Partilhar via

Configurar o Protetor de Serviços de Diretório para logon único com o ID do Microsoft Entra

Neste artigo, você aprenderá a integrar o Directory Services Protetor com o Microsoft Entra ID. Ao integrar o Directory Services Protetor com o Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso ao Directory Services Protetor.
  • Permita que seus usuários entrem automaticamente no Directory Services Protetor com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

  • Assinatura habilitada para logon único (SSO) do Directory Services Protector.

Descrição do cenário

Neste artigo, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • O Directory Services Protetor suporta SSO iniciado por SP e IDP .
  • O Directory Services Protetor oferece suporte ao provisionamento de usuários Just In Time .

Para configurar a integração do Directory Services Protetor no Microsoft Entra ID, você precisa adicionar o Directory Services Protetor da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Entra ID>Enterprise apps>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite Protetor de Serviços de Diretório na caixa de pesquisa.
  4. Selecione Protetor de Serviços de Diretório no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, pode adicionar uma aplicação ao seu inquilino, adicionar utilizadores/grupos à aplicação, atribuir funções e configurar também o SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para o Directory Services Protetor

Configure e teste o Microsoft Entra SSO com o Directory Services Protetor usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Directory Services Protetor.

Para configurar e testar o Microsoft Entra SSO com o Directory Services Protetor, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
    2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
  2. Configure o SSO do Protetor de Serviços de Diretório - para definir as configurações de logon único no lado do aplicativo.
    1. Criar usuário de teste do Directory Services Protetor - para ter um equivalente de B.Simon no Directory Services Protetor vinculado à representação de usuário do Microsoft Entra.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO no centro de administração do Microsoft Entra.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Entra ID>Aplicações empresariais>Directory Services Protetor>Login único.

  3. Na página Selecione um método de logon único , selecione SAML.

  4. Na página Configurar logon único com SAML, selecione o ícone de lápis em Configuração Básica de SAML para editar as definições.

    A captura de tela mostra como editar a Configuração Básica do SAML.

  5. Na seção Configuração Básica do SAML , se você tiver o arquivo de metadados do Provedor de Serviços, execute as seguintes etapas:

    a) Selecione Carregar arquivo de metadados.

    A captura de tela mostra como carregar o arquivo de metadados.

    b) Selecione o logotipo da pasta para selecionar o arquivo de metadados e selecione Carregar.

    A captura de tela mostra como escolher o arquivo de metadados.

    c. Depois que o arquivo de metadados é carregado com êxito, os valores de URL de Identificador e Resposta são preenchidos automaticamente na seção Configuração Básica de SAML.

    A captura de ecrã mostra a imagem do arquivo de metadados.

    Nota

    Se os valores do Identificador e do URL de Resposta não forem preenchidos automaticamente, preencha-os manualmente de acordo com a sua necessidade.

  6. Execute a seguinte etapa, se desejar configurar o aplicativo no modo iniciado pelo SP :

    Na caixa de texto para a URL de logon, digite uma URL usando o seguinte padrão:

    Nota

    O valor do URL de logon não é real. Atualize esse valor com a URL de logon real. Entre em contato com a equipe de suporte do Directory Services Protetor para obter esse valor. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML no centro de administração do Microsoft Entra.

  7. O aplicativo da equipe de suporte do Directory Services Protetor espera as asserções SAML em um formato específico, o que requer que você adicione mapeamentos de atributos personalizados à sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

    A captura de tela mostra a imagem da configuração de atributos.

  8. Além disso, o aplicativo da equipe de suporte do Directory Services Protetor espera que mais alguns atributos sejam passados de volta na resposta SAML, que são mostrados abaixo. Esses atributos também são pré-preenchidos, mas você pode revisá-los de acordo com suas necessidades.

    Nome Atributo de origem
    função user.assignedroles

    Nota

    Selecione aqui para saber como configurar a Função no Microsoft Entra ID.

  9. Na página Configurar início de sessão único com SAML, na secção Certificado de Assinatura SAML, localize XML de Metadados de Federação e selecione Download para baixar o certificado e guardá-lo no seu computador.

    A captura de tela mostra o link de download do certificado.

  10. Na seção Configurar o Protetor de Serviços de Diretório , copie o(s) URL(s) apropriado(s) com base em sua necessidade.

    A captura de tela mostra como copiar o URL apropriado de configuração.

Criar e atribuir usuário de teste do Microsoft Entra

Siga as diretrizes no início rápido de criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o SSO do Protetor de Serviços de Diretório

  1. Faça login no site da empresa do Directory Services Protetor como administrador.

  2. Vá para Configurações (ícone de engrenagem)>Conexões de dados>Autenticação SAML e ative a opção Habilitado .

  3. Na Etapa 1 - Provedor de identidade, selecione Microsoft Entra ID no menu suspenso e selecione SALVAR.

  4. Na Etapa 2 – Dados exigidos pelo provedor de identidade SAML, selecione o botão CONFIRMAR e BAIXAR METADADOS XML para carregar o arquivo de metadados na seção Configuração Básica do SAML no centro de administração do Microsoft Entra e selecione SAVE.

    A captura de tela mostra as configurações do provedor de identidade.

  5. Na Etapa 3 - Atributos do Usuário & Declarações, não precisamos dessas informações agora, então podemos pular para a Etapa 4.

  6. Na Etapa 4 – Dados recebidos do provedor de identidade SAML, o DSP suporta a importação a partir de um URL de metadados e a importação de um XML de metadados fornecido pelo Microsoft Entra ID.

    1. Selecione o botão de opção URL de metadados de federação de aplicativos, cole a URL de metadados no campo proveniente do Microsoft Entra ID e selecione IMPORT.

    2. Selecione o botão de seleção para usar Importar XML de metadados de federação e selecione IMPORTAR XML para carregar o ficheiro XML de metadados de federação do centro de administração do Microsoft Entra.

    3. Selecione SALVAR.

  7. Na parte superior da folha Autenticação SAML no DSP, deverá mostrar o estado agora como Configurado.

Criar usuário de teste do Directory Services Protetor

Nesta seção, um usuário chamado Britta Simon é criado no Directory Services Protector. O Directory Services Protector oferece suporte ao provisionamento de utilizadores just-in-time, que está ativado por padrão. Não há nenhum item de ação para você nesta seção. Se um usuário ainda não existir no Protetor de Serviços de Diretório, um novo será criado após a autenticação.

Teste de SSO

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

SP iniciado:

  • Selecione Testar esta aplicação no centro de administração do Microsoft Entra. essa opção redireciona para a URL de Logon do Protetor de Serviços de Diretório, onde você pode iniciar o fluxo de login.

  • Vá diretamente para o URL de logon do Directory Services Protetor e inicie o fluxo de login a partir daí.

IDP iniciado:

  • Selecione Testar este aplicativo no centro de administração do Microsoft Entra e você deve estar automaticamente conectado ao Protetor de Serviços de Diretório para o qual você configurou o SSO.

Você também pode usar o Microsoft My Apps para testar o aplicativo em qualquer modo. Ao selecionar o bloco Protetor de Serviços de Diretório em Meus Aplicativos, se configurado no modo SP, você será redirecionado para a página de logon do aplicativo para iniciar o fluxo de logon e, se configurado no modo IDP, deverá entrar automaticamente no Protetor de Serviços de Diretório para o qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Conteúdo relacionado

Depois de configurar o Directory Services Protetor, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.