Dela via

Självstudie: Konfigurera Azure Active Directory B2C med Datawiza för att ge säker hybridåtkomst

  • Artikel

I den här självstudien lär du dig att integrera Azure Active Directory B2C (Azure AD B2C) med Datawiza Access Proxy (DAP) som möjliggör enkel inloggning (SSO) och detaljerad åtkomstkontroll, vilket hjälper Azure AD B2C att skydda lokala äldre program. Med den här lösningen kan företag övergå från äldre till Azure AD B2C utan att skriva om program.

Förutsättningar

För att komma igång behöver du:

  • En Microsoft Entra prenumeration
  • En Azure AD B2C-klientorganisation som är länkad till din Azure-prenumeration
  • Docker, en öppen plattform för utveckling, leverans och körning av program, krävs för att köra DAB
    • Dina program kan köras på plattformar som virtuell dator och utan operativsystem
  • Ett lokalt program för att övergå från ett äldre identitetssystem till Azure AD B2C
    • I den här självstudien distribueras DAB på samma server som programmet
    • Programmet körs på localhost: 3001 och DAP proxyservrar trafik till program via localhost: 9772
    • Programtrafiken når DAB först och är sedan proxied till programmet

Scenariobeskrivning

Datawiza-integrering innehåller följande komponenter:

  • Azure AD B2C: Auktoriseringsservern för att verifiera användarautentiseringsuppgifter
    • Autentiserade användare får åtkomst till lokala program med ett lokalt konto som lagras i katalogen Azure AD B2C
  • Datawiza Access Proxy (DAP): Tjänsten som skickar identitet till program via HTTP-huvuden
  • Datawiza Cloud Management Console (DCMC): En hanteringskonsol för DAB. DCMC-gränssnitt och RESTful-API:er hjälper dig att hantera DAB-konfigurationer och principer för åtkomstkontroll

Följande arkitekturdiagram visar implementeringen.

Diagram över arkitekturen för en Azure AD B2C-integrering med Datawiza för säker åtkomst till hybridprogram.

  1. Användaren begär åtkomst till ett lokalt program. DAB skickar begäran till programmet.
  2. DAP kontrollerar användarautentiseringstillståndet. Utan sessionstoken eller en ogiltig token går användaren till Azure AD B2C för autentisering.
  3. Azure AD B2C skickar användarbegäran till slutpunkten som angavs under DAP-registreringen i Azure AD B2C-klientorganisationen.
  4. DAP utvärderar åtkomstprinciper och beräknar attributvärden i HTTP-huvuden som vidarebefordras till programmet. DAP kan anropa identitetsprovidern (IdP) för att hämta information för att ange huvudvärdena. DAP anger huvudvärdena och skickar begäran till programmet.
  5. Användaren autentiseras med åtkomst till programmet.

Registrera med Datawiza

Om du vill integrera din äldre lokala app med Azure AD B2C kontaktar du Datawiza.

Konfigurera din Azure AD B2C-klientorganisation

Gå till docs.datawiza.com till:

  1. Lär dig hur du registrerar ditt webbprogram i en Azure AD B2C-klientorganisation och konfigurerar ett användarflöde för registrering och inloggning. Mer information finns i Azure AD B2C.

  2. Konfigurera ett användarflöde i Azure Portal.

Anteckning

När du konfigurerar DAB i DCM behöver du klientorganisationens namn, användarflödesnamn, klient-ID och klienthemlighet.

Skapa ett program i DCMC

  1. I DCMC skapar du ett program och genererar ett nyckelpar av PROVISIONING_KEY och PROVISIONING_SECRET för det här programmet. Se Datawiza Cloud Management Console.

  2. Konfigurera IdP med Azure AD B2C. Se del I: Azure AD B2C-konfiguration.

    Skärmbild av IdP-konfigurationsvärden.

Kör DAB med ett huvudbaserat program

Du kan använda Docker eller Kubernetes för att köra DAP. Använd Docker-avbildningen för användare för att skapa ett exempel på ett huvudbaserat program.

Läs mer: Information om hur du konfigurerar DAP- och SSO-integrering finns i Distribuera Datawiza-åtkomstproxy med din app

En docker-exempelbild docker-compose.yml file tillhandahålls. Logga in på containerregistret för att ladda ned DAP-avbildningar och det huvudbaserade programmet.

  1. Distribuera Datawiza-åtkomstproxy med din app.

    version: '3'

services:
datawiza-access-broker:
image: registry.gitlab.com/datawiza/access-broker
container_name: datawiza-access-broker
restart: always
ports:
  - "9772:9772"
environment:
  PROVISIONING_KEY: #############################
  PROVISIONING_SECRET: #############################

header-based-app:
image: registry.gitlab.com/datawiza/header-based-app
container_name: ab-demo-header-app
restart: always
environment:
  CONNECTOR: B2C
ports:
  - "3001:3001"

  2. Det huvudbaserade programmet har SSO aktiverat med Azure AD B2C.

  3. Öppna en webbläsare och ange http://localhost:9772/.

  4. En Azure AD B2C-inloggningssida visas.

Skicka användarattribut till det huvudbaserade programmet

DAB hämtar användarattribut från IdP och skickar dem till programmet med sidhuvud eller cookie. När du har konfigurerat användarattribut visas det gröna kontrolltecknet för användarattribut.

Skärmbild av överförda användarattribut.

Läs mer: Skicka användarattribut som e-postadress, förnamn och efternamn till det rubrikbaserade programmet.

Testa flödet

  1. Gå till den lokala program-URL:en.
  2. DAP omdirigeras till sidan som du konfigurerade i användarflödet.
  3. Välj IdP i listan.
  4. Ange dina autentiseringsuppgifter i prompten. Inkludera vid behov en Microsoft Entra multifaktorautentiseringstoken.
  5. Du omdirigeras till Azure AD B2C, som vidarebefordrar programbegäran till DAP-omdirigerings-URI:n.
  6. DAB utvärderar principer, beräknar rubriker och skickar användaren till det överordnade programmet.
  7. Det begärda programmet visas.

Nästa steg