Integracja Microsoft Entra SSO z Envoy

Z tego artykułu dowiesz się, jak zintegrować aplikację Envoy z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji Envoy z usługą Microsoft Entra ID można wykonywać następujące czynności:

• Kontroluj w Microsoft Entra ID, kto ma dostęp do Envoy.
• Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Envoy przy użyciu kont Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

• Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
• Jedna z następujących ról:
  • Administrator aplikacji
  • Administrator aplikacji w chmurze
  • właściciel aplikacji.

• Subskrypcja aplikacji Envoy z obsługą logowania jednokrotnego.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz SSO Microsoft Entra w środowisku testowym.

• Aplikacja Envoy obsługuje jednolite logowanie inicjowane SP.

• Aplikacja Envoy obsługuje aprowizowanie użytkowników Just-in-Time.

• Aplikacja Envoy obsługuje automatyczne przydzielanie użytkowników .

Uwaga

Identyfikator tej aplikacji ma stałą wartość tekstową, więc w jednym tenancie można skonfigurować tylko jedno wystąpienie.

Dodawanie aplikacji Envoy z galerii

Aby skonfigurować integrację aplikacji Envoy z usługą Microsoft Entra ID, musisz dodać aplikację Envoy z galerii do swojej listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.
2. Przejdź do Identity>Aplikacje>Aplikacje korporacyjne>Nowa aplikacja.
3. W sekcji Dodaj z galerii wpisz Envoy w polu wyszukiwania.
4. Wybierz pozycję Envoy z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do Twojego tenanta.

Możesz również użyć Kreatora konfiguracji aplikacji Enterprise. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o narzędziach Microsoft 365.

Konfiguracja i testowanie Microsoft Entra SSO dla Envoy

Skonfiguruj i przetestuj logowanie jednokrotnego dostępu Microsoft Entra z aplikacją Envoy, używając użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji Envoy.

Aby skonfigurować i przetestować Microsoft Entra SSO z Envoy, wykonaj następujące kroki:

1. Skonfiguruj Microsoft Entra SSO — aby użytkownicy mogli korzystać z tej funkcji.
   1. Utwórz testowego użytkownika Microsoft Entra — aby przetestować jednokrotne logowanie do Microsoft Entra z B.Simon.
   2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z jednokrotnego logowania do Microsoft Entra.
2. Skonfiguruj SSO (Single Sign-On) dla aplikacji Envoy — aby skonfigurować ustawienia SSO po stronie aplikacji.
   1. Tworzenie użytkownika testowego aplikacji Envoy — aby mieć w aplikacji Envoy odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
3. test SSO - aby zweryfikować, czy konfiguracja działa.

Konfiguracja systemu Microsoft Entra SSO

Aby włączyć SSO Microsoft Entra, wykonaj następujące kroki.

1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.

2. Przejdź do Identity>Applications>Aplikacje dla przedsiębiorstw>Envoy>Logowanie jednokrotne.

3. Na stronie Wybierz metodę logowania jednokrotnego wybierz opcję SAML.

4. Na stronie Konfigurowanie logowania jednokrotnego z SAML wybierz ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

   

5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujący krok:

   W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://app.envoy.com/a/saml/auth/<company-ID-from-Envoy>

   Uwaga

   Wartość nie jest rzeczywista. Zaktualizuj wartość przy użyciu rzeczywistego adresu URL logowania. Aby uzyskać wartość, skontaktuj się z zespołem pomocy technicznej klienta aplikacji Envoy . Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

6. W sekcji certyfikatu podpisywania SAML wybierz przycisk Edytuj, aby otworzyć okno dialogowe certyfikatu podpisywania SAML.

   

7. W sekcji certyfikatu podpisywania SAML skopiuj wartość odcisku palca i zapisz ją na komputerze.

   

8. W sekcji Konfigurowanie aplikacji Envoy skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

   

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku szybkiego startu dotyczącym tworzenia i przypisywania konta użytkownika, aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfigurowanie logowania jednokrotnego aplikacji Envoy

1. W innym oknie przeglądarki internetowej zaloguj się do firmowej witryny aplikacji Envoy jako administrator

2. Przejdź do pozycji Integracje>Wszystkie integracje i wybierz pozycję Zainstaluj protokół SAML w obszarze Logowanie jednokrotne.

   

3. Przejdź do sekcji Integracja z włączoną obsługą i wykonaj następujące kroki:

   logowanie jednokrotne

   Uwaga

   Wartość identyfikatora lokalizacji HQ jest generowana automatycznie przez aplikację.

   a. W polu tekstowym Odcisk palca wklej wartość Odcisk kciuka certyfikatu.

   b. Wklej adres URL logowania, który skopiowałeś z portalu Azure, do pola tekstowego IDENTITY PROVIDER HTTP SAML URL.

   c. Wybierz Zapisz.

Tworzenie użytkownika testowego aplikacji Envoy

W tej sekcji w aplikacji Envoy jest tworzony użytkownik o nazwie Britta Simon.

Aplikacja Envoy obsługuje automatyczną aprowizację użytkowników, o której można przeczytać tutaj, gdzie znajdziesz instrukcje dotyczące konfigurowania automatycznej aprowizacji użytkowników.

Testowanie SSO

W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra, korzystając z następujących opcji.

• Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania aplikacji Envoy, w którym można zainicjować przepływ logowania.

• Przejdź bezpośrednio do adresu URL logowania Envoy i rozpocznij logowanie stamtąd.

• Możesz użyć usługi Microsoft My Apps. Po wybraniu kafelka Envoy w obszarze Moje aplikacje ta opcja przekierowuje do adresu URL logowania usługi Envoy. Aby uzyskać więcej informacji na temat moich aplikacji, zobacz Introduction to the My Apps( Wprowadzenie do aplikacji My Apps).

Powiązana zawartość

Po skonfigurowaniu aplikacji Envoy możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę nad sesjami za pomocą Microsoft Defender for Cloud Apps.