Samouczek: integracja usługi Microsoft Entra SSO z aplikacją Kion (wcześniej cloudtamer.io)
Z tego samouczka dowiesz się, jak zintegrować aplikację Kion z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji Kion z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:
- Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do Kion.
- Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Kion przy użyciu kont Microsoft Entra.
- Zarządzaj kontami w jednej centralnej lokalizacji.
Wymagania wstępne
Do rozpoczęcia pracy potrzebne są następujące elementy:
- Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
- Subskrypcja aplikacji Kion z obsługą logowania jednokrotnego.
Opis scenariusza
W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.
- Rozwiązanie Kion obsługuje logowanie jednokrotne inicjowane przez dostawcę tożsamości.
- Rozwiązanie Kion obsługuje aprowizowanie użytkowników just in time .
Dodawanie aplikacji Kion (dawniej cloudtamer.io) z galerii
Aby skonfigurować integrację aplikacji Kion z identyfikatorem Entra firmy Microsoft, należy dodać aplikację Kion z galerii do swojej listy zarządzanych aplikacji SaaS.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
- Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
- W sekcji Dodaj z galerii wpisz Kion w polu wyszukiwania.
- Wybierz pozycję Kion z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.
Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.
Konfigurowanie i testowanie logowania jednokrotnego microsoft Entra dla aplikacji Kion (wcześniej cloudtamer.io)
Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z aplikacją Kion przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji Kion.
Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft w aplikacji Kion, wykonaj następujące kroki:
- Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
- Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
- Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
- Skonfiguruj logowanie jednokrotne Kion — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
- Tworzenie użytkownika testowego aplikacji Kion — aby mieć w aplikacji Kion odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
- Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.
- Asercji grup — w celu ustawienia asercji grupowych dla identyfikatora Entra i Kion firmy Microsoft.
Rozpoczynanie konfiguracji logowania jednokrotnego Kion
Zaloguj się do witryny internetowej Kion jako administrator.
+ Kliknij ikonę znaku plus w prawym górnym rogu i wybierz pozycję IDMS.
Wybierz pozycję SAML 2.0 jako typ IDMS.
Pozostaw ten ekran otwarty i skopiuj wartości z tego ekranu do konfiguracji firmy Microsoft Entra.
Konfigurowanie logowania jednokrotnego firmy Microsoft
Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do aplikacji >dla przedsiębiorstw Aplikacji dla>>przedsiębiorstw Kion>— logowanie jednokrotne.
Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.
W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące czynności:
a. W polu tekstowym Identyfikator wklej w polu Kion wystawcę dostawcy usług (identyfikator jednostki).
b. W polu tekstowym Adres URL odpowiedzi wklej adres URL usługi ACS dostawcy usług z lokalizacji Kion w tym polu.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.
W sekcji Konfigurowanie aplikacji Kion skopiuj odpowiednie adresy URL na podstawie wymagań.
Tworzenie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
- Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
- Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
- We właściwościach użytkownika wykonaj następujące kroki:
- W polu Nazwa wyświetlana wprowadź wartość
B.Simon
. - W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład
B.Simon@contoso.com
. - Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
- Wybierz pozycję Przejrzyj i utwórz.
- W polu Nazwa wyświetlana wprowadź wartość
- Wybierz pozycję Utwórz.
Przypisywanie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji Kion.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
- Przejdź do aplikacji tożsamości>dla>przedsiębiorstw>Kion.
- Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
- Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
- W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
- Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
- W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.
Konfigurowanie logowania jednokrotnego Kion
Wykonaj następujące kroki na stronie Dodawanie usługi IDMS :
a. W polu IdMS Name (Nazwa usługi IDMS) nadaj nazwę, którą użytkownicy rozpoznają na ekranie logowania.
b. W polu tekstowym IDENTITY PROVIDER ISSUER (ENTITY ID) (WYSTAWCA DOSTAWCY TOŻSAMOŚCI (IDENTYFIKATOR JEDNOSTKI) wklej wartość identyfikatora skopiowaną wcześniej.
c. Otwórz pobrany kod XML metadanych federacji w Notatnik i wklej zawartość w polu tekstowym IDENTITY PROVIDER METADATA (METADANE DOSTAWCY TOŻSAMOŚCI).
d. Skopiuj wartość WYSTAWCY DOSTAWCY USŁUG (IDENTYFIKATOR JEDNOSTKI), wklej tę wartość w polu tekstowym Identyfikator w sekcji Podstawowa konfiguracja PROTOKOŁU SAML.
e. Skopiuj wartość ADRESU URL USŁUGI ACS, wklej tę wartość w polu tekstowym Adres URL odpowiedzi w sekcji Podstawowa konfiguracja PROTOKOŁU SAML.
f. W obszarze Mapowanie asercji wprowadź następujące wartości:
Pole Wartość Imię http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Nazwisko http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Username http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Kliknij pozycję Utwórz maszyny IDM.
Tworzenie użytkownika testowego aplikacji Kion
W tej sekcji w aplikacji Kion jest tworzony użytkownik o nazwie Britta Simon. Rozwiązanie Kion obsługuje aprowizację użytkowników typu just in time, która jest domyślnie włączona. W tej sekcji nie musisz niczego robić. Jeśli użytkownik jeszcze nie istnieje w usłudze Kion, zostanie utworzony po uwierzytelnieniu.
Testowanie logowania jednokrotnego
W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.
Kliknij pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do aplikacji Kion, dla której skonfigurowano logowanie jednokrotne.
Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Kion w Moje aplikacje powinno nastąpić automatyczne zalogowanie do aplikacji Kion, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji, zobacz Microsoft Entra Moje aplikacje.
Asercji grup
Aby łatwo zarządzać uprawnieniami użytkownika Kion przy użyciu istniejących grup firmy Microsoft Entra, wykonaj następujące kroki:
Konfiguracja usługi Microsoft Entra
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
- Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
- Na liście wybierz aplikację dla przedsiębiorstw dla aplikacji Kion.
- W obszarze Przegląd w menu po lewej stronie wybierz pozycję Logowanie jednokrotne.
- Po zalogowaniu jednokrotnym w obszarze Atrybuty użytkownika i oświadczenia wybierz pozycję Edytuj.
- Wybierz pozycję Dodaj oświadczenie grupy.
Uwaga
Można mieć tylko jedno oświadczenie grupy. Jeśli ta opcja jest wyłączona, być może masz już zdefiniowane oświadczenie grupy.
- W obszarze Oświadczenia grupy wybierz grupy, które mają zostać zwrócone w oświadczeniu:
- Jeśli zawsze będziesz mieć każdą grupę, której zamierzasz używać w aplikacji Kion przypisanej do tej aplikacji dla przedsiębiorstw, wybierz pozycję Grupy przypisane do aplikacji.
- Jeśli chcesz, aby wszystkie grupy zostały wyświetlone (ten wybór może spowodować dużą liczbę asercji grup i może podlegać limitom), wybierz pozycję Grupy przypisane do aplikacji.
- W polu Atrybut źródłowy pozostaw domyślny identyfikator grupy.
- Zaznacz pole wyboru Dostosuj nazwę oświadczenia grupy.
- W polu Nazwa wprowadź wartość memberOf.
- Wybierz pozycję Zapisz , aby ukończyć konfigurację przy użyciu identyfikatora Entra firmy Microsoft.
Konfiguracja Kion
- W aplikacji Kion przejdź do pozycji Systemy zarządzania tożsamościami użytkowników>.
- Wybierz identyfikator IDMS utworzony dla identyfikatora Entra firmy Microsoft.
- Na stronie przeglądu wybierz kartę Skojarzenia grup użytkowników.
- Dla każdego mapowania grupy użytkowników, które chcesz wykonać, wykonaj następujące kroki:
- Wybierz pozycję Dodaj>nowy.
- W wyświetlonym oknie dialogowym:
- W polu Nazwa wprowadź wartość memberOf.
- W polu Regex wprowadź identyfikator obiektu (z identyfikatora Firmy Microsoft Entra) grupy, którą chcesz dopasować.
- W obszarze Grupa użytkowników wybierz grupę wewnętrzną Kion, którą chcesz zamapować na grupę w regex.
- Zaznacz pole wyboru Aktualizuj przy logowaniu.
- Wybierz pozycję Dodaj , aby dodać skojarzenie grupy.
Następne kroki
Po skonfigurowaniu platformy Kion możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Cloud App Security.