Руководство по интеграции единого входа Microsoft Entra с RStudio Подключение аутентификации SAML

В этом руководстве вы узнаете, как интегрировать RStudio Подключение аутентификацию SAML с идентификатором Microsoft Entra. Интеграция RStudio Подключение SAML Authentication с идентификатором Microsoft Entra ID позволяет:

• Контроль доступа к RStudio Подключение аутентификации SAML с помощью идентификатора Microsoft Entra ID.
• Включите автоматический вход пользователей в RStudio Подключение аутентификации SAML с помощью учетных записей Microsoft Entra.
• Управление учетными записями в одном центральном расположении.

Необходимые компоненты

Чтобы настроить интеграцию Microsoft Entra с RStudio Подключение SAML Authentication, вам потребуется следующее:

• Подписка Microsoft Entra. Если у вас нет среды Microsoft Entra, вы можете получить бесплатную учетную запись.
• Проверка подлинности SAML RStudio Connect. Есть возможность бесплатного ознакомительного использования в течение 45 дней.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Приложение "Проверка подлинности SAML RStudio Connect" поддерживает единый вход, инициируемый поставщиком услуг и поставщиком удостоверений.

• Приложение "Проверка подлинности SAML RStudio Connect" поддерживает JIT-подготовку пользователей.

Добавление приложения "Проверка подлинности SAML RStudio Connect" из коллекции

Чтобы настроить интеграцию RStudio Подключение SAML Authentication с идентификатором Microsoft Entra ID, необходимо добавить RStudio Подключение SAML Authentication из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
3. В разделе Добавление из коллекции в поле поиска введите Проверка подлинности SAML RStudio Connect.
4. Выберите Проверка подлинности SAML RStudio Connect в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для RStudio Подключение аутентификации SAML

Настройте и проверьте единый вход Microsoft Entra в RStudio Подключение аутентификации SAML с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в RStudio Подключение аутентификации SAML.

Чтобы настроить и проверить единый вход Microsoft Entra в RStudio Подключение аутентификации SAML, выполните следующие действия.

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью Britta Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить пользователю Britta Simon использовать единый вход Microsoft Entra.
2. Настройка единого входа в приложение "Проверка подлинности SAML RStudio Connect" необходима, чтобы настроить параметры единого входа на стороне приложения.
   1. Создание тестового пользователя RStudio Подключение SAML Authentication требуется для того, чтобы в RStudio Подключение SAML Authentication, связанный с представлением пользователя Microsoft Entra.
3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к> приложениям>Identity Applications>Enterprise RStudio Подключение единый вход проверки подлинности>SAML.

3. На странице Выбрать метод единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

   

5. Если вы хотите настроить приложение в режиме, инициируемом поставщиком удостоверений, в разделе Базовая конфигурация SAML выполните следующие действия, заменив <example.com> адресом и портом сервера приложения "Проверка подлинности SAML RStudio Connect":

   a. В текстовом поле Идентификатор введите URL-адрес в следующем формате: https://<example.com>/__login__/saml.

   b. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://<example.com>/__login__/saml/acs.

6. Чтобы настроить приложение для работы в режиме, инициируемом поставщиком услуг, щелкните Задать дополнительные URL-адреса и выполните следующие действия.

   В текстовом поле URL-адрес входа введите URL-адрес в формате https://<example.com>/.

   Примечание.

   Эти значения приведены для примера. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Они определяются с помощью адреса сервера приложения "Проверка подлинности SAML RStudio Connect" (https://example.com в приведенных выше примерах). Если у вас возникли проблемы, обратитесь в группу поддержки приложения "Проверка подлинности SAML RStudio Connect". Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

7. Для приложения "Проверка подлинности SAML RStudio Connect" утверждения SAML должны иметь определенный формат. Для этого необходимо добавить настраиваемые сопоставления атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию, в котором nameidentifier сопоставляется с user.userprincipalname. Проверка подлинности SAML RStudio Connect ожидает, что nameidentifier будет сопоставляться с user.mail, поэтому щелкните значок Изменить и измените сопоставление атрибутов.

   

8. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML нажмите кнопку "Копировать", чтобы копировать URL-адрес метаданных федерации приложений и сохранить его на компьютере.

   

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
2. Перейдите ко всем пользователям удостоверений>>.
3. Выберите "Создать пользователя>" в верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
   4. Выберите Review + create (Просмотреть и создать).
5. Выберите Создать.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как включить единый вход B.Simon, предоставив этому пользователю доступ к RStudio Подключение SAML Authentication.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
2. Перейдите к >приложениям>Identity Applications>Enterprise RStudio Подключение аутентификации SAML.
3. На странице обзора приложения выберите "Пользователи" и "Группы".
4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
   1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
   2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
   3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа в приложении "Проверка подлинности SAML RStudio Connect"

Чтобы настроить единый вход для приложения Проверка подлинности SAML RStudio Connect, необходимо указать URL-адрес метаданных федерации приложений и адрес сервера, которые использовались выше. Это можно реализовать в файле конфигурации приложения "Проверка подлинности SAML RStudio Connect" по пути /etc/rstudio-connect.rstudio-connect.gcfg.

Вот пример файла конфигурации:

[Server]
SenderEmail =

; Important! The user-facing URL of your RStudio Connect SAML Authentication server.
Address = 

[Http]
Listen = :3939

[Authentication]
Provider = saml

[SAML]
Logging = true

; Important! The URL where your IdP hosts the SAML metadata or the path to a local copy of it placed in the RStudio Connect SAML Authentication server.
IdPMetaData = 

IdPAttributeProfile = azure
SSOInitiated = IdPAndSP

Если IdPAttributeProfile = azure, профиль, помимо других параметров, задает для NameIDFormat постоянное значение и переопределяет любые другие указанные атрибуты, заданные в файле конфигурации.

Это станет проблемой, если вы хотите заранее создать пользователя с помощью API RStudio Connect и применить разрешения перед первым входом пользователя. Параметр NameIDFormat должен иметь значение emailAddress или другой уникальный идентификатор, так как значение, установленное в качестве постоянного, хэшируется, и вы не знаете заранее, какое значение используется. Поэтому использовать API не получится. API для создания пользователя для SAML: https://docs.rstudio.com/connect/api/#post-/v1/users

Поэтому в такой ситуации может потребоваться указать следующее в файле конфигурации:

[SAML]
NameIDFormat = emailAddress
UniqueIdAttribute = NameID
UsernameAttribute = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
FirstNameAttribute = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
LastNameAttribute = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
EmailAttribute = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailAddress

Укажите свой адрес сервера в значении Server.Address, а URL-адрес метаданных федерации приложений в значении SAML.IdPMetaData. Обратите внимание, что в этом примере конфигурации используется незашифрованное HTTP-подключение, а идентификатор Microsoft Entra ID требует использования зашифрованного HTTPS-подключения. Вы можете использовать обратный прокси-сервер перед приложением "Проверка подлинности SAML RStudio Connect" или настроить приложение "Проверка подлинности SAML RStudio Connect" для использования HTTPS напрямую.

Если у вас возникли проблемы с конфигурацией, ознакомьтесь с руководством по приложению "Проверка подлинности SAML RStudio Connect" для администраторов или отправьте сообщение электронной почты в группу поддержки RStudio, чтобы получить помощь.

Создание тестового пользователя приложения "Проверка подлинности SAML RStudio Connect"

Используя инструкции этого раздела, вы создадите в приложении "Проверка подлинности SAML RStudio Connect" пользователя Britta Simon. Приложение "Проверка подлинности SAML RStudio Connect" поддерживает JIT-подготовку, и эта функция включена по умолчанию. В этом разделе никакие действия с вашей стороны не требуются. Если пользователь еще не существует в приложении "Проверка подлинности SAML RStudio Connect", он создается при попытке доступа к приложению "Проверка подлинности SAML RStudio Connect".

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

Инициация поставщиком услуг:

• Щелкните "Тестировать это приложение", вы будете перенаправлены на RStudio Подключение URL-адрес для входа в систему SAML, где можно инициировать поток входа.

• Перейдите по URL-адресу для входа в приложение "Проверка подлинности SAML RStudio Connect" и инициируйте поток входа.

Вход, инициированный поставщиком удостоверений

• Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение RStudio Подключение аутентификации SAML, для которой настроили единый вход.

Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. Щелкнув плитку приложения "Проверка подлинности SAML RStudio Connect" на портале "Мои приложения", вы будете перенаправлены на страницу входа приложения, если выполнены настройки для использования в режиме поставщика услуг, или автоматически войдете в приложение "Проверка подлинности SAML RStudio Connect", для которого настроен единый вход, если выполнены настройки для использования в режиме поставщика удостоверений. Дополнительные сведения см. в Мои приложения Microsoft Entra.

Следующие шаги

После настройки приложения "Проверка подлинности SAML RStudio Connect" вы можете применить управление сеансами, которое защищает от хищения конфиденциальных данных вашей организации и несанкционированного доступа к ним в реальном времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.