificates & Security > SSL Certificates.

2. Onder Certificaatconfiguratie beheren > .

3. Klik op Certificaat importeren.

4. Geef de naam op van het bestand dat het certificaat bevat. Het bestand kan ook de persoonlijke sleutel bevatten. Als het bestand de persoonlijke sleutel niet bevat, moet ook het bestand met de persoonlijke sleutel worden opgegeven. Het certificaat kan zich in beide. PEM of . PFX-indeling (IIS).

5. Klik op Bestand kiezen in certificaatbestand.

6. Klik op Sleutelbestand (optioneel).

7. Klik op Opslaan.

SSL-versnelling

1. Ga naar Kemp LoadMaster Web UI > Virtual Services > View/Modify Services.

2. Klik in Wijzigen onder Bewerking.

3. Klik op SSL-eigenschappen (die werkt op Laag 7).

   

   een. Klik op Ingeschakeld in SSL-versnelling.

   b. Selecteer onder Beschikbare certificaten het geïmporteerde certificaat en klik op > het symbool.

   c. Zodra het gewenste SSL-certificaat wordt weergegeven in Toegewezen certificaten, klikt u op Certificaten instellen.

   Notitie

   Zorg ervoor dat u op de setcertificaten klikt.

Kemp LoadMaster Microsoft Entra integration SAML Profile

IdP-certificaat importeren

Ga naar Kemp LoadMaster Microsoft Entra Integration Web Console.

1. Klik op Tussenliggende certificaten onder Certificaten en Autoriteit.

   

   een. Klik op Bestand kiezen in Een nieuw tussenliggend certificaat toevoegen.

   b. Navigeer naar het certificaatbestand dat u eerder hebt gedownload van Microsoft Entra Enterprise Application.

   c. Klik op Openen.

   d. Geef een naam op in de certificaatnaam.

   e. Klik op Certificaat toevoegen.

Verificatiebeleid maken

Ga naar Eenmalige aanmelding beheren onder Virtual Services.

een. Klik op Toevoegen onder Nieuwe configuratie aan clientzijde toevoegen nadat u deze een naam hebt gegeven.

b. Selecteer SAML onder Authentication Protocol.

c. Selecteer MetaData-bestand onder IdP-inrichting.

d. Klik op Bestand kiezen.

e. Navigeer naar eerder gedownloade XML vanuit Azure Portal.

f. Klik op Openen en klik op IdP MetaData-bestand importeren.

g. Selecteer het tussenliggende certificaat in het IdP-certificaat.

h. Stel de SP-entiteits-id in die overeenkomt met de identiteit die is gemaakt in Azure Portal.

Ik. Klik op Sp-entiteits-id instellen.

Verificatie instellen

Op Kemp LoadMaster Microsoft Entra Integration Web Console.

1. Klik op Virtual Services.

2. Klik op Services weergeven/wijzigen.

3. Klik op Wijzigen en navigeer naar ESP-opties.

   

   een. Klik op ESP inschakelen.

   b. Selecteer SAML in de clientverificatiemodus.

   c. Selecteer eerder gemaakte verificatie aan de clientzijde in SSO-domein.

   d. Typ de hostnaam in Toegestane virtuele hosts en klik op Toegestane virtuele hosts instellen.

   e. Typ /* in toegestane virtuele mappen (op basis van toegangsvereisten) en klik op Toegestane mappen instellen.

De wijzigingen controleren

Blader naar de toepassings-URL.

U ziet nu de aanmeldingspagina van uw tenant in plaats van eerder niet-geverifieerde toegang.

Verificatie op basis van Kerberos configureren

Een Kerberos-delegatieaccount maken voor Kemp LoadMaster Microsoft Entra-integratie

1. Maak een gebruikersaccount (in dit voorbeeld AppDelegation).

   een. Selecteer het tabblad Kenmerkeditor.

   b. Navigeer naar servicePrincipalName.

   c. Selecteer servicePrincipalName en klik op Bewerken.

   d. Typ http/kcduser in het veld Waarde om het veld toe te voegen en klik op Toevoegen.

   e. Klik op Toepassen en OK. Het venster moet worden gesloten voordat u het opnieuw opent (om het nieuwe tabblad Delegering weer te geven).

2. Open het venster met gebruikerseigenschappen opnieuw en het tabblad Delegering is beschikbaar.

3. Selecteer het tabblad Delegatie.

   

   een. Selecteer Deze gebruiker alleen vertrouwen voor delegering naar opgegeven services.

   b. Selecteer Elk verificatieprotocol gebruiken.

   c. Voeg de echte servers toe en voeg http toe als de service.

   d. Schakel het selectievakje Uitgevouwen in.

   e. U kunt alle servers met zowel de hostnaam als de FQDN zien.

   f. Klik op OK.

Notitie

Stel de SPN in op de toepassing/website, indien van toepassing. Toegang krijgen tot de toepassing wanneer de identiteit van de groep van toepassingen is ingesteld. Als u toegang wilt krijgen tot de IIS-toepassing met behulp van de naam van de FQDN, gaat u naar de opdrachtprompt van Real Server en typt u SetSpn met de vereiste parameters. Bijvoorbeeld Setspn –S HTTP/sescoindc.sunehes.co.in suneshes\kdcuser.

Kemp LoadMaster Microsoft Entra integration KCD (Kerberos Delegation Accounts)

Ga naar Kemp LoadMaster Microsoft Entra integration Web Console > Virtual Services > Manage SSO.

een. Navigeer naar Single sign-on configuraties aan de serverzijde.

b. Typ de naam in Nieuwe configuratie aan de serverzijde toevoegen en klik op Toevoegen.

c. Selecteer Beperkte Kerberos-delegering in verificatieprotocol.

d. Typ domeinnaam in Kerberos Realm.

e. Klik op Kerberos-realm instellen.

f. Typ het IP-adres van de domeincontroller in het Kerberos-sleuteldistributiecentrum.

g. Klik op Kerberos KDC instellen.

h. Typ de KCD-gebruikersnaam in de vertrouwde Kerberos-gebruikersnaam.

Ik. Klik op Vertrouwde KDC-gebruikersnaam instellen.

j. Typ een wachtwoord in het wachtwoord van de vertrouwde kerberos-gebruiker.

k. Klik op Een vertrouwd KCD-gebruikerswachtwoord instellen.

Kemp LoadMaster Microsoft Entra integration ESP

Ga naar de weergave/wijzigingsservices van virtuele services > .

een. Klik op Wijzigen op de nicknaam van de virtuele service.

b. Klik op ESP-opties.

c. Selecteer KCD onder Serververificatiemodus.

d. Selecteer onder Configuratie aan serverzijde het eerder gemaakte profiel aan de serverzijde.

Testgebruiker voor Kemp LoadMaster Microsoft Entra Integration maken

In deze sectie maakt u een gebruiker met de naam B.Simon in Kemp LoadMaster Microsoft Entra Integration. Werk samen met het klantondersteuningsteam van Kemp LoadMaster Microsoft Entra integration om de gebruikers toe te voegen aan het Kemp LoadMaster Microsoft Entra integration platform. Gebruikers moeten worden gemaakt en geactiveerd voordat u eenmalige aanmelding gebruikt.

Eenmalige aanmelding testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

• Klik op Deze toepassing testen en u wordt automatisch aangemeld bij de kemp LoadMaster Microsoft Entra-integratie waarvoor u eenmalige aanmelding hebt ingesteld.

• U kunt Microsoft Mijn apps gebruiken. Wanneer u in de Mijn apps op de tegel Kemp LoadMaster Microsoft Entra Integration klikt, wordt u automatisch aangemeld bij de azure-integratie van Kemp LoadMaster Microsoft Entra waarvoor u eenmalige aanmelding hebt ingesteld. Zie Inleiding tot de Mijn apps voor meer informatie over de Mijn apps.

Volgende stappen

Zodra u Kemp LoadMaster Microsoft Entra-integratie hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.