Учебник. Интеграция единого входа Azure AD с Kion (прежнее название — cloudtamer.io)

В этом учебнике описано, как интегрировать Kion с Azure Active Directory (Azure AD). Интеграция Kion с Azure AD обеспечивает следующие возможности:

  • управление доступом к Kion с помощью Azure AD;
  • автоматический вход пользователей в Kion с помощью учетных записей Azure AD;
  • Централизованное управление учетными записями через портал Azure.

Предварительные требования

Чтобы приступить к работе, потребуется следующее.

Описание сценария

В рамках этого руководства вы настроите и проверите единый вход Azure AD в тестовой среде.

  • Kion поддерживает единый вход, инициированный поставщиком удостоверений.
  • Kion поддерживает JIT-подготовку пользователей.

Чтобы настроить интеграцию Kion с Azure AD, необходимо добавить Kion из коллекции в список управляемых приложений SaaS.

  1. Войдите на портал Azure с помощью личной учетной записи Майкрософт либо рабочей или учебной учетной записи.
  2. В области навигации слева выберите службу Azure Active Directory.
  3. Перейдите в колонку Корпоративные приложения и выберите Все приложения.
  4. Чтобы добавить новое приложение, выберите Новое приложение.
  5. В разделе Добавление из коллекции в поле поиска введите Kion.
  6. Выберите Kion на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365

Настройка и проверка единого входа Azure AD для Kion (прежнее название — cloudtamer.io)

Настройте и проверьте единый вход Azure AD в Kion с помощью тестового пользователя B.Simon. Чтобы обеспечить работу единого входа, необходимо установить связь между пользователем Azure AD и соответствующим пользователем в Kion.

Чтобы настроить и проверить единый вход Azure AD для Kion, выполните указанные ниже действия.

  1. Настройка единого входа Azure AD необходима, чтобы пользователи могли использовать эту функцию.
    1. Создание тестового пользователя Azure AD требуется для проверки работы единого входа Azure AD с помощью пользователя B.Simon.
    2. Назначение тестового пользователя Azure AD необходимо, чтобы позволить пользователю B.Simon использовать единый вход Azure AD.
  2. Настройка единого входа в Kion необходима, чтобы настроить параметры единого входа на стороне приложения.
    1. Создание тестового пользователя в Kion требуется для того, чтобы в приложении Kion существовал пользователь B.Simon, связанный с соответствующим пользователем в Azure AD.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.
  4. Настройка групповых утверждений для Azure AD и Kion.

Начало настройки единого входа в Kion

  1. Войдите на веб-сайт Kion в качестве администратора.

  2. Щелкните значок + (плюс) в правом верхнем углу и выберите +.

    Снимок экрана: создание IDMS.

  3. Выберите SAML 2.0 в качестве типа IDMS.

  4. Оставьте этот экран открытым и скопируйте значения с него в конфигурацию Azure AD.

Настройка единого входа Azure AD

Выполните следующие действия, чтобы включить единый вход Azure AD на портале Azure.

  1. На портале Azure на странице интеграции с приложением Kion найдите раздел Управление и выберите Единый вход.

  2. На странице Выбрать метод единого входа выберите SAML.

  3. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Изменение базовой конфигурации SAML

  4. В разделе Базовая конфигурация SAML выполните приведенные ниже действия.

    а. В текстовом поле Идентификатор вставьте значение SERVICE PROVIDER ISSUER (ENTITY ID) (Издатель поставщика услуг (идентификатор сущности)), полученное на веб-сайте Kion.

    b. В текстовом поле URL-адрес ответа вставьте значение SERVICE PROVIDER ACS URL (URL-адрес ACS поставщика услуг), полученное на веб-сайте Kion.

  5. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите элемент XML метаданных федерации и выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.

    Ссылка для скачивания сертификата

  6. Требуемые URL-адреса можно скопировать из раздела Настройка Kion.

    Копирование URL-адресов настройки

Создание тестового пользователя Azure AD

В этом разделе описано, как на портале Azure создать тестового пользователя с именем B.Simon.

  1. На портале Azure в области слева выберите Azure Active Directory, Пользователи, а затем — Все пользователи.
  2. В верхней части экрана выберите Новый пользователь.
  3. В разделе Свойства пользователя выполните следующие действия.
    1. В поле Имя введите .
    2. В поле Имя пользователя введите . Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Нажмите кнопку Создать.

Назначение тестового пользователя Azure AD

В этом разделе описано, как включить единый вход в Azure для пользователя B.Simon, предоставив этому пользователю доступ к Kion.

  1. На портале Azure выберите Корпоративные приложения, а затем — Все приложения.
  2. В списке приложений выберите Kion.
  3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.
  4. Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.
  5. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
  6. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
  7. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа в Kion

  1. На странице Add IDMS (Добавление IDMS) выполните следующие действия:

    Снимок экрана: добавление IDMS.

    а. В поле IDMS Name (Имя IDMS) ведите имя, которое отображается пользователям на экране входа.

    Б. В текстовое поле IDENTITY PROVIDER ISSUER (ENTITY ID) (Издатель поставщика удостоверений (идентификатор сущности)) вставьте значение Идентификатор объекта, скопированное на портале Azure.

    c. Откройте в Блокноте скачанный с портала Azure XML-файл метаданных федерации и вставьте его содержимое в текстовое поле IDENTITY PROVIDER METADATA (Метаданные поставщика удостоверений).

    Г. Скопируйте значение SERVICE PROVIDER ISSUER (ENTITY ID) (Издатель поставщика удостоверений (идентификатор сущности)) и вставьте его в текстовое поле Идентификатор в разделе "Базовая конфигурация SAML" на портале Azure.

    д) Скопируйте значение SERVICE PROVIDER ACS URL (URL-адрес ACS поставщика услуг) и вставьте его в текстовое поле URL-адрес ответа в разделе "Базовая конфигурация SAML" на портале Azure.

    е) В разделе Assertion Mapping (Сопоставление утверждений) введите следующие значения:

    Поле Значение
    Имя http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    Фамилия http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
    Адрес электронной почты http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
    Имя пользователя http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  2. Щелкните Create IDMS (Создать IDMS).

Создание тестового пользователя Kion

В этом разделе вы создадите в Kion пользователя с именем Britta Simon. Приложение Kion поддерживает JIT-подготовку пользователей, которая включена по умолчанию. В этом разделе никакие действия с вашей стороны не требуются. Если пользователь еще не существует в Kion, он создается после проверки подлинности.

Проверка единого входа

В этом разделе описано, как проверить конфигурацию единого входа Azure AD с помощью указанных ниже способов.

  • Выберите "Тестировать приложение" на портале Azure, и вы автоматически войдете в приложение Kion, для которого настроили единый вход.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку Kion на портале "Мои приложения", вы автоматически войдете в приложение Kion, для которого настроили единый вход. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Групповые утверждения

Чтобы легко управлять разрешениями пользователей Kion с помощью существующих групп Azure Active Directory, выполните указанные ниже действия.

Конфигурация Azure AD

  1. На портале Azure перейдите в раздел Azure Active DirectoryКорпоративные приложения.
  2. В списке выберите корпоративное приложение для Kion.
  3. В меню слева в разделе Обзор выберите Единый вход.
  4. На странице Единый вход в разделе Утверждения и атрибуты пользователя выберите Изменить.
  5. Выберите Добавить утверждение о группе.

    Примечание

    Вы можете использовать только одно утверждение группы. Если этот параметр отключен, возможно, утверждение группы уже определено.

  6. В разделе Групповые утверждения выберите группы, которые должны возвращаться в утверждении.
    • Если все группы, которые вы собираетесь использовать в Kion, всегда будут назначены этому корпоративному приложению, выберите Группы, назначенные приложению.
    • Если требуется, чтобы отображались все группы (это может привести к большому количеству утверждений групп — в таком случае могут применяться ограничения), выберите Группы, назначенные приложению.
  7. В поле Исходный атрибут оставьте значение Идентификатор группы по умолчанию.
  8. Установите флажок Изменение имени утверждения группы.
  9. В поле Имя введите memberOf.
  10. Чтобы завершить настройку в Azure AD, нажмите кнопку Сохранить.

Конфигурация Kion

  1. В Kion последовательно выберите UsersIdentity Management Systems (Пользователи > Системы управления удостоверениями).
  2. Выберите систему IDMS, созданную для Azure AD.
  3. На странице обзора перейдите на вкладку User Group Associations (Сопоставления групп пользователей).
  4. Для каждого сопоставления группы пользователей необходимо выполнить следующие действия:
    1. Выберите AddAdd New (Добавить > Добавить новое).
    2. В открывшемся диалоговом окне сделайте следующее:
      1. В поле Имя введите memberOf.
      2. В поле Regex (Регулярное выражение) введите идентификатор объекта (из Azure AD) группы, с которой нужно выполнить сопоставление.
      3. В поле User Group (Группа пользователей) выберите внутреннюю группу Kion, которую нужно связать с группой, указанной в поле Regex.
      4. Установите флажок Update on Login (Обновить при входе).
    3. Чтобы добавить сопоставление группы, нажмите кнопку Добавить.

Дальнейшие действия

После настройки Kion вы можете применить функцию управления сеансом, которая в режиме реального времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью Microsoft Cloud App Security.