Поделиться через

Руководство по настройке безопасного гибридного доступа с помощью идентификатора Microsoft Entra и Datawiza

  • Статья

В этом руководстве описано, как интегрировать идентификатор Microsoft Entra с Datawiza для гибридного доступа. Datawiza Access Proxy (DAP) расширяет идентификатор Microsoft Entra, чтобы включить единый вход (SSO) и предоставить элементы управления доступом для защиты локальных и облачных приложений, таких как Oracle E-Business Suite, Microsoft IIS и SAP. Благодаря этому решению предприятия могут переходить от устаревших диспетчеров веб-доступа (WAM), таких как Symantec SiteMinder, NetIQ, Oracle и IBM, на идентификатор Microsoft Entra id без перезаписи приложений. Предприятия могут использовать Datawiza в качестве кода без кода или низкого кода для интеграции новых приложений с идентификатором Microsoft Entra. Этот подход позволяет предприятиям реализовывать свою стратегию "Никому не доверяй", экономя время на проектирование и сокращая расходы.

Дополнительные сведения: безопасность нулевого доверия

Datawiza с архитектурой проверки подлинности Microsoft Entra

Интеграция с Datawiza включает в себя следующие компоненты:

  • Идентификатор Microsoft Entra — служба управления удостоверениями и доступом, которая помогает пользователям входить и получать доступ к внешним и внутренним ресурсам
  • Прокси-сервер доступа Datawiza (DAP) — эта служба прозрачно передает сведения об удостоверениях приложениям через заголовки HTTP
  • Консоль управления облаком Datawiza (DCMC) — интерфейсы ПОЛЬЗОВАТЕЛЬСКОго интерфейса и API RESTful для администраторов для управления конфигурацией DAP и политиками управления доступом

На следующей схеме показана архитектура проверки подлинности с datawiza в гибридной среде.

Схема архитектуры процесса проверки подлинности для доступа пользователей к локальному приложению.

  1. Пользователь запрашивает доступ к локальному или облачному приложению. DAP прокси-серверы запрашивают приложение.
  2. DAP проверяет состояние проверки подлинности пользователя. Если маркер сеанса отсутствует или маркер сеанса недействителен, DAP отправляет запрос пользователя в идентификатор Microsoft Entra для проверки подлинности.
  3. Идентификатор Microsoft Entra отправляет запрос пользователя в конечную точку, указанную во время регистрации DAP в клиенте Microsoft Entra.
  4. DAP оценивает политики и значения атрибутов, которые будут включены в заголовки HTTP, перенаправленные в приложение. DAP может вызвать поставщика удостоверений, чтобы получить информацию, чтобы правильно задать значения заголовков. DAP задает значения заголовков и отправляет запрос приложению.
  5. Пользователь проходит проверку подлинности и предоставляется доступ.

Необходимые компоненты

Для начала работы необходимы перечисленные ниже компоненты и данные.

  • Подписка Azure
  • Клиент Microsoft Entra, связанный с подпиской Azure
  • Docker и docker-compose необходимы для запуска DAP
    • Приложения могут выполняться на платформах, таких как виртуальная машина или компьютер без операционной системы.
  • Локальное или облачное приложение для перехода с устаревшей системы удостоверений на идентификатор Microsoft Entra
    • В этом примере DAP развертывается на том же сервере, что и приложение.
    • Приложение выполняется в localhost: 3001. Трафик прокси-серверов DAP к приложению через localhost: 9772
    • Трафик к приложению достигает DAP и является прокси-сервером приложения.

Настройка консоли управления облаком Datawiza

  1. Войдите в консоль управления облаком Datawiza (DCMC).

  2. Создайте приложение в DCMC и создайте пару ключей для приложения: PROVISIONING_KEY и PROVISIONING_SECRET.

  3. Чтобы создать приложение и сгенерировать пару ключей, следуйте инструкциям в Datawiza Cloud Management Console.

  4. Зарегистрируйте приложение в идентификаторе Microsoft Entra с помощью one Click Integration With Microsoft Entra ID.

    Снимок экрана: функция автоматического генератора в диалоговом окне

  5. Чтобы использовать веб-приложение, заполните поля формы вручную: идентификатор клиента, идентификатор клиента и секрет клиента.

    Дополнительные сведения. Чтобы создать веб-приложение и получить значения, перейдите к docs.datawiza.com документации по идентификатору Microsoft Entra.

    Снимок экрана: диалоговое окно

  6. Запустите DAP с помощью Docker или Kubernetes. Образ Docker требуется для создания примера приложения на основе заголовков.

services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
   - "9772:9772"
   environment:
   PROVISIONING_KEY: #############################################
   PROVISIONING_SECRET: ##############################################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   restart: always
ports:
- "3001:3001"
  1. Войдите в реестр контейнеров.
  2. Скачайте образы DAP и приложение на основе заголовков на этом важном шаге.
  3. Выполните следующую команду: docker-compose -f docker-compose.yml up.
  4. Приложение на основе заголовков включает единый вход с идентификатором Microsoft Entra.
  5. Для этого откройте в браузере адрес http://localhost:9772/.
  6. Появится страница входа в Microsoft Entra.
  7. Передайте пользовательские атрибуты в приложение на основе заголовков. DAP получает атрибуты пользователя из идентификатора Microsoft Entra и передает атрибуты приложению через заголовок или файл cookie.
  8. Чтобы передать атрибуты пользователя, такие как адрес электронной почты, имя и фамилию в приложение на основе заголовков, см . раздел "Передача атрибутов пользователя".
  9. Чтобы подтвердить настроенные атрибуты пользователя, обратитесь к зеленому флажку рядом с каждым атрибутом.

Снимок экрана: домашняя страница с атрибутами узла, электронной почты, имени и фамилии.

Проверка потока

  1. Выберите URL-адрес приложения.
  2. DAP перенаправляет вас на страницу входа Microsoft Entra.
  3. После проверки подлинности вы перенаправляетесь в DAP.
  4. DAP вычисляет политики, вычисляет заголовки и отправляет вас в приложение.
  5. Появится запрошенное приложение.

Следующие шаги