Интеграция единого входа Microsoft Entra с SURFconext

В этой статье вы узнаете, как интегрировать SURFconext с идентификатором Microsoft Entra. Подключенные организации SURF могут использовать SURFconext для входа во многие облачные приложения с учетными данными учреждения. Интеграция SURFconext с идентификатором Microsoft Entra позволяет:

• Контроль доступа к SURFconext с помощью идентификатора Microsoft Entra ID.
• Включите автоматический вход пользователей в SURFconext с помощью учетных записей Microsoft Entra.
• Управление учетными записями в одном центральном расположении.

Вы настроите и проверьте единый вход Microsoft Entra для SURFconext в тестовой среде. SURFconext поддерживает единый вход, инициированный поставщиком услуг, и подготовку пользователей Just In Time .

Примечание.

Идентификатор этого приложения — фиксированное строковое значение, поэтому в одном клиенте можно настроить только один экземпляр.

Необходимые компоненты

Чтобы интегрировать идентификатор Microsoft Entra с SURFconext, вам потребуется:

• Учетная запись пользователя Microsoft Entra. Если ее нет, можно создать учетную запись бесплатно.
• Одна из следующих ролей: Application Администратор istrator, Cloud Application Администратор istrator или Владелец приложения.
• Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
• Подписка SURFconext с поддержкой единого входа.

Добавление приложения и назначение тестового пользователя

Прежде чем приступить к настройке единого входа, необходимо добавить приложение SURFconext из коллекции Microsoft Entra. Требуется тестовая учетная запись пользователя, чтобы назначить приложению и проверить конфигурацию единого входа.

Добавление SURFconext из коллекции Microsoft Entra

Добавьте SURFconext из коллекции приложений Microsoft Entra, чтобы настроить единый вход в SURFconext. Дополнительные сведения о добавлении приложения из коллекции см. в кратком руководстве по добавлению приложения из коллекции.

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в статье о создании и назначении учетной записи пользователя, чтобы создать тестовую учетную запись пользователя B.Simon.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение и назначить роли. Мастер также предоставляет ссылку на область конфигурации единого входа. Дополнительные сведения о мастерах Microsoft 365..

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям>Identity>Applications>Enterprise SURFconext>Single sign-on.

3. На странице Выбрать метод единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить эти параметры.

   

5. В разделе Базовая конфигурация SAML выполните приведенные ниже действия.

   a. В текстовом поле Идентификатор введите один из следующих URL-адресов:

   Среда	URL
   Производство	https://engine.surfconext.nl/authentication/sp/metadata
   Промежуточная	https://engine.test.surfconext.nl/authentication/sp/metadata

   b. В текстовом поле URL-адрес ответа введите один из следующих URL-адресов:

   Среда	URL
   Производство	https://engine.surfconext.nl/authentication/sp/consume-assertion
   Промежуточная	https://engine.test.surfconext.nl/authentication/sp/consume-assertion

   c. В текстовом поле URL-адреса входа введите один из следующих URL-адресов:

   Среда	URL
   Производство	https://engine.surfconext.nl/authentication/sp/debug
   Промежуточная	https://engine.test.surfconext.nl/authentication/sp/debug

6. Приложение SURFconext ожидает утверждения SAML в определенном формате, что требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.

   

   Примечание.

   Эти атрибуты по умолчанию можно удалить вручную в разделе "Дополнительные утверждения", если это не требуется.

7. Помимо выше, приложение SURFconext ожидает несколько дополнительных атрибутов в ответе SAML, которые показаны ниже. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.

   Имя.	Атрибут источника
   urn:mace:dir:attribute-def:cn	user.displayname
   urn:mace:dir:attribute-def:displayName	user.displayname
   urn:mace:dir:attribute-def:eduPersonPrincipalName	user.userprincipalname
   urn:mace:dir:attribute-def:givenName	user.givenname
   urn:mace:dir:attribute-def:mail	user.mail
   urn:mace:dir:attribute-def:preferredLanguage	user.preferredlanguage
   urn:mace:dir:attribute-def:sn	user.surname
   urn:mace:dir:attribute-def:uid	user.userprincipalname
   urn:mace:terena.org:attribute-def:schacHomeOrganization	user.userprincipalname

8. Чтобы выполнить операцию преобразования для утверждения urn:mace:terena.org:attribute-def:schacHomeOrganization , нажмите кнопку преобразования в качестве источника в разделе "Управление утверждением ".

9. На странице "Управление преобразованием" выполните следующие действия.

   

   1. Выберите extract() из раскрывающегося списка в поле преобразования и нажмите кнопку "После сопоставления ".

   2. Выберите атрибут в качестве параметра 1 (входные данные).

   3. В поле имени атрибута выберите user.userprinciplename из раскрывающегося списка.

   4. Выберите @ значение из раскрывающегося списка.

   5. Нажмите кнопку Добавить.

10. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML нажмите кнопку "Копировать", чтобы скопировать URL-адрес метаданных федерации приложений и сохранить его на компьютере.

    

Настройка единого входа SURFconext

Чтобы настроить единый вход на стороне SURFconext, необходимо отправить URL-адрес метаданных федерации приложений в службу поддержки SURFconext. Специалисты службы поддержки настроят подключение единого входа SAML на обеих сторонах.

Создание тестового пользователя SURFconext

В этом разделе пользователь с именем B.Simon создается в SURFconext. SURFconext поддерживает JIT-подготовку пользователей, которая включена по умолчанию. В рамках этого раздела никакие действия с вашей стороны не требуются. Если пользователь еще не существует в SURFconext, он обычно создается после проверки подлинности.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

• Щелкните "Тестировать это приложение", вы будете перенаправлены по URL-адресу для входа в SURFconext, где можно инициировать поток входа.

• Перейдите по URL-адресу для входа в SURFconext и инициируйте поток входа.

• Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку SURFconext в Мои приложения, вы перейдете по URL-адресу для входа в SURFconext. Дополнительные сведения см. в Мои приложения Microsoft Entra.

Дополнительные ресурсы

• Что такое единый вход с помощью идентификатора Microsoft Entra?
• Планирование развертывания единого входа.

Следующие шаги

После настройки SURFconext вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью Microsoft Cloud App Security.