Руководство. Настройка безопасного гибридного доступа с помощью идентификатора Microsoft Entra и Datawiza

В этом руководстве описано, как интегрировать Microsoft Entra ID с Datawiza для гибридного доступа. Datawiza Access Proxy (DAP) расширяет идентификатор Microsoft Entra для включения единого входа и предоставления элементов управления доступом для защиты локальных и облачных приложений, таких как Oracle E-Business Suite, Microsoft IIS и SAP. С помощью этого решения предприятия могут перейти от устаревших менеджеров веб-доступа (WAM), таких как Symantec SiteMinder, NetIQ, Oracle и IBM, к Microsoft Entra идентификатора без перезаписи приложений. Предприятия могут использовать Datawiza в качестве решения без кода или решения с низким кодом для интеграции новых приложений с Microsoft Entra идентификатором. Этот подход позволяет предприятиям реализовывать свою стратегию "Никому не доверяй", экономя время на проектирование и сокращая расходы.

Дополнительные сведения: Безопасность "Никому не доверяй"

Datawiza с архитектурой проверки подлинности Microsoft Entra

Интеграция с Datawiza включает в себя следующие компоненты:

  • идентификатор Microsoft Entra — служба управления удостоверениями и доступом, которая помогает пользователям входить в систему и получать доступ к внешним и внутренним ресурсам.
  • Datawiza Access Proxy (DAP) — эта служба прозрачно передает сведения об удостоверениях приложениям через заголовки HTTP.
  • Datawiza Cloud Management Console (DCMC) — интерфейсы API и RESTful, которые администраторы могут управлять конфигурацией DAP и политиками управления доступом.

На следующей схеме показана архитектура проверки подлинности с помощью Datawiza в гибридной среде.

Схема архитектуры процесса проверки подлинности для доступа пользователей к локальному приложению.

  1. Пользователь запрашивает доступ к локальному или облачному приложению. DAP выполняет запрос к приложению прокси-сервером.
  2. DAP проверяет состояние проверки подлинности пользователя. Если маркер сеанса отсутствует или маркер сеанса недопустим, DAP отправляет запрос пользователя на Microsoft Entra идентификатор для проверки подлинности.
  3. Microsoft Entra идентификатор отправляет запрос пользователя к конечной точке, указанной во время регистрации DAP в клиенте Microsoft Entra.
  4. DAP оценивает политики и значения атрибутов для включения в http-заголовки, переадресуемые приложению. DAP может обратиться к поставщику удостоверений, чтобы получить сведения для правильного задания значений заголовков. DAP задает значения заголовка и отправляет запрос в приложение.
  5. Пользователь проходит проверку подлинности и получает доступ.

Предварительные требования

Для начала работы необходимы перечисленные ниже компоненты и данные.

  • Подписка Azure
  • Клиент Microsoft Entra, связанный с подпиской Azure
  • Docker и docker-compose необходимы для запуска DAP
    • Приложения могут выполняться на платформах, таких как виртуальная машина или без операционной системы.
  • Локальное или облачное приложение для перехода с устаревшей системы удостоверений на Microsoft Entra идентификатор
    • В этом примере DAP развертывается на том же сервере, что и приложение.
    • Приложение выполняется на localhost: 3001. DAP передает трафик прокси-серверов к приложению через localhost: 9772
    • Трафик к приложению достигает DAP и передается через приложение

Настройка консоли управления облаком Datawiza

  1. Войдите в консоль управления облаком Datawiza (DCMC).

  2. Создайте приложение в DCMC и создайте пару ключей для приложения: PROVISIONING_KEY и PROVISIONING_SECRET.

  3. Чтобы создать приложение и сгенерировать пару ключей, следуйте инструкциям в Datawiza Cloud Management Console.

  4. Зарегистрируйте приложение в идентификаторе Microsoft Entra с помощью интеграции одним щелчком с идентификатором Microsoft Entra.

    Снимок экрана: функция автоматического генератора в диалоговом окне

  5. Чтобы использовать веб-приложение, вручную заполните поля формы: Идентификатор клиента, Идентификатор клиента и Секрет клиента.

    Дополнительные сведения: Создание веб-приложения и получение значений см. в docs.datawiza.com документации по идентификаторам Microsoft Entra.

    Снимок экрана: диалоговое окно

  6. Запустите DAP с помощью Docker или Kubernetes. Образ Docker требуется для создания примера приложения на основе заголовков.

services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
   - "9772:9772"
   environment:
   PROVISIONING_KEY: #############################################
   PROVISIONING_SECRET: ##############################################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   restart: always
ports:
- "3001:3001"
  1. Войдите в реестр контейнеров.
  2. Скачайте образы DAP и приложение на основе заголовков на этом важном шаге.
  3. Выполните следующую команду: docker-compose -f docker-compose.yml up.
  4. В приложении на основе заголовков включен единый вход с идентификатором Microsoft Entra.
  5. Для этого откройте в браузере адрес http://localhost:9772/.
  6. Откроется страница Microsoft Entra входа.
  7. Передайте пользовательские атрибуты в приложение на основе заголовков. DAP получает атрибуты пользователя из идентификатора Microsoft Entra и передает их приложению через заголовок или файл cookie.
  8. Сведения о том, как передать атрибуты пользователя, такие как адрес электронной почты, имя и фамилия, в приложение на основе заголовков, см. в разделе Передача атрибутов пользователя.
  9. Чтобы подтвердить настроенные атрибуты пользователя, обратите внимание на зеленую метку проверка рядом с каждым атрибутом.

Снимок экрана: домашняя страница с атрибутами host, email, firstname и lastname.

Проверка потока

  1. Выберите URL-адрес приложения.
  2. DAP перенаправит вас на страницу входа Microsoft Entra.
  3. После проверки подлинности вы будете перенаправлены в DAP.
  4. DAP оценивает политики, вычисляет заголовки и отправляет вас в приложение.
  5. Появится запрошенное приложение.

Дальнейшие действия