Udostępnij za pośrednictwem


Konfigurowanie usługi SailPoint Identity Security Cloud na potrzeby logowania jednokrotnego przy użyciu usługi Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować usługę SailPoint Identity Security Cloud z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usługi SailPoint Identity Security Cloud z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do usługi SailPoint Identity Security Cloud.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do usługi SailPoint Identity Security Cloud przy użyciu kont firmy Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Aktywna subskrypcja usługi SailPoint Identity Security Cloud. Jeśli nie masz usługi Identity Security Cloud, skontaktuj się z zespołem pomocy technicznej platformy SailPoint Identity Security Cloud.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

  • Aplikacja SailPoint Identity Security Cloud obsługuje SSO inicjowane przez dostawcę usług (SP) i dostawcę tożsamości (IDP).

Aby skonfigurować integrację usługi SailPoint Identity Security Cloud z usługą Microsoft Entra ID, należy dodać usługę SailPoint Identity Security Cloud z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodawanie z galerii wpisz SailPoint Identity Security Cloud w polu wyszukiwania.
  4. Wybierz pozycję SailPoint Identity Security Cloud z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, podczas gdy aplikacja jest dodawana do twojej dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o narzędziach platformy Microsoft 365.

Konfigurowanie i testowanie usługi Microsoft Entra SSO dla usługi SailPoint Identity Security Cloud

Skonfiguruj i przetestuj Microsoft Entra SSO z usługą SailPoint Identity Security Cloud przy użyciu użytkownika testowego o nazwie B.Simon. Aby jednokrotne logowanie działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem SailPoint Identity Security Cloud.

Aby skonfigurować i przetestować Microsoft Entra SSO z SailPoint Identity Security Cloud, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz użytkownika testowego Microsoft Entra — aby przetestować jednokrotne logowanie firmy Microsoft Entra z B.Simon.
    2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z logowania jednokrotnego do firmy Microsoft Entra.
  2. Skonfiguruj SSO dla SailPoint Identity Security Cloud — aby ustawić jednokrotne logowanie po stronie aplikacji.
    1. Utwórz użytkownika testowego SailPoint Identity Security Cloud — aby mieć w SailPoint Identity Security Cloud odpowiednik dla B.Simon, połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie jednokrotnego logowania Microsoft Entra

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Entra ID>Enterprise apps>SailPoint Identity Security Cloud>Logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego z SAML wybierz ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

    Edycja podstawowej konfiguracji protokołu SAML

  5. Jeśli chcesz skonfigurować aplikację w trybie inicjowanym przez dostawcę tożsamości, w sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    a. W polu tekstowym Identyfikator wpisz adres URL, korzystając z następującego wzorca: https://<TENANT_NAME>.identitynow.com/sp

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<TENANT_NAME>.login.sailpoint.com/saml/SSO/alias/<TENANT_NAME>-sp

  6. Wybierz pozycję Ustaw dodatkowe adresy URL i wykonaj następujący krok, jeśli chcesz skonfigurować aplikację w trybie zainicjowanym przez dostawcę usług :

    W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<TENANT_NAME>.identitynow.com/

    Uwaga

    Te wartości nie są prawdziwe. Należy je zastąpić rzeczywistymi wartościami identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Aby uzyskać te wartości, skontaktuj się z zespołem pomocy technicznej klienta aplikacji SailPoint Identity Security Cloud. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  7. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź pozycję Certyfikat (Base64) i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    Link do pobierania certyfikatu

  8. W sekcji Konfigurowanie usługi SailPoint Identity Security Cloud skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Kopiowanie adresów URL konfiguracji

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku szybkiego startu dotyczącym tworzenia i przypisywania konta użytkownika, aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfiguracja SSO w usłudze SailPoint Identity Security Cloud

  1. W innym oknie przeglądarki internetowej zaloguj się do firmowej witryny usługi SailPoint Identity Security Cloud jako administrator.

  2. Przejdź do pozycji Globalne —> Ustawienia zabezpieczeń —> Dostawca usług wprowadź następujące zmiany konfiguracji.

    Zrzut ekranu konfiguracji SSO SailPoint.

    a. Włącz dostawcę tożsamości zdalnej.

    b. W polu Identyfikator jednostki wklej wartość Identyfikator jednostki, którą skopiowałeś wcześniej.

    c. W polu Adres URL logowania dla Posta wklej wartość Adresu URL logowania, którą skopiowałeś wcześniej.

    d. W polu Adres URL przekierowania do logowania wklej wartość Adresu URL logowania, którą skopiowałeś wcześniej.

    e. W polu Adres URL wylogowywania

    f. W sekcji Atrybut żądania SAML wybierz następujące wartości.

    • Atrybut mapowania tożsamości — uid
    • IDENTYFIKATOR nazwy SAML — Unspecified
    • Powiązanie SAML — Post
    • Wyklucz żądany kontekst uwierzytelniania — checked

    g. W certyfikacie podpisywaniawybierz opcję Import, aby załadować pobrany certyfikat (Base64) z portalu Azure.

Tworzenie użytkownika testowego aplikacji SailPoint Identity Security Cloud

W tej sekcji utworzysz użytkownika Britta Simon w aplikacji SailPoint Identity Security Cloud. We współpracy z zespołem pomocy technicznej SailPoint Identity Security Cloud dodaj użytkowników do platformy SailPoint Identity Security Cloud. Użytkownicy muszą być utworzeni i aktywowani przed rozpoczęciem korzystania z logowania jednokrotnego.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra z następującymi opcjami.

Inicjowane przez SP:

  • Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania SailPoint Identity Security Cloud, gdzie można zainicjować proces logowania.

  • Przejdź bezpośrednio do adresu URL logowania do SailPoint Identity Security Cloud i zainicjuj proces logowania z tego miejsca.

IDP inicjowane

  • Wybierz pozycję Przetestuj tę aplikacjęi powinno nastąpić automatyczne zalogowanie do chmury zabezpieczeń usługi SailPoint, dla której skonfigurowano logowanie jednokrotne.

Możesz również użyć Moje aplikacje firmy Microsoft, aby przetestować aplikację w dowolnym trybie. Po wybraniu kafelka SailPoint Identity Security Cloud w obszarze Moje aplikacje, jeśli skonfigurowano go w trybie SP, nastąpi przekierowanie do strony logowania aplikacji w celu zainicjowania przepływu logowania. Natomiast jeśli jest skonfigurowany w trybie IDP, powinno nastąpić automatyczne zalogowanie do chmury zabezpieczeń tożsamości usługi SailPoint, dla której skonfigurowano SSO. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Po skonfigurowaniu usługi SailPoint Identity Security Cloud możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender for Cloud Apps.