Поделиться через

Руководство по интеграции единого входа Microsoft Entra с SignalFx

  • Статья

В этом руководстве описано, как интегрировать SignalFx с идентификатором Microsoft Entra. Интеграция SignalFx с идентификатором Microsoft Entra id позволяет:

  • Контроль с идентификатора Microsoft Entra, имеющего доступ к SignalFx.
  • Включите автоматический вход пользователей в SignalFx с помощью учетных записей Microsoft Entra.
  • Вы также можете централизовано управлять учетными записями через портал Azure.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Подписка SignalFx с поддержкой единого входа.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • SignalFx поддерживает единый вход, инициируемый поставщиком удостоверений.
  • SignalFx поддерживает JIT-подготовку пользователей.

Шаг 1. Добавление приложения SignalFx в Azure

Следуйте этим инструкциям, чтобы добавить приложение SignalFx в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите SignalFx.
  4. Выберите SignalFx в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.
  5. Оставьте центр администрирования Microsoft Entra открытым, а затем откройте новую вкладку браузера.

Шаг 2. Настройка единого входа SignalFx

Следуйте этим инструкциям, чтобы начать процесс настройки единого входа в SignalFx.

  1. На открытой ранее новой вкладке перейдите к пользовательскому интерфейсу SignalFx и войдите в него.
  2. В верхнем меню щелкните Integrations (Интеграции).
  3. В поле поиска введите и выберите идентификатор Microsoft Entra.
  4. Щелкните Create New Integration (Создать интеграцию).
  5. В поле Name (Имя) введите легко узнаваемое имя, которое будет понятно пользователям.
  6. Установите флажок Show on login page (Показывать на странице входа).
    • При выборе этой функции на странице входа будет отображаться настраиваемая кнопка, которую могут нажать пользователи.
    • На кнопке будут отображаться сведения, введенные в поле Name (Имя). Вот почему следует ввести имя, которое смогут узнать пользователи.
    • Этот параметр будет работать только при использовании личного поддомена для приложения SignalFx, например yourcompanyname.signalfx.com. Чтобы получить личный поддомен, обратитесь в службу поддержки SignalFx.
  7. Скопируйте идентификатор интеграции. Эти сведения потребуются на следующем шаге.
  8. Оставьте пользовательский интерфейс SignalFx открытым.

Шаг 3. Настройка единого входа Microsoft Entra

Используйте эти инструкции, чтобы включить единый вход Microsoft Entra.

  1. Вернитесь в Центр администрирования Microsoft Entra и на странице интеграции с приложением SignalFx найдите раздел "Управление " и выберите единый вход.

  2. На странице Выбрать метод единого входа выберите SAML.

  3. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Изменение базовой конфигурации SAML

  4. На странице Настройка единого входа с помощью SAML выполните следующие действия:

    a. В поле Идентификатор введите следующий URL-адрес https://api.<realm>.signalfx.com/v1/saml/metadata и замените <realm> область SignalFx, а также <integration ID> идентификатор интеграции, скопированный ранее из пользовательского интерфейса SignalFx. (кроме области US0, url-адрес должен быть https://api.signalfx.com/v1/saml/metadata).

    b. В поле URL-адрес ответа введите URL-адрес https://api.<realm>.signalfx.com/v1/saml/acs/<integration ID> и замените <realm> своей областью SignalFx, а <integration ID> — идентификатором интеграции, скопированным ранее из пользовательского интерфейса SignalFx. (кроме US0, url-адрес должен быть https://api.signalfx.com/v1/saml/acs/<integration ID>)

  5. Приложение SignalFx ожидает проверочные утверждения SAML в определенном формате, который требует добавить настраиваемые сопоставления атрибутов в конфигурацию атрибутов токена SAML.

  6. Проверьте и убедитесь, что следующие утверждения сопоставлены с исходными атрибутами, подставленными в Active Directory.

    Имя. Атрибут источника
    User.FirstName user.givenname
    User.email user.mail
    PersonImmutableID user.userprincipalname
    User.LastName user.surname

    Примечание.

    Для этого процесса требуется, чтобы в службе Active Directory был настроен хотя бы один проверенный личный домен и у нее был доступ к учетным записям электронной почты в этом домене. Если у вас есть сомнения или вам нужна помощь с настройкой, обратитесь в службу поддержки SignalFx.

  7. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите Сертификат (Base64), а затем выберите Скачать. Скачайте сертификат и сохраните его на локальном компьютере. Затем скопируйте значение URL-адреса метаданных федерации приложений. Эти сведения потребуются на следующем шаге в пользовательском интерфейсе SignalFx.

    Ссылка для скачивания сертификата

  8. Скопируйте значение идентификатора Microsoft Entra в разделе "Настройка SignalFx". Эти сведения потребуются на следующем шаге в пользовательском интерфейсе SignalFx.

Шаг 4. Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Review + create (Просмотреть и создать).
  5. Нажмите кнопку создания.

Шаг 5. Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к SignalFx.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям>Identity>Applications>Enterprise SignalFx.
  3. На странице обзора приложения выберите "Пользователи" и "Группы".
  4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
    1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
    2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
    3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Шаг 6. Завершение настройки единого входа SignalFx

  1. Откройте предыдущую вкладку и вернитесь в пользовательский интерфейс SignalFx, чтобы просмотреть текущую страницу интеграции Microsoft Entra.
  2. Рядом с сертификатом (Base64) нажмите кнопку "Отправить файл", а затем найдите ранее скачанный файл сертификата в кодировке Base64.
  3. Рядом с идентификатором Microsoft Entra вставьте значение идентификатора Microsoft Entra, скопированное ранее.
  4. Рядом с URL-адресом метаданных федерации вставьте значение URL-адреса метаданных федерации приложений, скопированное ранее.
  5. Нажмите кнопку Сохранить.

Шаг 7. Проверка единого входа

Ознакомьтесь со следующими сведениями о тестировании единого входа а также о том, чего следует ожидать при первом входе в SignalFx.

Проверка процедуры входа

  • Чтобы проверить имя входа, следует использовать частное окно / инкогнито или выйти из системы. Если нет, файлы cookie для пользователя, настроенного приложением, будут вмешиваться и препятствовать успешному входу с тестового пользователя.

  • При первом входе нового тестового пользователя Azure принудительно запустит процедуру смены пароля. В этом случае процесс единого входа не завершится, и тестовый пользователь будет перенаправлен на портал Azure. Для устранения этой проблемы тестовый пользователь должен сменить свой пароль, перейти на страницу входа в SignalFx или на портал "Мои приложения" и повторить попытку.

    • Щелкнув элемент SignalFx на портале "Мои приложения", вы автоматически войдете в SignalFx.

  • Доступ к приложению SignalFx можно получить на портале "Мои приложения" или с помощью настраиваемой страницы входа, назначенной организации. Тестовый пользователь должен протестировать интеграцию, начиная с любого из этих расположений.

    • Тестовый пользователь может использовать учетные данные, созданные ранее в рамках этого процесса для b.simon@contoso.com.

Первый вход

  • Когда пользователь в первый раз входит в SignalFx, используя единый вход SAML, он получает сообщение электронной почты SignalFx со ссылкой. Пользователь должен щелкнуть ссылку в целях проверки подлинности. Эта проверка электронной почты выполняется для пользователей только при первом входе.

  • SignalFx поддерживает создание пользователя в режимеJIT-подготовки. Это означает, что если пользователь отсутствует в SignalFx, при первой попытке входа для него будет создана учетная запись пользователя.

Следующие шаги

После настройки SignalFx вы можете применить функцию управления сеансом, которая защищает от хищения конфиденциальных данных вашей организации и несанкционированного доступа к ним в реальном времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.