教學課程：使用 Microsoft Entra ID 和 Datawiza 設定安全的混合式存取

文章
06/23/2024

在本教學課程中，您將了解如何整合 Microsoft Entra ID 與 Datawiza 來進行混合式存取。 Datawiza 存取 Proxy (DAB) 能夠延伸 Microsoft Entra ID 以啟用單一登入 (SSO)，並提供存取控制來保護內部部署與雲端裝載的應用程式，例如 Oracle E-Business Suite、Microsoft IIS 和 SAP。企業可以使用此解決方案快速從舊版 Web 存取管理員 (WAM) (例如 Symantec SiteMinder、NetIQ、Oracle 及 IBM) 移轉至 Microsoft Entra ID，而不需要重寫應用程式。企業可以使用 Datawiza 做為無程式碼或低程式碼的解決方案，將新的應用程式整合至 Microsoft Entra ID。這種方法可讓企業實作其零信任策略，同時節省工程時間和降低成本。

深入了解：零信任安全性

具有 Microsoft Entra 驗證架構的 Datawiza

Datawiza 整合包括下列元件：

Microsoft Entra ID - 身分識別和存取管理服務，能協助使用者登入及存取外部與內部資源
Datawiza 存取 Proxy (DAP) - 此服務會明確透過 HTTP 標頭將身分識別資訊傳遞至應用程式
Datawiza Cloud Management Console (DCMC) - 系統管理員適用的 UI 和 RESTful API，可用於管理 DAB 設定與存取控制原則

下圖說明 Datawiza 在混合式環境中的驗證結構。

讓使用者存取內部部署應用程式的驗證流程架構圖。

使用者要求存取內部部署或雲端裝載的應用程式。 DAP Proxy 會向應用程式提出要求。
DAP 會檢查使用者驗證狀態。如果沒有工作階段權杖，或工作階段權杖無效，DAP 會將使用者要求傳送至 Microsoft Entra ID 以進行驗證。
Microsoft Entra ID 將使用者要求傳送至 Microsoft Entra 租用戶內於 DAB 註冊時所指定的端點。
DAP 會評估原則，以及要在轉送至應用程式 HTTP 標頭中包含的屬性值。 DAP 可能會呼叫識別提供者以擷取資訊，以正確設定標頭值。 DAP 設定標頭值，並將要求傳送至應用程式。
使用者已驗證並獲授與存取權。

必要條件

若要開始，您需要：

Azure 訂用帳戶
- 如果沒有訂用帳戶，您可以取得 Azure 免費帳戶
連結至 Azure 訂用帳戶的 Microsoft Entra 租用戶
Docker 與 docker-compose 是執行 DAP 的必要項目
- 您的應用程式可以在平台上執行，例如虛擬機器 (VM) 和裸機電腦
從舊版身分識別系統移轉至 Microsoft Entra ID 的內部部署或雲端託管應用程式
- 在本範例中，DAP 會部署在與應用程式相同的伺服器上
- 應用程式會在 localhost：3001 上執行。 DAP Proxy 會透過 localhost：9772 將流量傳送至應用程式
- 對應用程式的流量會先達到 DAP，然後再透過 Proxy 處理至應用程式

設定 Datawiza Cloud Management Console

登入 Datawiza Cloud Management Console (DCMC)。
在 DCMC 上建立應用程式，並產生應用程式的金鑰組：PROVISIONING_KEY 和 PROVISIONING_SECRET。
若要建立應用程式並產生金鑰組，請遵循 Datawiza Cloud Management Console 中的指示。
使用單鍵整合 Microsoft Entra ID 在 Microsoft Entra ID 中註冊您的應用程式。
若要使用 Web 應用程式，請手動填入表單欄位：[租用戶識別碼]、[用戶端識別碼] 和 [用戶端密碼]。

深入了解：若要建立 Web 應用程式並取得值，請移至 docs.datawiza.com 以取得 Microsoft Entra ID 文件。
使用 Docker 或 Kubernetes 執行 DAP。需要 docker 映像才能建立範例標頭式應用程式。

如需了解 Kubernetes，請參閱透過使用 Kubernetes 的 Web 應用程式部署 Datawiza 存取 Proxy
針對 Docker，請參閱使用您的應用程式部署 Datawiza 存取 Proxy
- 您可以使用下列範例 Docker 映像 docker-compose.yml 檔案：

services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
   - "9772:9772"
   environment:
   PROVISIONING_KEY: #############################################
   PROVISIONING_SECRET: ##############################################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   restart: always
ports:
- "3001:3001"

登入容器登錄。
在此重要步驟中，下載 DAP 映像和標頭型應用程式。
執行下列命令：docker-compose -f docker-compose.yml up
標頭型應用程式已使用 Microsoft Entra ID 啟用 SSO。
在瀏覽器中，前往 http://localhost:9772/。
Microsoft Entra 登入頁面隨即顯示。
將使用者屬性傳遞給標頭式應用程式。 DAP 從 Microsoft Entra ID 取得使用者屬性，且透過標頭或 Cookie 將這些屬性傳遞至應用程式。
若要傳遞使用者屬性 (例如電子郵件地址、名字及姓氏) 至標頭式應用程式，請參閱傳遞使用者屬性。
若要確認已設定使用者屬性，請觀察每個屬性旁的綠色核取記號。

包含主機、電子郵件、名字和姓氏等屬性的首頁螢幕擷取畫面。

測試流程

移至應用程式 URL。
DAP 會將您重新導向至 Microsoft Entra 登入頁面。
進行驗證後，系統會將您重新導向至 DAP。
DAP 會評估原則、計算標頭，並將您傳送至應用程式。
要求的應用程式隨即出現。

分享方式：