Delen via

Zelfstudie: Azure Active Directory B2C configureren met Datawiza om beveiligde hybride toegang te bieden

  • Artikel

In deze zelfstudie leert u hoe u Azure Active Directory B2C (Azure AD B2C) kunt integreren met Datawiza Access Proxy (DAP), waarmee eenmalige aanmelding (SSO) en gedetailleerd toegangsbeheer mogelijk zijn, zodat Azure AD B2C on-premises oudere toepassingen kunt beveiligen. Met deze oplossing kunnen ondernemingen overstappen van verouderd naar Azure AD B2C zonder toepassingen opnieuw te schrijven.

Vereisten

U hebt u het volgende nodig om aan de slag te gaan:

  • Een Microsoft Entra-abonnement
  • Een Azure AD B2C-tenant die is gekoppeld aan uw Azure-abonnement
  • Docker, een open platform voor het ontwikkelen, verzenden en uitvoeren van toepassingen, is vereist voor het uitvoeren van DAB
    • Uw toepassingen kunnen worden uitgevoerd op platforms zoals virtuele machines en bare-metalcomputers
  • Een on-premises toepassing om over te stappen van een verouderd identiteitssysteem naar Azure AD B2C
    • In deze zelfstudie wordt DAB geïmplementeerd op dezelfde server als de toepassing
    • De toepassing wordt uitgevoerd op localhost: 3001 en DAP-proxyverkeer naar toepassingen via localhost: 9772
    • Het toepassingsverkeer bereikt eerst DAB en wordt vervolgens naar de toepassing geproxied

Scenariobeschrijving

Datawiza-integratie bevat de volgende onderdelen:

  • Azure AD B2C: de autorisatieserver om gebruikersreferenties te verifiëren
    • Geverifieerde gebruikers hebben toegang tot on-premises toepassingen met behulp van een lokaal account dat is opgeslagen in de Azure AD B2C-directory
  • Datawiza Access Proxy (DAP): de service die identiteit doorgeeft aan toepassingen via HTTP-headers
  • Datawiza Cloud Management Console (DCMC):een beheerconsole voor DAB. DCMC UI en RESTful API's helpen bij het beheren van DAB-configuraties en toegangsbeheerbeleid

In het volgende architectuurdiagram wordt de implementatie weergegeven.

Diagram van de architectuur van een Azure AD B2C-integratie met Datawiza voor beveiligde toegang tot hybride toepassingen.

  1. De gebruiker vraagt toegang tot een on-premises toepassing. DAB proxyt de aanvraag voor de toepassing.
  2. DAP controleert de verificatiestatus van de gebruiker. Zonder sessietoken of een ongeldig token gaat de gebruiker naar Azure AD B2C voor verificatie.
  3. Azure AD B2C verzendt de gebruikersaanvraag naar het eindpunt dat is opgegeven tijdens de DAP-registratie in de Azure AD B2C-tenant.
  4. De DAP evalueert toegangsbeleid en berekent kenmerkwaarden in HTTP-headers die worden doorgestuurd naar de toepassing. De DAP kan de id-provider (IdP) aanroepen om informatie op te halen om de headerwaarden in te stellen. De DAP stelt de headerwaarden in en verzendt de aanvraag naar de toepassing.
  5. De gebruiker wordt geverifieerd met toegang tot de toepassing.

Onboarden met Datawiza

Neem contact op met Datawiza om uw verouderde on-premises app te integreren met Azure AD B2C.

Configureer uw Azure AD B2C-tenant

Ga naar docs.datawiza.com om het volgende te doen:

  1. Meer informatie over het registreren van uw webtoepassing in een Azure AD B2C-tenant en het configureren van een gebruikersstroom voor registratie en aanmelding. Zie Azure AD B2C voor meer informatie.

  2. Configureer een gebruikersstroom in de Azure Portal.

Notitie

Wanneer u DAB instelt in de DCM, hebt u de tenantnaam, de naam van de gebruikersstroom, de client-id en het clientgeheim nodig.

Een toepassing maken in DCMC

  1. Maak in DCMC een toepassing en genereer een sleutelpaar van PROVISIONING_KEY en PROVISIONING_SECRET voor deze toepassing. Zie Datawiza Cloud Management Console.

  2. Configureer IdP met Azure AD B2C. Zie Deel I: Azure AD B2C-configuratie.

    Schermopname van IdP-configuratiewaarden.

DAB uitvoeren met een op headers gebaseerde toepassing

U kunt Docker of Kubernetes gebruiken om DAP uit te voeren. Gebruik de Docker-installatiekopieën voor gebruikers om een voorbeeldtoepassing op basis van headers te maken.

Meer informatie: Zie Datawiza Access Proxy implementeren met uw app om DAP- en SSO-integratie te configureren

Er wordt een voorbeeld van een Docker-installatiekopieën docker-compose.yml file gegeven. Meld u aan bij het containerregister om DAP-installatiekopieën en de header-gebaseerde toepassing te downloaden.

  1. Implementeer Datawiza Access-proxy met uw app.

    version: '3'

services:
datawiza-access-broker:
image: registry.gitlab.com/datawiza/access-broker
container_name: datawiza-access-broker
restart: always
ports:
  - "9772:9772"
environment:
  PROVISIONING_KEY: #############################
  PROVISIONING_SECRET: #############################

header-based-app:
image: registry.gitlab.com/datawiza/header-based-app
container_name: ab-demo-header-app
restart: always
environment:
  CONNECTOR: B2C
ports:
  - "3001:3001"

  2. Voor de toepassing op basis van headers is eenmalige aanmelding ingeschakeld met Azure AD B2C.

  3. Open een browser en voer in http://localhost:9772/.

  4. Er wordt een Azure AD B2C-aanmeldingspagina weergegeven.

Geef de gebruikerskenmerken door aan de op headers gebaseerde toepassing

DAB haalt gebruikerskenmerken op van IdP en geeft deze door aan de toepassing met een header of cookie. Nadat u gebruikerskenmerken hebt geconfigureerd, wordt het groene vinkje weergegeven voor gebruikerskenmerken.

Schermopname van doorgegeven gebruikerskenmerken.

Meer informatie: Gebruikerskenmerken zoals e-mailadres, voornaam en achternaam doorgeven aan de toepassing op basis van headers.

De stroom testen

  1. Navigeer naar de on-premises toepassings-URL.
  2. De DAP wordt omgeleid naar de pagina die u hebt geconfigureerd in uw gebruikersstroom.
  3. Selecteer de IdP in de lijst.
  4. Voer bij de prompt uw referenties in. Neem indien nodig een Microsoft Entra token voor meervoudige verificatie op.
  5. U wordt omgeleid naar Azure AD B2C, die de toepassingsaanvraag doorstuurt naar de DAP-omleidings-URI.
  6. De DAB evalueert de beleidsregels, berekent de headers en verzendt de gebruiker naar de upstream-toepassing.
  7. De aangevraagde toepassing wordt weergegeven.

Volgende stappen