Integrera enkel inloggning med Microsoft Entra med Maverics Identity Orchestrator SAML Anslut or

Stratas Maverics Identity Orchestrator är ett enkelt sätt att integrera lokala program med Microsoft Entra-ID för autentisering och åtkomstkontroll. Maverics Orchestrator kan modernisera autentisering och auktorisering för appar som för närvarande förlitar sig på huvuden, cookies och andra egna autentiseringsmetoder. Maverics Orchestrator-instanser kan distribueras lokalt eller i molnet.

Den här självstudien om hybridåtkomst visar hur du migrerar ett lokalt webbprogram som för närvarande skyddas av en äldre produkt för hantering av webbåtkomst för att använda Microsoft Entra-ID för autentisering och åtkomstkontroll. Här är de grundläggande stegen:

1. Konfigurera Maverics Orchestrator
2. Proxy för ett program
3. Registrera ett företagsprogram i Microsoft Entra-ID
4. Autentisera via Azure och auktorisera åtkomst till programmet
5. Lägga till rubriker för sömlös programåtkomst
6. Arbeta med flera program

Förutsättningar

• En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
• En Maverics Identity Orchestrator SAML-Anslut eller SSO-aktiverad prenumeration. Kontakta Strata Sales för att hämta Maverics-programvaran.
• Minst ett program som använder huvudbaserad autentisering. Exemplen fungerar mot ett program som heter Anslut ulum, som finns på https://app.connectulum.com.
• En Linux-dator som är värd för Maverics Orchestrator
  • OS: RHEL 7.7 eller senare
  • Disk: >= 10 GB
  • Minne: >= 4 GB
  • Portar: 22 (SSH/SCP), 443, 7474
  • Rotåtkomst för installation/administrativa uppgifter
  • Utgående nätverk från servern som är värd för Maverics Identity Orchestrator till ditt skyddade program

Steg 1: Konfigurera Maverics Orchestrator

Installera Maverics

1. Hämta den senaste Maverics RPM. Kopiera paketet till det system där du vill installera Maverics-programvaran.

2. Installera Maverics-paketet och ersätt filnamnet i stället för maverics.rpm.

   sudo rpm -Uvf maverics.rpm

   När du har installerat Maverics körs den som en tjänst under systemd. Kontrollera att tjänsten körs genom att köra följande kommando:

   sudo systemctl status maverics

3. Om du vill starta om Orchestrator och följa loggarna kan du köra följande kommando:

   sudo service maverics restart; sudo journalctl --identifier=maverics -f

När du har installerat Maverics skapas standardfilen maverics.yaml i /etc/maverics katalogen. Innan du redigerar konfigurationen för att inkludera appgateways och connectorsser konfigurationsfilen ut så här z:

# © Strata Identity Inc. 2020. All Rights Reserved. Patents Pending.

version: 0.1
listenAddress: ":7474"

Konfigurera DNS

DNS är användbart så att du inte behöver komma ihåg Orchestrator-serverns IP-adress.

Redigera webbläsardatorns (din bärbara dators) värdfil med hjälp av en hypotetisk Orchestrator-IP på 12.34.56.78. På Linux-baserade operativsystem finns den här filen i /etc/hosts. I Windows finns den på C:\windows\system32\drivers\etc.

12.34.56.78 sonar.maverics.com
12.34.56.78 connectulum.maverics.com

För att bekräfta att DNS har konfigurerats som förväntat kan du göra en begäran till Orchestrators statusslutpunkt. Från webbläsaren begär du http://sonar.maverics.com:7474/status.

Konfigurera TLS

Att kommunicera via säkra kanaler för att kommunicera med Orchestrator är viktigt för att upprätthålla säkerheten. Du kan lägga till ett certifikat/nyckelpar i avsnittet tls för att uppnå detta.

Om du vill generera ett självsignerat certifikat och en nyckel för Orchestrator-servern kör du följande kommando inifrån /etc/maverics katalogen:

openssl req -new -newkey rsa:4096 -x509 -sha256 -days 365 -nodes -out maverics.crt -keyout maverics.key

Kommentar

För produktionsmiljöer vill du förmodligen använda ett certifikat som signerats av en känd certifikatutfärdare för att undvika varningar i webbläsaren. Let's Encrypt är ett bra och kostnadsfritt alternativ om du letar efter en betrodd ca.

Använd nu det nyligen genererade certifikatet och nyckeln för Orchestrator. Konfigurationsfilen bör nu innehålla den här koden:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

Om du vill bekräfta att TLS har konfigurerats som förväntat startar du om Maverics-tjänsten och skickar en begäran till statusslutpunkten.

Steg 2: Proxy för ett program

Konfigurera sedan grundläggande proxying i Orchestrator med hjälp appgatewaysav . Det här steget hjälper dig att verifiera att Orchestrator har den nödvändiga anslutningen till det skyddade programmet.

Konfigurationsfilen bör nu innehålla den här koden:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

appgateways:
  - name: sonar
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

Om du vill bekräfta att proxytjänsten fungerar som förväntat startar du om Maverics-tjänsten och skickar en begäran till programmet via Maverics-proxyn. Du kan också göra en begäran till specifika programresurser.

Steg 3: Registrera ett företagsprogram i Microsoft Entra-ID

Skapa nu ett nytt företagsprogram i Microsoft Entra-ID som ska användas för att autentisera slutanvändare.

Kommentar

När du använder Microsoft Entra-funktioner som villkorsstyrd åtkomst är det viktigt att skapa ett företagsprogram per lokalt program. Detta tillåter villkorlig åtkomst per app, riskbedömning per app, tilldelade behörigheter per app och så vidare. I allmänhet mappar ett företagsprogram i Microsoft Entra ID till en Azure-anslutningsapp i Maverics.

Så här registrerar du ett företagsprogram i Microsoft Entra-ID:

1. I din Microsoft Entra-klient går du till Företagsprogram och väljer sedan Nytt program. I Microsoft Entra-galleriet söker du efter Maverics Identity Orchestrator SAML Anslut or och väljer sedan det.

2. I fönstret Maverics Identity Orchestrator SAML Anslut eller Properties anger du Användartilldelning krävs? till Nej för att programmet ska fungera för alla användare i katalogen.

3. I fönstret Maverics Identity Orchestrator SAML Anslut or Overview väljer du Konfigurera enkel inloggning och sedan SAML.

4. I fönstret Maverics Identity Orchestrator SAML Anslut eller SAML-baserad inloggning redigerar du den grundläggande SAML-konfigurationen genom att välja knappen Redigera (pennikon).

   

5. Ange ett entitets-ID för https://sonar.maverics.com. Entitets-ID:t måste vara unikt för apparna i klientorganisationen och det kan vara ett godtyckligt värde. Du använder det här värdet när du definierar fältet samlEntityID för azure-anslutningsappen i nästa avsnitt.

6. Ange en svars-URL förhttps://sonar.maverics.com/acs. Du använder det här värdet när du definierar fältet samlConsumerServiceURL för azure-anslutningsappen i nästa avsnitt.

7. Ange en inloggnings-URL förhttps://sonar.maverics.com/. Det här fältet kommer inte att användas av Maverics, men det krävs i Microsoft Entra-ID för att användarna ska få åtkomst till programmet via Microsoft Entra-Mina appar-portalen.

8. Välj Spara.

9. I avsnittet SAML-signeringscertifikat väljer du knappen Kopiera för att kopiera url-värdet för appfederationsmetadata och sparar det sedan på datorn.

   

Steg 4: Autentisera via Azure och auktorisera åtkomst till programmet

Placera sedan det företagsprogram som du nyss skapade för att använda genom att konfigurera Azure-anslutningsappen i Maverics. Med den här connectors konfigurationen idps i kombination med blocket kan Orchestrator autentisera användare.

Konfigurationsfilen bör nu innehålla följande kod. Se till att ersätta METADATA_URL med url-värdet för appfederationsmetadata från föregående steg.

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

idps:
  - name: azureSonarApp

appgateways:
  - name: sonar
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureSonarApp.authenticated}}", "true"]

connectors:
  - name: azureSonarApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://sonar.maverics.com/acs
    samlEntityID: https://sonar.maverics.com

För att bekräfta att autentiseringen fungerar som förväntat startar du om Maverics-tjänsten och skickar en begäran till en programresurs via Maverics-proxyn. Du bör omdirigeras till Azure för autentisering innan du kommer åt resursen.

Steg 5: Lägga till rubriker för sömlös programåtkomst

Du skickar inte rubriker till det överordnade programmet än. Nu ska vi lägga till headers i begäran när den skickas via Maverics-proxyn så att det överordnade programmet kan identifiera användaren.

Konfigurationsfilen bör nu innehålla den här koden:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

idps:
  - name: azureSonarApp

appgateways:
  - name: sonar
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureSonarApp.authenticated}}", "true"]

    headers:
      email: azureSonarApp.name
      firstname: azureSonarApp.givenname
      lastname: azureSonarApp.surname

connectors:
  - name: azureSonarApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://sonar.maverics.com/acs
    samlEntityID: https://sonar.maverics.com

Bekräfta att autentiseringen fungerar som förväntat genom att skicka en begäran till en programresurs via Maverics-proxyn. Det skyddade programmet bör nu ta emot huvuden på begäran.

Redigera huvudnycklarna om programmet förväntar sig olika rubriker. Alla anspråk som kommer tillbaka från Microsoft Entra-ID som en del av SAML-flödet är tillgängliga för användning i rubriker. Du kan till exempel inkludera en annan rubrik secondary_email: azureSonarApp.emailför , där azureSonarApp är anslutningsappens namn och email är ett anspråk som returneras från Microsoft Entra-ID.

Steg 6: Arbeta med flera program

Nu ska vi ta en titt på vad som krävs för proxy till flera program som finns på olika värdar. För att uppnå det här steget konfigurerar du en annan App Gateway, ett annat företagsprogram i Microsoft Entra-ID och en annan anslutningsapp.

Konfigurationsfilen bör nu innehålla den här koden:

version: 0.1
listenAddress: ":443"

tls:
  maverics:
    certFile: /etc/maverics/maverics.crt
    keyFile: /etc/maverics/maverics.key

idps:
  - name: azureSonarApp
  - name: azureConnectulumApp

appgateways:
  - name: sonar
    host: sonar.maverics.com
    location: /
    # Replace https://app.sonarsystems.com with the address of your protected application
    upstream: https://app.sonarsystems.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureSonarApp.authenticated}}", "true"]

    headers:
      email: azureSonarApp.name
      firstname: azureSonarApp.givenname
      lastname: azureSonarApp.surname

  - name: connectulum
    host: connectulum.maverics.com
    location: /
    # Replace https://app.connectulum.com with the address of your protected application
    upstream: https://app.connectulum.com

    policies:
      - resource: /
        allowIf:
          - equal: ["{{azureConnectulumApp.authenticated}}", "true"]

    headers:
      email: azureConnectulumApp.name
      firstname: azureConnectulumApp.givenname
      lastname: azureConnectulumApp.surname

connectors:
  - name: azureSonarApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://sonar.maverics.com/acs
    samlEntityID: https://sonar.maverics.com

  - name: azureConnectulumApp
    type: azure
    authType: saml
    # Replace METADATA_URL with the App Federation Metadata URL
    samlMetadataURL: METADATA_URL
    samlConsumerServiceURL: https://connectulum.maverics.com/acs
    samlEntityID: https://connectulum.maverics.com

Du kanske har märkt att koden lägger till ett host fält i appgatewaydefinitionerna. Fältet host gör det möjligt för Maverics Orchestrator att särskilja vilken överordnade värd som proxytrafik till.

Bekräfta att den nyligen tillagda App Gateway fungerar som förväntat genom att skicka en begäran till https://connectulum.maverics.com.

Avancerade scenarier

Identitetsmigrering

Kan inte stå ut med ditt verktyg för hantering av webbåtkomst i slutet av livet, men du har inget sätt att migrera användarna utan massåterställning av lösenord? Maverics Orchestrator stöder identitetsmigrering med hjälp migrationgatewaysav .

Webbservergatewayer

Vill du inte omarbeta nätverks- och proxytrafiken via Maverics Orchestrator? Inte ett problem. Maverics Orchestrator kan paras ihop med webbservergatewayer (moduler) för att erbjuda samma lösningar utan proxy.

Avslutning

Nu har du installerat Maverics Orchestrator, skapat och konfigurerat ett företagsprogram i Microsoft Entra-ID och konfigurerat Orchestrator till proxy till ett skyddat program samtidigt som du kräver autentisering och framtvingandeprincip. Kontakta Strata om du vill veta mer om hur Maverics Orchestrator kan användas för användningsfall för distribuerad identitetshantering.

Nästa steg

• Vad är programåtkomst och enkel inloggning med Microsoft Entra-ID?
• Vad är villkorlig åtkomst i Microsoft Entra-ID?