Руководство. Настройка безопасного гибридного доступа с помощью идентификатора Microsoft Entra и Datawiza
В этом руководстве описано, как интегрировать Microsoft Entra ID с Datawiza для гибридного доступа. Datawiza Access Proxy (DAP) расширяет идентификатор Microsoft Entra для включения единого входа и предоставления элементов управления доступом для защиты локальных и облачных приложений, таких как Oracle E-Business Suite, Microsoft IIS и SAP. С помощью этого решения предприятия могут перейти от устаревших менеджеров веб-доступа (WAM), таких как Symantec SiteMinder, NetIQ, Oracle и IBM, к Microsoft Entra идентификатора без перезаписи приложений. Предприятия могут использовать Datawiza в качестве решения без кода или решения с низким кодом для интеграции новых приложений с Microsoft Entra идентификатором. Этот подход позволяет предприятиям реализовывать свою стратегию "Никому не доверяй", экономя время на проектирование и сокращая расходы.
Дополнительные сведения: Безопасность "Никому не доверяй"
Datawiza с архитектурой проверки подлинности Microsoft Entra
Интеграция с Datawiza включает в себя следующие компоненты:
- идентификатор Microsoft Entra — служба управления удостоверениями и доступом, которая помогает пользователям входить в систему и получать доступ к внешним и внутренним ресурсам.
- Datawiza Access Proxy (DAP) — эта служба прозрачно передает сведения об удостоверениях приложениям через заголовки HTTP.
- Datawiza Cloud Management Console (DCMC) — интерфейсы API и RESTful, которые администраторы могут управлять конфигурацией DAP и политиками управления доступом.
На следующей схеме показана архитектура проверки подлинности с помощью Datawiza в гибридной среде.
- Пользователь запрашивает доступ к локальному или облачному приложению. DAP выполняет запрос к приложению прокси-сервером.
- DAP проверяет состояние проверки подлинности пользователя. Если маркер сеанса отсутствует или маркер сеанса недопустим, DAP отправляет запрос пользователя на Microsoft Entra идентификатор для проверки подлинности.
- Microsoft Entra идентификатор отправляет запрос пользователя к конечной точке, указанной во время регистрации DAP в клиенте Microsoft Entra.
- DAP оценивает политики и значения атрибутов для включения в http-заголовки, переадресуемые приложению. DAP может обратиться к поставщику удостоверений, чтобы получить сведения для правильного задания значений заголовков. DAP задает значения заголовка и отправляет запрос в приложение.
- Пользователь проходит проверку подлинности и получает доступ.
Предварительные требования
Для начала работы необходимы перечисленные ниже компоненты и данные.
- Подписка Azure
- Если у вас ее нет, получите бесплатную учетную запись Azure.
- Клиент Microsoft Entra, связанный с подпиской Azure
- Docker и docker-compose необходимы для запуска DAP
- Приложения могут выполняться на платформах, таких как виртуальная машина или без операционной системы.
- Локальное или облачное приложение для перехода с устаревшей системы удостоверений на Microsoft Entra идентификатор
- В этом примере DAP развертывается на том же сервере, что и приложение.
- Приложение выполняется на localhost: 3001. DAP передает трафик прокси-серверов к приложению через localhost: 9772
- Трафик к приложению достигает DAP и передается через приложение
Настройка консоли управления облаком Datawiza
Войдите в консоль управления облаком Datawiza (DCMC).
Создайте приложение в DCMC и создайте пару ключей для приложения:
PROVISIONING_KEY
иPROVISIONING_SECRET
.Чтобы создать приложение и сгенерировать пару ключей, следуйте инструкциям в Datawiza Cloud Management Console.
Зарегистрируйте приложение в идентификаторе Microsoft Entra с помощью интеграции одним щелчком с идентификатором Microsoft Entra.
Чтобы использовать веб-приложение, вручную заполните поля формы: Идентификатор клиента, Идентификатор клиента и Секрет клиента.
Дополнительные сведения: Создание веб-приложения и получение значений см. в docs.datawiza.com документации по идентификаторам Microsoft Entra.
Запустите DAP с помощью Docker или Kubernetes. Образ Docker требуется для создания примера приложения на основе заголовков.
- Сведения о Kubernetes см. в статье Развертывание прокси-сервера Datawiza Access с помощью веб-приложения с помощью Kubernetes.
- Сведения о Docker см. в статье Развертывание прокси-сервера доступа Datawiza с помощью приложения.
- Можно использовать следующий пример файла образца docker-compose.yml:
services:
datawiza-access-broker:
image: registry.gitlab.com/datawiza/access-broker
container_name: datawiza-access-broker
restart: always
ports:
- "9772:9772"
environment:
PROVISIONING_KEY: #############################################
PROVISIONING_SECRET: ##############################################
header-based-app:
image: registry.gitlab.com/datawiza/header-based-app
restart: always
ports:
- "3001:3001"
- Войдите в реестр контейнеров.
- Скачайте образы DAP и приложение на основе заголовков на этом важном шаге.
- Выполните следующую команду:
docker-compose -f docker-compose.yml up
. - В приложении на основе заголовков включен единый вход с идентификатором Microsoft Entra.
- Для этого откройте в браузере адрес
http://localhost:9772/
. - Откроется страница Microsoft Entra входа.
- Передайте пользовательские атрибуты в приложение на основе заголовков. DAP получает атрибуты пользователя из идентификатора Microsoft Entra и передает их приложению через заголовок или файл cookie.
- Сведения о том, как передать атрибуты пользователя, такие как адрес электронной почты, имя и фамилия, в приложение на основе заголовков, см. в разделе Передача атрибутов пользователя.
- Чтобы подтвердить настроенные атрибуты пользователя, обратите внимание на зеленую метку проверка рядом с каждым атрибутом.
Проверка потока
- Выберите URL-адрес приложения.
- DAP перенаправит вас на страницу входа Microsoft Entra.
- После проверки подлинности вы будете перенаправлены в DAP.
- DAP оценивает политики, вычисляет заголовки и отправляет вас в приложение.
- Появится запрошенное приложение.
Дальнейшие действия
- Руководство. Настройка Azure Active Directory B2C с Datawiza для обеспечения безопасного гибридного доступа
- Руководство. Настройка Datawiza для включения Microsoft Entra многофакторной проверки подлинности и единого входа в Oracle JD Edwards
- Руководство. Настройка Datawiza для включения Microsoft Entra многофакторной проверки подлинности и единого входа в Oracle PeopleSoft
- Перейдите к docs.datawiza.com руководствам пользователя datawiza