教學課程：使用Microsoft Entra識別碼和資料wiza 設定安全混合式存取

在本教學課程中，瞭解如何整合Microsoft Entra識別碼與Datawiza以進行混合式存取。 Datawiza Access Proxy (DAP) 擴充Microsoft Entra識別碼，以啟用單一登入 (SSO) ，並提供存取控制來保護內部部署和雲端裝載的應用程式，例如 Oracle E-Business Suite、Microsoft IIS 和 SAP。 透過此解決方案，企業可以從舊版 Web 存取管理員 (WAM) ，例如 Symantec SiteMinder、NetIQ、Oracle 和 IBM，轉換為Microsoft Entra識別碼，而不需重寫應用程式。 企業可以使用 Datawiza 作為無程式碼或低程式碼的解決方案，將新的應用程式整合到Microsoft Entra識別碼。 這種方法可讓企業實作其零信任策略，同時節省工程時間和降低成本。

深入瞭解：零信任安全性

具有Microsoft Entra驗證架構的 Datawiza

Datawiza 整合包括下列元件：

• Microsoft Entra識別碼- 身分識別和存取管理服務，可協助使用者登入及存取外部和內部資源
• Datawiza Access Proxy (DAP) - 此服務會透過 HTTP 標頭以透明方式將身分識別資訊傳遞至應用程式
• Datawiza Cloud Management Console (DCMC) - 讓系統管理員管理 DAP 設定和存取控制原則的 UI 和 RESTful API

下圖說明混合式環境中的 Datawiza 驗證架構。

1. 使用者要求存取內部部署或雲端裝載的應用程式。 DAP 會將要求 Proxy 處理至應用程式。
2. DAP 會檢查使用者驗證狀態。 如果沒有會話權杖，或會話權杖無效，DAP 會將使用者要求傳送至Microsoft Entra識別碼以進行驗證。
3. Microsoft Entra識別碼會將使用者要求傳送至Microsoft Entra租使用者中 DAP 註冊期間指定的端點。
4. DAP 會評估要包含在轉送至應用程式的 HTTP 標頭中的原則和屬性值。 DAP 可能會呼叫識別提供者，以擷取資訊以正確設定標頭值。 DAP 會設定標頭值，並將要求傳送至應用程式。
5. 使用者經過驗證並被授與存取權。

必要條件

若要開始，您需要：

• Azure 訂用帳戶
  • 如果沒有訂用帳戶，您可以取得 Azure 免費帳戶
• 連結至 Azure訂用帳戶的Microsoft Entra租使用者
• 需要 Docker 和 docker-compose 才能執行 DAP
  • 您的應用程式可以在平臺上執行，例如虛擬機器 (VM) 或裸機
• 要從舊版身分識別系統轉換到Microsoft Entra識別碼的內部部署或雲端裝載應用程式
  • 在此範例中，DAP 會部署在與應用程式相同的伺服器上
  • 應用程式會在 localhost 上執行：3001。 DAP Proxy 會透過 localhost 將流量傳送至應用程式：9772
  • 應用程式的流量會到達 DAP，並且會代理至應用程式

設定 Datawiza Cloud Management Console

1. 登入 Datawiza Cloud Management Console (DCMC)。

2. 在 DCMC 上建立應用程式，並為應用程式產生金鑰組： PROVISIONING_KEY 和 PROVISIONING_SECRET 。

3. 若要建立應用程式並產生金鑰組，請遵循 Datawiza Cloud Management Console 中的指示。

4. 在 [Microsoft Entra識別碼] 中註冊您的應用程式，並使用 [單鍵整合] Microsoft Entra識別碼。

   

5. 若要使用 Web 應用程式，請手動填入表單欄位： 租使用者識別碼、 用戶端識別碼和 用戶端密碼。

   深入瞭解：若要建立 Web 應用程式並取得值，請移至Microsoft Entra識別碼檔的 docs.datawiza.com。

   

6. 使用 Docker 或 Kubernetes 執行 DAP。 需要 docker 映像才能建立範例標頭式應用程式。

• 針對 Kubernetes，請參閱 使用 Kubernetes 使用 Web 應用程式部署 Datawiza Access Proxy
• 針對 Docker，請參閱 使用您的應用程式部署 Datawiza 存取 Proxy
  • 您可以使用下列範例 Docker 映像 docker-compose.yml 檔案：

services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
   - "9772:9772"
   environment:
   PROVISIONING_KEY: #############################################
   PROVISIONING_SECRET: ##############################################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   restart: always
ports:
- "3001:3001"

7. 登入容器登錄。
8. 在此 重要步驟中下載 DAP 映射和標頭型應用程式。
9. 執行下列命令：docker-compose -f docker-compose.yml up。
10. 標頭型應用程式已啟用具有Microsoft Entra識別碼的 SSO。
11. 在瀏覽器中，前往 http://localhost:9772/。
12. Microsoft Entra登入頁面隨即出現。
13. 將使用者屬性傳遞給標頭式應用程式。 DAP 會從Microsoft Entra識別碼取得使用者屬性，並透過標頭或 Cookie 將屬性傳遞至應用程式。
14. 若要將電子郵件地址、名字和姓氏等使用者屬性傳遞至標頭型應用程式，請參閱 傳遞使用者屬性。
15. 若要確認已設定的使用者屬性，請觀察每個屬性旁的綠色核取記號。

測試流程

1. 移至應用程式 URL。
2. DAP 會將您重新導向至Microsoft Entra登入頁面。
3. 驗證之後，系統會將您重新導向至 DAP。
4. DAP 會評估原則、計算標頭，並將您傳送至應用程式。
5. 要求的應用程式隨即出現。

下一步

• 教學課程：使用 Datawiza 設定 Azure Active Directory B2C 以提供安全的混合式存取
• 教學課程：設定 Datawiza 以啟用 Microsoft Entra多重要素驗證和 SSO 至 Oracle JD Edwards
• 教學課程：設定 Datawiza 以啟用Microsoft Entra多重要素驗證和 SSO 至 Oracle PeopleSoft
• 移至 Datawiza使用者指南docs.datawiza.com