Share via

Руководство по настройке безопасного гибридного доступа с помощью идентификатора Microsoft Entra и Silverfort

  • Статья

Silverfort использует технологию без агента и прокси-сервера для подключения локальных ресурсов и в облаке к идентификатору Microsoft Entra. Это решение позволяет организациям применять защиту идентификации, видимость и взаимодействие с пользователем в средах в идентификаторе Microsoft Entra. Он обеспечивает универсальный мониторинг и оценку действий проверки подлинности для локальных и облачных сред и помогает предотвратить угрозы.

В этом руководстве описано, как интегрировать локальную реализацию Silverfort с идентификатором Microsoft Entra.

Подробнее:

Silverfort подключает ресурсы с идентификатором Microsoft Entra. Эти мостовые ресурсы отображаются как обычные приложения в идентификаторе Microsoft Entra и могут быть защищены с помощью условного доступа, единого входа (SSO), многофакторной проверки подлинности, аудита и многого другого. Используйте Silverfort для подключения ресурсов:

  • устаревшие и собственные приложения;
  • удаленный рабочий стол и Secure Shell (SSH);
  • средства командной строки и другие возможности административного доступа;
  • общие папки и базы данных;
  • инфраструктура и промышленные системы.

Silverfort интегрирует корпоративные ресурсы и сторонние платформы управления удостоверениями и доступом (IAM), включая службы федерации Active Directory (AD FS) (AD FS) и службу пользователей удаленной проверки подлинности (RADIUS) в идентификаторе Microsoft Entra ID. Сценарий включает гибридные и многооблачные среды.

Используйте это руководство, чтобы настроить и проверить мост Идентификатора Microsoft Entra в клиенте Microsoft Entra для взаимодействия с реализацией Silverfort. После настройки можно создать политики проверки подлинности Silverfort, которые повысят запросы проверки подлинности из источников удостоверений в идентификатор Microsoft Entra для единого входа. После мостового приложения вы можете управлять им в идентификаторе Microsoft Entra.

Silverfort с архитектурой проверки подлинности Microsoft Entra

На следующей схеме показана архитектура проверки подлинности, организованная Silverfort в гибридной среде.

Схема схемы архитектуры

Поток пользователя

  1. Пользователи отправляют запрос проверки подлинности исходному поставщику удостоверений через такие протоколы, как Kerberos, SAML, NTLM, OIDC и LDAPs
  2. Ответы перенаправляются как есть в Silverfort для проверки в состояние проверка проверки подлинности
  3. Silverfort обеспечивает видимость, обнаружение и мост с идентификатором Microsoft Entra
  4. Если приложение мостится, решение проверки подлинности передается в идентификатор Microsoft Entra. Идентификатор Microsoft Entra оценивает политики условного доступа и проверяет проверку подлинности.
  5. Ответ состояния проверки подлинности передается из Silverfort в idP
  6. Поставщик удостоверений предоставляет или запрещает доступ к ресурсу
  7. Пользователи уведомляются, если запрос на доступ предоставлен или запрещен

Необходимые компоненты

Для выполнения этого руководства необходимо развернуть Silverfort в клиенте или инфраструктуре. Чтобы развернуть Silverfort в клиенте или инфраструктуре, перейдите к silverfort.com Silverfort, чтобы установить классическое приложение Silverfort на рабочих станциях.

Настройте адаптер Silverfort Microsoft Entra в клиенте Microsoft Entra:

  • Учетная запись Azure с активной подпиской
  • Одна из следующих ролей в учетной записи Azure:
    • Администратор облачных приложений
    • Администратор приложений
    • Владелец субъекта-службы
  • Приложение Silverfort Microsoft Entra Adapter в коллекции приложений Microsoft Entra предварительно настроено для поддержки единого входа. В коллекции добавьте в клиент адаптер Silverfort Microsoft Entra в качестве корпоративного приложения.

Настройка Silverfort и создание политики

  1. В браузере войдите в консоль администрирования Silverfort.

  2. В главном меню перейдите к Параметры, а затем прокрутите страницу моста идентификатора Microsoft Entra ID Подключение or в разделе "Общие".

  3. Подтвердите свой идентификатор арендатора и нажмите кнопку Авторизовать.

  4. Выберите Сохранить изменения.

  5. В диалоговом окне "Разрешения" нажмите кнопку "Принять".

  6. Сообщение о завершении регистрации отображается на новой вкладке. Закройте эту вкладку.

    Изображение: вкладка завершения регистрации

  7. На странице Параметры нажмите кнопку "Сохранить изменения".

  8. Войдите в учетную запись Microsoft Entra. В области слева выберите Корпоративные приложения. Приложение Адаптера Microsoft Entra в Silverfort отображается как зарегистрированное.

  9. В консоли администрирования Silverfort перейдите на страницу Policies (Политики) и выберите Create Policy (Создать политику). Откроется диалоговое окно "Новая политика ".

  10. Введите имя политики, имя приложения, которое будет создано в Azure. Например, если вы добавляете несколько серверов или приложений для этой политики, присвойте ей имя, чтобы отразить ресурсы, охваченные политикой. В этом примере мы создадим политику для сервера SL-APP1.

Изображение: определение политики

  1. Выберите тип проверки подлинности и протокол.

  2. В поле "Пользователи и группы" щелкните значок "Изменить", чтобы настроить пользователей, затронутых политикой. Мосты проверки подлинности этих пользователей с идентификатором Microsoft Entra.

Изображение: поле Users and Groups (Пользователи и группы)

  1. Поиск и выбор пользователей, групп или подразделений (OUS).

Изображение: поиск пользователей

  1. Выбранные пользователи отображаются в поле SELECTED .

Изображение: выбранный пользователь

  1. Выберите источник, для которого применяется политика. В этом примере выбраны все устройства .

    Изображение: источник

  2. Задайте для назначения значение SL-App1. Необязательно. Можно выбрать кнопку редактирования , чтобы изменить или добавить дополнительные ресурсы или группы ресурсов.

    Изображение: назначение

  3. Для действия выберите "Мост идентификатора записи".

  4. Выберите Сохранить. Вам будет предложено включить политику.

  5. В разделе "Мост идентификатора записи" на странице "Политики" появится политика.

  6. Вернитесь к учетной записи Microsoft Entra и перейдите к корпоративным приложениям. Появится новое приложение Silverfort. Это приложение можно включить в политики условного доступа.

Дополнительные сведения. Руководство. Защита событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra.

Следующие шаги