Konfigurowanie serwera proxy dostępu do usługi Datawiza dla usługi Microsoft Entra SSO i MFA dla programu Outlook Web Access

Z tego samouczka dowiesz się, jak skonfigurować serwer proxy dostępu do usługi Datawiza Access (DAP), aby włączyć logowanie jednokrotne (SSO) firmy Microsoft i uwierzytelnianie wieloskładnikowe firmy Microsoft dla programu Outlook Web Access (OWA). Pomoc w rozwiązywaniu problemów, gdy nowoczesne dostawcy tożsamości (IdPs) integrują się ze starszą wersją OWA, która obsługuje uwierzytelnianie tokenu Kerberos w celu zidentyfikowania użytkowników.

Często starsze aplikacje i nowoczesna integracja z logowaniem jednokrotnym stanowią wyzwanie, ponieważ nie ma nowoczesnej obsługi protokołów. Serwer proxy dostępu do usługi Datawiza usuwa lukę obsługi protokołu, zmniejsza obciążenie związane z integracją i zwiększa bezpieczeństwo aplikacji.

Korzyści z integracji:

• Ulepszono zabezpieczenia zerowego zaufania przy użyciu logowania jednokrotnego, uwierzytelniania wieloskładnikowego i dostępu warunkowego:
  • Zobacz: Obsługa proaktywnych zabezpieczeń za pomocą rozwiązania Zero Trust
  • Zobacz Co to jest dostęp warunkowy?
• Brak integracji kodu z usługą Microsoft Entra ID i aplikacjami internetowymi:
  • OWA
  • Oracle JD Edwards
  • Oracle E-Business Suite
  • Oracle Siebel
  • Oracle PeopleSoft
  • Twoje aplikacje
  • Zobacz, Łatwe uwierzytelnianie i autoryzacja w identyfikatorze Entra firmy Microsoft bez kodu Datawiza
• Za pomocą konsoli zarządzania chmurą (DCMC) usługi Datawiza Cloud Management Console (DCMC) można zarządzać dostępem do aplikacji w chmurze i lokalnych:
  • Przejdź do login.datawizwa.com , aby zalogować się lub zarejestrować się na koncie

Architektura

Architektura integracji języka DAP obejmuje następujące składniki:

• Microsoft Entra ID — usługa zarządzania tożsamościami i dostępem, która pomaga użytkownikom logować się i uzyskiwać dostęp do zasobów zewnętrznych i wewnętrznych
• OWA — starszy składnik programu Exchange Server, który ma być chroniony przez identyfikator Entra firmy Microsoft
• Kontroler domeny — serwer zarządzający uwierzytelnianiem użytkowników i dostępem do zasobów sieciowych w sieci opartej na systemie Windows
• Centrum dystrybucji kluczy (KDC) — dystrybuuje klucze tajne i bilety oraz zarządza nimi w systemie uwierzytelniania Kerberos
• DAP — zwrotny serwer proxy, który implementuje protokół OpenID Connect (OIDC), OAuth lub Security Assertion Markup Language (SAML) na potrzeby logowania użytkownika. Język DAP integruje się z chronionymi aplikacjami przy użyciu:
  • Nagłówki HTTP
  • Kerberos
  • Token internetowy JSON (JWT)
  • inne protokoły
• DCMC — konsola zarządzania języka DAP z interfejsami użytkownika i interfejsami API RESTful do zarządzania konfiguracjami i zasadami kontroli dostępu

Na poniższym diagramie przedstawiono przepływ użytkownika z językiem DAP w sieci klienta.

Na poniższym diagramie przedstawiono przepływ użytkownika z przeglądarki użytkownika do aplikacji OWA.

1. Przeglądarka użytkownika żąda dostępu do chronionej przez dostawcę daP OWA.
2. Przeglądarka użytkownika jest kierowana do identyfikatora Entra firmy Microsoft.
3. Zostanie wyświetlona strona logowania microsoft Entra.
4. Użytkownik wprowadza poświadczenia.
5. Po uwierzytelnieniu przeglądarka użytkownika jest kierowana do języka DAP.
6. Tokeny wymiany daP i Microsoft Entra ID.
7. Identyfikator entra firmy Microsoft wystawia nazwę użytkownika i istotne informacje dotyczące dostawcy dap.
8. DaP uzyskuje dostęp do centrum dystrybucji kluczy (KDC) przy użyciu poświadczeń. DaP żąda biletu protokołu Kerberos.
9. Centrum dystrybucji kluczy zwraca bilet protokołu Kerberos.
10. DaP przekierowuje przeglądarkę użytkownika do aplikacji OWA.
11. Zostanie wyświetlony zasób OWA.|

Uwaga

Kolejne żądania przeglądarki użytkownika zawierają token Protokołu Kerberos, który umożliwia dostęp do aplikacji OWA za pośrednictwem języka DAP.

Wymagania wstępne

Potrzebne są następujące składniki. Wcześniejsze doświadczenie języka DAP nie jest konieczne.

• Konto platformy Azure
  • Jeśli go nie masz, uzyskaj bezpłatne konto platformy Azure
• Dzierżawa firmy Microsoft Entra połączona z kontem platformy Azure
  • Zobacz Szybki start: tworzenie nowej dzierżawy w usłudze Microsoft Entra ID
• Docker i Docker Compose są wymagane do uruchomienia języka DAP
  • Zobacz Get Docker ( Pobierz platformę Docker)
  • Zobacz Instalowanie narzędzia Docker Compose, omówienie
• Tożsamości użytkowników synchronizowane z katalogu lokalnego do identyfikatora Entra firmy Microsoft lub utworzone w usłudze Microsoft Entra ID i przepływane z powrotem do katalogu lokalnego
  • Zobacz: Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji
• Konto z uprawnieniami administratora aplikacji firmy Microsoft Entra
  • Zobacz, Administrator aplikacji i inne role w usłudze Microsoft Entra wbudowane role
• Środowisko programu Exchange Server. Obsługiwane wersje:
  • Zintegrowane uwierzytelnianie systemu Windows (IWA) w usługach Microsoft Internet Information Services (IIS) — iis 7 lub nowszy
  • Microsoft OWA IWA — usługi IIS 7 lub nowsze
• Wystąpienie systemu Windows Server skonfigurowane przy użyciu usług IIS i Microsoft Entra działających jako kontroler domeny (DC) i implementowanie logowania jednokrotnego Protokołu Kerberos (IWA)
  • Nietypowe jest to, że duże środowiska produkcyjne mają serwer aplikacji (IIS), który działa również jako kontroler domeny.
• Opcjonalnie: certyfikat sieci Web SSL do publikowania usług za pośrednictwem protokołu HTTPS lub certyfikatów z podpisem własnym języka DAP na potrzeby testowania.

Włączanie uwierzytelniania Kerberos dla usługi OWA

1. Zaloguj się do centrum administracyjnego programu Exchange.

2. W centrum administracyjnym programu Exchange po lewej stronie wybierz pozycję Serwery.

3. Wybierz kartę Katalogi wirtualne.

   

4. Z listy rozwijanej wybierz serwer.

5. Kliknij dwukrotnie pozycję owa (domyślna witryna sieci Web).

6. W katalogu wirtualnym wybierz kartę uwierzytelnianie.

7. Na karcie uwierzytelnianie wybierz pozycję Użyj co najmniej jednej standardowej metody uwierzytelniania, a następnie wybierz pozycję Zintegrowane uwierzytelnianie systemu Windows.

8. Wybierz pozycję Zapisz

   

9. Otwórz wiersz polecenia.

10. Wykonaj polecenie iisreset.

    

Tworzenie konta usługi DAP

DaP wymaga znanych poświadczeń systemu Windows używanych przez wystąpienie do konfigurowania usługi Kerberos. Użytkownik jest kontem usługi DAP.

1. Zaloguj się do wystąpienia systemu Windows Server.

2. Wybierz pozycję Użytkownicy i komputery.

3. Wybierz strzałkę w dół wystąpienia języka DAP. Przykładem jest datawizatest.com.

4. Na liście kliknij prawym przyciskiem myszy pozycję Użytkownicy.

5. Z menu wybierz pozycję Nowy, a następnie wybierz pozycję Użytkownik.

6. W obszarze Nowy obiekt —użytkownik wprowadź imię i nazwisko.

7. W polu Nazwa logowania użytkownika wprowadź wartość dap.

8. Wybierz Dalej.

   

9. W polu Hasło wprowadź hasło.

10. Wprowadź go ponownie w obszarze Potwierdź.

11. Zaznacz pola wyboru Użytkownik nie może zmienić hasła , a hasło nigdy nie wygasa.

    

12. Wybierz Dalej.

13. Kliknij prawym przyciskiem myszy nowego użytkownika, aby wyświetlić skonfigurowane właściwości.

Tworzenie nazwy głównej usługi dla konta usługi

Przed utworzeniem głównej nazwy usługi (SPN) można wyświetlić listę nazw SPN i potwierdzić, że nazwa SPN http jest wśród nich.

1. Aby wyświetlić listę nazw SPN, użyj następującej składni w wierszu polecenia systemu Windows.

   setspn -Q \*/\<**domain.com**

2. Upewnij się, że nazwa SPN http znajduje się wśród nich.

3. Aby zarejestrować nazwę SPN hosta dla konta, użyj następującej składni w wierszu polecenia systemu Windows.

   setspn -A host/dap.datawizatest.com dap

Uwaga

host/dap.datawizatest.com to unikatowa nazwa SPN, a dap to utworzone konto usługi.

Konfigurowanie usług IIS systemu Windows Server dla ograniczonego delegowania

1. Zaloguj się do kontrolera domeny (DC).

2. Wybierz pozycję Użytkownicy i komputery.

3. W organizacji znajdź i wybierz obiekt Użytkownicy .

4. Znajdź utworzone konto usługi.

5. Kliknij prawym przyciskiem myszy konto.

6. Z listy wybierz pozycję Właściwości.

7. Wybierz kartę Delegowanie .

8. Wybierz pozycję Ufaj temu użytkownikowi w delegowaniu tylko do określonych usług.

9. Wybierz pozycję Użyj dowolnego protokołu uwierzytelniania.

10. Wybierz Dodaj.

    

11. W obszarze Dodawanie usług wybierz pozycję Użytkownicy lub komputery.

    

12. W polu Wprowadź nazwy obiektów do wybrania wpisz nazwę maszyny.

13. Wybierz OK

    

14. W obszarze Dodawanie usług w obszarze Dostępne usługi w obszarze Typ usługi wybierz pozycję http.

15. Wybierz OK

    

Integrowanie aplikacji OWA z identyfikatorem Entra firmy Microsoft

Skorzystaj z poniższych instrukcji, aby zintegrować aplikację OWA z usługą Microsoft Entra ID.

1. Zaloguj się do konsoli zarządzania chmurą w usłudze Datawiza (DCMC).

2. Zostanie wyświetlona strona powitalna.

3. Wybierz pomarańczowy przycisk Wprowadzenie .

   

Nazwa wdrożenia

1. W polu Nazwa wdrożenia wpisz nazwę i opis.

2. Wybierz Dalej.

   

Dodaj aplikację

1. W obszarze Dodaj aplikację w polu Platforma wybierz pozycję Sieć Web.

2. W polu Nazwa aplikacji wprowadź nazwę aplikacji. Zalecamy zrozumiałą konwencję nazewnictwa.

3. W polu Domena publiczna wprowadź zewnętrzny adres URL aplikacji. Na przykład https://external.example.com. Do testowania użyj serwera nazw domen localhost (DNS).

4. W polu Port nasłuchiwania wprowadź port DAP nasłuchuje. Jeśli usługa DAP nie została wdrożona za modułem równoważenia obciążenia, możesz użyć portu wskazanego w domenie publicznej.

5. W przypadku serwerów nadrzędnych wprowadź kombinację adresów URL i portów implementacji OWA.

6. Wybierz Dalej.

   

Konfigurowanie dostawcy tożsamości

Funkcje integracji DCMC ułatwiają ukończenie konfiguracji usługi Microsoft Entra. Zamiast tego kontroler DCMC wywołuje interfejs API programu Microsoft Graph w celu wykonania zadań. Funkcja skraca czas, nakład pracy i błędy.

1. W obszarze Konfigurowanie dostawcy tożsamości wprowadź nazwę.

2. W polu Protokół wybierz pozycję OIDC.

3. W polu Identity Provider (Dostawca tożsamości) wybierz pozycję Microsoft Entra ID (Identyfikator entra firmy Microsoft).

4. Włącz generator automatyczny.

5. W obszarze Obsługiwane typy kont wybierz pozycję Konto w tym katalogu organizacyjnym (tylko jedna dzierżawa).

6. Wybierz pozycję Utwórz.

7. Zostanie wyświetlona strona z krokami wdrażania dla języka DAP i aplikacji.

8. Zobacz plik Docker Compose wdrożenia, który zawiera obraz języka DAP, również PROVISIONING_KEY i PROVISIONING_SECRET. Język DAP używa kluczy do ściągania najnowszej konfiguracji i zasad kontrolera DCMC.

Konfigurowanie protokołu Kerberos

1. Na stronie aplikacji wybierz pozycję Szczegóły aplikacji.

2. Wybierz kartę Zaawansowane.

3. Na karcie podrzędnej Kerberos włącz protokół Kerberos.

4. W obszarze Kerberos wprowadź lokalizację, w której jest przechowywana baza danych Kerberos lub domena.

5. W polu NAZWA SPN wprowadź nazwę główną usługi aplikacji OWA. Nie jest to ta sama nazwa SPN, która została utworzona.

6. W polu Tożsamość logowania delegowanego wprowadź adres URL aplikacji dostępny na zewnątrz. Do testowania użyj systemu DNS hosta lokalnego.

7. W przypadku centrum dystrybucji kluczy wprowadź adres IP kontrolera domeny. Jeśli skonfigurowano usługę DNS, wprowadź w pełni kwalifikowaną nazwę domeny (FQDN).

8. W polu Konto usługi wprowadź utworzone konto usługi.

9. W polu Typ uwierzytelniania wybierz pozycję Hasło.

10. Wprowadź hasło konta usługi.

11. Wybierz pozycję Zapisz.

    

Konfiguracja protokołu SSL

1. Na stronie aplikacji wybierz kartę Zaawansowane .

2. Wybierz podtabę SSL .

3. Zaznacz Edytuj.

   

4. Wybierz opcję Włącz protokół SSL.

5. W obszarze Typ certyfikatu wybierz typ certyfikatu. Do testowania można użyć dostarczonego certyfikatu localhost z podpisem własnym.

   

6. Wybierz pozycję Zapisz.

Opcjonalnie: Włączanie uwierzytelniania wieloskładnikowego firmy Microsoft

Aby zapewnić więcej zabezpieczeń logowania, możesz wymusić uwierzytelnianie wieloskładnikowe firmy Microsoft. Proces rozpoczyna się w centrum administracyjnym firmy Microsoft Entra.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator aplikacji.
2. Przejdź do karty Właściwości przeglądu>tożsamości.>
3. W obszarze Ustawienia domyślne zabezpieczeń wybierz pozycję Zarządzaj ustawieniami domyślnymi zabezpieczeń.
4. W okienku Ustawienia domyślne zabezpieczeń przełącz menu rozwijane, aby wybrać pozycję Włączone.
5. Wybierz pozycję Zapisz.

Następne kroki

• Włączanie logowania jednokrotnego i uwierzytelniania wieloskładnikowego dla usługi Oracle JD Edwards przy użyciu identyfikatora Entra firmy Microsoft za pośrednictwem usługi Datawiza
• Konfigurowanie bezpiecznego dostępu hybrydowego przy użyciu usługi Microsoft Entra ID i Datawiza
• Przejdź do docs.datawiza.com przewodników użytkownika usługi Datawiza