SURFsecureID configureren - Azure MFA voor eenmalige aanmelding met Microsoft Entra-id

2025-05-20

In dit artikel leert u hoe u SURFsecureID - Azure MFA integreert met Microsoft Entra ID. Wanneer u SURFsecureID - Azure MFA integreert met Microsoft Entra ID, kunt u het volgende doen:

In Microsoft Entra ID beheren wie toegang heeft tot SURFsecureID - Azure MFA.
Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij SURFsecureID - Azure MFA.
Beheer uw accounts op één centrale locatie.

Voorwaarden

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u nog geen account hebt, kunt u gratis een account maken.
Een van de volgende rollen:

Een abonnement op SURFsecureID - Azure MFA met ingeschakelde Single Sign-on (SSO).

Beschrijving van scenario

In dit artikel configureert en test u Microsoft Entra Single Sign-On (SSO) in een testomgeving.

SURFsecureID - Azure MFA ondersteunt door SP geïnitieerde Single Sign-On.

Notitie

De id van deze toepassing is een vaste tekenreekswaarde, zodat slechts één exemplaar in één tenant kan worden geconfigureerd.

SURFsecureID - Azure MFA toevoegen vanuit de galerie

Voor het configureren van de integratie van SURFsecureID - Azure MFA in Microsoft Entra ID moet u SURFsecureID - Azure MFA vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

Meld u aan bij het Microsoft Entra-beheercentrum als minstens een Cloudtoepassingsbeheerder.
Blader naar Entra ID>Enterprise-apps>Nieuwe toepassing.
Typ SURFsecureID - Azure MFA in het zoekvak in de sectie Toevoegen uit de galerie.
Selecteer SURFsecureID - Azure MFA in het resultatenvenster en voeg vervolgens de app toe. Wacht enkele seconden terwijl de app aan uw tenant wordt toegevoegd.

U kunt ook de Enterprise App Configuration-wizard gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Single Sign-On van Microsoft Entra configureren en testen voor SURFsecureID - Azure MFA

Stel Microsoft Entra SSO in en test het met SURFsecureID - Azure MFA met behulp van een testgebruiker genaamd B.Simon. Single Sign-On (SSO) werkt alleen als u een koppeling tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in SURFsecureID - Azure MFA.

Voer de volgende stappen uit om Microsoft Entra SSO met SURFsecureID - Azure MFA te configureren en te testen:

Configureer eenmalige aanmelding van Microsoft Entra - zodat uw gebruikers deze functie kunnen gebruiken.
1. Een Microsoft Entra-testgebruiker maken : eenmalige aanmelding van Microsoft Entra testen met B.Simon.
2. Wijs de Microsoft Entra-testgebruiker toe om B.Simon in staat te stellen eenmalige aanmelding van Microsoft Entra te gebruiken.
Configureer SURFsecureID - Azure MFA SSO : als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
1. Maak SURFsecureID - Azure MFA-testgebruiker : als u een tegenhanger van B.Simon in SURFsecureID - Azure MFA wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
Eenmalige aanmelding testen : om te controleren of de configuratie werkt.

SSO voor Microsoft Entra configureren

Volg deze stappen om Single Sign-On (SSO) voor Microsoft Entra in te schakelen.

Meld u aan bij het Microsoft Entra-beheercentrum als minstens een Cloudtoepassingsbeheerder.
Blader naar Entra ID>Enterprise apps>SURFsecureID - Azure MFA>Single sign-on.
Selecteer SAML op de pagina Een methode voor eenmalige aanmelding selecteren.
Selecteer op de pagina Eenmalige aanmelding instellen met SAML het potloodpictogram voor Standaard SAML-configuratie om de instellingen te bewerken.
Voer in de sectie Standaard SAML-configuratie de volgende stappen uit:

een. Typ in het tekstvak Id (Entiteits-id) een van de volgende URL's:

Milieu URL

Voorbereiding https://azuremfa.test.surfconext.nl/saml/metadata

Productie https://azuremfa.surfconext.nl/saml/metadata

b. Typ een van de volgende URL's in het tekstvak Antwoord-URL :

Milieu URL

Voorbereiding https://azuremfa.test.surfconext.nl/saml/acs

Productie https://azuremfa.surfconext.nl/saml/acs

b. Typ in het tekstvak Aanmeldings-URL een van de volgende URL's:

Milieu URL

Voorbereiding https://sa.test.surfconext.nl

Productie https://sa.surfconext.nl
SURFsecureID - In de Azure MFA-toepassing worden de SAML-asserties in een specifieke indeling verwacht. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie van uw SAML-tokenkenmerken. In de volgende schermopname ziet u de lijst met standaardkenmerken.
Bovendien verwacht de toepassing SURFsecureID - Azure MFA dat er nog enkele extra attributen worden meegegeven in het SAML-antwoord, zoals hieronder weergegeven. Deze kenmerken zijn ook vooraf ingevuld, maar u kunt ze controleren op basis van uw vereisten.

Naam Bronkenmerk

urn:mace:dir:attribute-def:mail gebruiker.mail
Selecteer op de pagina Eenmalige aanmelding instellen met SAML in de sectie SAML-handtekeningcertificaat de knop Kopiëren om de URL voor federatieve metagegevens van de app te kopiëren en op uw computer op te slaan.

Milieu	URL
Voorbereiding	`https://azuremfa.test.surfconext.nl/saml/metadata`
Productie	`https://azuremfa.surfconext.nl/saml/metadata`

Milieu	URL
Voorbereiding	`https://azuremfa.test.surfconext.nl/saml/acs`
Productie	`https://azuremfa.surfconext.nl/saml/acs`

Milieu	URL
Voorbereiding	`https://sa.test.surfconext.nl`
Productie	`https://sa.surfconext.nl`

Naam	Bronkenmerk
urn:mace:dir:attribute-def:mail	gebruiker.mail

Microsoft Entra-testgebruiker maken en toewijzen

Volg de richtlijnen in de quickstart voor het maken en toewijzen van een gebruikersaccount om een testgebruikersaccount met de naam B.Simon te maken.

SURFsecureID configureren - Azure MFA SSO

Als u eenmalige aanmelding aan de zijde van SURFsecureID - Azure MFA wilt configureren, moet u de APP-URL voor federatieve metagegevens verzenden naar het ondersteuningsteam van SURFsecureID - Azure MFA. Ze stellen deze instelling zo in dat de SAML SSO-verbinding aan beide zijden correct is ingesteld.

SURFsecureID maken - Azure MFA-testgebruiker

In deze sectie maakt u een gebruiker met de naam Britta Simon in SURFsecureID - Azure MFA. Werk samen met het ondersteuningsteam van SURFsecureID - Azure MFA om de gebruikers toe te voegen in het SURFsecureID - Azure MFA-platform. Gebruikers moeten worden gemaakt en geactiveerd voordat u eenmalige aanmelding gebruikt.

SSO testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

Selecteer Deze toepassing testen. Deze optie wordt omgeleid naar SURFsecureID - Aanmeldings-URL van Azure MFA, waar u de aanmeldingsstroom kunt initiëren.
Ga rechtstreeks naar de aanmeldings-URL van SURFsecureID - Azure MFA en initieer daar de aanmeldingsstroom.
U kunt Microsoft Mijn apps gebruiken. Wanneer u de tegel SURFsecureID - Azure MFA selecteert in Mijn apps, wordt deze optie omgeleid naar de aanmeldings-URL van SURFsecureID - Azure MFA. Zie Microsoft Entra My Apps voor meer informatie.

Zodra u SURFsecureID - Azure MFA hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.