Compartilhar via

Integração do SSO (logon único) do Microsoft Entra ao BeyondTrust Remote Support

  • Artigo

Neste tutorial, você aprenderá como integrar o BeyondTrust Remote Support ao Microsoft Entra ID. Ao integrar o BeyondTrust Remote Support ao Microsoft Entra ID, você pode:

  • Controlar no Microsoft Entra ID quem tem acesso ao BeyondTrust Remote Support.
  • Permitir que os usuários sejam conectados automaticamente ao BeyondTrust Remote Support com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Assinatura habilitada para logon único (SSO) do Suporte Remoto BeyondTrust.

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

  • O Suporte Remoto BeyondTrust é compatível com SSO iniciado por SP
  • O Suporte Remoto BeyondTrust é compatível com o provisionamento de usuário Just-In-Time

Para configurar a integração do BeyondTrust Remote Support ao Microsoft Entra ID, você precisa adicionar o BeyondTrust Remote Support por meio da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar por meio da galeria, digite Suporte Remoto BeyondTrust na caixa de pesquisa.
  4. Selecione Suporte Remoto BeyondTrust no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o BeyondTrust Remote Support

Configure e teste o SSO do Microsoft Entra com o BeyondTrust Remote Support usando um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do BeyondTrust Remote Support.

Para configurar e testar o SSO do Microsoft Entra com o BeyondTrust Remote Support, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra – Para permitir que os usuários usem esse recurso.
  2. Configurar o SSO do Suporte Remoto BeyondTrust – para definir as configurações de logon único no lado do aplicativo.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>BeyondTrust Remote Support>Logon único.

  3. Na página Selecionar um método de logon único, escolha SAML.

  4. Na página Configurar o logon único com o SAML, clique no ícone de edição/caneta da Configuração Básica do SAML para editar as configurações.

    Edit Basic SAML Configuration

  5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

    a. Na caixa Identificador, digite uma URL usando o seguinte padrão: https://<HOSTNAME>.bomgar.com

    b. No URL de resposta caixa de texto, digite uma URL usando o seguinte padrão: https://<HOSTNAME>.bomgar.com/saml/sso

    c. Na caixa de texto URL de Entrada digite uma URL usando o seguinte padrão: https://<HOSTNAME>.bomgar.com/saml

    Observação

    Esses valores não são reais. Atualize esses valores com o Identificador, a URL de Resposta e a URL de Logon reais. Você obterá esses valores, o que será explicado posteriormente no tutorial.

  6. O aplicativo de Suporte Remoto BeyondTrust espera as declarações do SAML em um formato específico, o que exige que você adicione mapeamentos de atributo personalizados de acordo com a sua configuração de atributos do token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

    image

  7. Além do indicado acima, o aplicativo de Suporte Remoto BeyondTrust espera que mais alguns atributos sejam passados novamente na resposta SAML que são mostrados abaixo. Esses atributos também são pré-populados, mas você pode examiná-los de acordo com seus requisitos.

    Nome Atributo de Origem
    Nome de Usuário user.userprincipalname
    Nome user.givenname
    LastName user.surname
    Email user.mail
    Grupos user.groups

    Observação

    Ao atribuir grupos do Microsoft Entra para o aplicativo de Suporte Remoto BeyondTrust, a opção ‘Grupos retornados na declaração’ precisará ser modificada de Nenhum para SecurityGroup. Os grupos serão importados para o aplicativo como suas IDs de Objeto. A ID do objeto do grupo do Microsoft Entra pode ser encontrada verificando as Propriedades na interface do Microsoft Entra ID. Isso será necessário para referenciar e atribuir grupos do Microsoft Entra às políticas de grupo corretas.

  8. Ao definir o identificador de usuário exclusivo, esse valor deve ser definido como NameID-Format: Persistente. Exigimos que este seja um identificador persistente para identificar e associar corretamente o usuário às diretivas de grupo corretas para permissões. Clique no ícone de editar para abrir a caixa de diálogo Atributos e Declarações do Usuário para editar o valor do identificador de usuário exclusivo.

  9. Na seção Gerenciar Declaração, clique em Escolher formato do identificador de nome e defina o valor para Persistente e clique em Salvar.

    User Attributes and Claims

  10. Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, localize XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo no computador.

    The Certificate download link

  11. Na seção Configurar Suporte Remoto BeyondTrust, copie as URLs adequadas de acordo com suas necessidades.

    Copy configuration URLs

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Fernandes use o logon único permitindo acesso ao Suporte Remoto BeyondTrust.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>BeyondTrust Remote Support.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
    1. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar SSO de Suporte Remoto BeyondTrust

  1. Em uma janela diferente do navegador da Web, entre no Suporte Remoto BeyondTrust como um administrador.

  2. Navegue até Usuários e Segurança>Provedores de Segurança.

  3. Clique no ícone Editar em Provedores SAML.

    SAML Providers edit icon

  4. Expanda a seção Configurações do Provedor de Serviços.

  5. Clique em Baixar Metadados do Provedor de Serviços ou copie os valores de ID da Entidade e URL do ACS e use-os na seção Configuração Básica do SAML.

    Download Service Provider Metadata

  6. Na seção Configurações do Provedor de Identidade, clique em Carregar Metadados do Provedor de Identidade e localize o arquivo XML de Metadados que você baixou.

  7. A ID da Entidade, a URL de Serviço de Logon Único e o Certificado do Servidor serão automaticamente carregados. Além disso, a Associação de Protocolo da URL de SSO precisará ser alterada para HTTP POST.

    Screenshot shows the Identity Provider Settings section where you perform these actions.

  8. Clique em Save.

Criar usuário de teste do Suporte Remoto BeyondTrust

Nesta seção, é criado um usuário chamado Brenda Fernandes no Suporte Remoto BeyondTrust. O Suporte Remoto BeyondTrust é compatível com o provisionamento Just-In-Time, que está habilitado por padrão. Não há itens de ação para você nesta seção. Se nenhum usuário existir ainda no Suporte Remoto BeyondTrust, um será criado após a autenticação.

Siga o procedimento abaixo, que é obrigatório para configurar o Suporte Remoto BeyondTrust.

Definiremos as configurações de provisionamento do usuário aqui. Os valores usados nesta seção serão referenciados na seção Atributos e Declarações do Usuário. Configuramos isso como os valores padrão que já foram importados no momento da criação, no entanto, o valor pode ser personalizado, se necessário.

Screenshot shows the User Provision Settings where you can configure user values.

Observação

Os atributos de grupos e email não são necessários para essa implementação. Se você estiver utilizando grupos do Microsoft Entra e atribuindo-os a Políticas de Grupo de Suporte Remoto BeyondTrust para permissões, a ID de objeto do grupo precisará ser referenciada por meio de suas propriedades no portal do Azure e colocada na seção ‘grupos disponíveis’. Depois que isso tiver sido concluído, a ID de objeto/grupo do AD agora estará disponível para atribuição a uma política de grupo para permissões.

Screenshot shows the I T section with Membership type, Source, Type, and Object I D.

Screenshot shows the Basic Settings page for a group policy.

Observação

Como alternativa, uma política de grupo padrão pode ser definida no provedor de segurança SAML2. Ao definir essa opção, você atribuirá a todos os usuários que autenticam por meio do SAML as permissões especificadas na política de grupo. A política de Membros Gerais está incluída no Suporte Remoto BeyondTrust/Acesso Remoto Privilegiado com permissões limitadas, que podem ser usadas para testar a autenticação e atribuir usuários às políticas corretas. Os usuários não preencherão a lista de usuários do SAML2 por meio de /logon > Usuários e segurança até a primeira tentativa de autenticação bem-sucedida. As informações adicionais em políticas de Grupo podem ser encontradas no link a seguir: https://www.beyondtrust.com/docs/remote-support/getting-started/admin/group-policies.htm

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

  • Clique em Testar este aplicativo; isso redirecionará para a URL de logon do BeyondTrust Remote Support, onde você pode iniciar o fluxo de logon.

  • Acesse a URL de Logon do BeyondTrust Remote Support diretamente e inicie o fluxo de logon nela.

  • Você pode usar os Meus Aplicativos da Microsoft. Quando você clicar no bloco de suporte do BeyondTrust Remote Support em Meus Aplicativos, isso redirecionará você para a URL de Logon do BeyondTrust Remote Support. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Próximas etapas

Depois de configurar o BeyondTrust Remote Support, você poderá impor controles de sessão, que fornecem proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. Os controles da sessão são estendidos do Acesso Condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.