教學課程:使用 Microsoft Entra ID 和 Silverfort 設定安全的混合式存取

  • 發行項

Silverfort 使用無代理程式和無 Proxy 技術,將內部部署和雲端中的資產連線到 Microsoft Entra ID。 此解決方案可讓組織在 Microsoft Entra ID 中跨環境套用身分識別保護、可見度和用戶體驗。 它可針對內部部署和雲端環境啟用以風險為基礎的驗證活動監視和評估,並協助防止威脅。

在本教學課程中,瞭解如何整合內部部署 Silverfort 實作與 Microsoft Entra ID。

深入了解:

Silverfort 會使用 Microsoft Entra 標識符連接資產。 這些橋接式資產會在 Microsoft Entra ID 中顯示為一般應用程式,並可透過 條件式存取、單一登錄(SSO)、多重要素驗證、稽核等方式加以保護。 使用 Silverfort 連接資產,包括:

  • 舊版和本土應用程式
  • 遠端桌面和安全殼層 (SSH)
  • 命令行工具和其他系統管理員存取權
  • 檔案共享和資料庫
  • 基礎結構和工業系統

Silverfort 整合公司資產和第三方身分識別與存取管理 (IAM) 平臺,其中包括 Microsoft Entra ID 中的 Active Directory 同盟服務 (AD FS) 和遠端驗證撥入使用者服務 (RADIUS)。 此案例包括混合式和多重雲端環境。

使用此教學課程來設定及測試 Microsoft Entra 租使用者中的 Silverfort Microsoft Entra ID 網橋,以與您的 Silverfort 實作通訊。 設定之後,您可以建立 Silverfort 驗證原則,將驗證要求從身分識別來源橋接至適用於 SSO 的 Microsoft Entra ID。 在橋接應用程式之後,您可以在 Microsoft Entra 識別碼中管理它。

Silverfort 搭配 Microsoft Entra 驗證架構

下圖顯示 Silverfort 在混合式環境中協調的驗證架構。

架構圖

使用者流程

  1. 使用者透過 Kerberos、SAML、NTLM、OIDC 和 LDAP 等通訊協定,將驗證要求傳送至原始識別提供者 (IdP)
  2. 回應會以現狀路由傳送至 Silverfort,以進行驗證以檢查驗證狀態
  3. Silverfort 提供可見度、探索和 Microsoft Entra 標識符的網橋
  4. 如果應用程式已橋接,驗證決策會傳遞至 Microsoft Entra ID。 Microsoft Entra ID 會評估條件式存取原則並驗證驗證。
  5. 驗證狀態回應會以現狀從 Silverfort 到 IdP
  6. IdP 授與或拒絕資源存取權
  7. 如果授與或拒絕存取要求,使用者會收到通知

必要條件

您需要在租用戶或基礎結構中部署 Silverfort,才能執行本教學課程。 若要在租用戶或基礎結構中部署 Silverfort,請移至 silverfort.com Silverfort,在您的工作站上安裝 Silverfort 傳統型應用程式。

在您的 Microsoft Entra 租使用者中設定 Silverfort Microsoft Entra 配接器:

  • 具有作用中訂用帳戶的 Azure 帳戶
  • Azure 帳戶中的下列其中一個角色:
    • 全域管理員
    • 雲端應用程式系統管理員
    • 應用程式系統管理員
    • 服務主體擁有者
  • Microsoft Entra 應用連結庫中的 Silverfort Microsoft Entra 配接器應用程式已預先設定以支援 SSO。 從資源庫,將 Silverfort Microsoft Entra Adapter 新增至您的租用戶作為企業應用程式。

設定 Silverfort 並建立原則

  1. 從瀏覽器登入 Silverfort 管理主控台。

  2. 在主功能表中,流覽至 [設定],然後在 [一般] 區段中捲動至 Microsoft Entra ID Bridge 連線 or

  3. 確認您的租用戶標識碼,然後選取 [ 授權]。

  4. 選取儲存變更

  5. 在 [ 要求 的許可權] 對話框中,選取 [ 接受]。

  6. [註冊已完成] 訊息會出現在新索引標籤中。關閉此索引標籤。

    顯示註冊已完成的影像

  7. [設定] 頁面上,選取 [儲存變更]。

  8. 登入您的 Microsoft Entra 帳戶。 在左窗格中,選取 [企業應用程式]。 Silverfort Microsoft Entra Adapter 應用程式會顯示為已註冊。

  9. 在 Silverfort 管理控制台中,流覽至 [ 原則 ] 頁面,然後選取 [ 建立原則]。 [ 新增原則] 對話框隨即出現。

  10. 輸入原則 名稱,這是在 Azure 中建立的應用程式名稱。 例如,如果您要為此原則新增多部伺服器或應用程式,請將它命名為反映原則所涵蓋的資源。 在此範例中,我們會建立 SL-APP1 伺服器的原則。

顯示定義原則的影像

  1. 選取 [驗證類型] 和 [通訊協定]。

  2. 在 [ 使用者和群組 ] 字段中,選取 [ 編輯 ] 圖示以設定受原則影響的使用者。 這些用戶的驗證網橋與 Microsoft Entra ID。

顯示使用者和群組的影像

  1. 搜尋並選取使用者、群組或組織單位(OU)。

影像顯示搜尋使用者

  1. 選取的使用者會出現在 [ 選取 ] 方塊中。

顯示所選取使用者的影像

  1. 選取套用原則的來源。 在此範例中, 會選取 [所有裝置 ]。

    顯示來源的影像

  2. 將 [目的地] 設定為 SL-App1。 選擇性:您可以選取 [編輯] 按鈕來變更或新增更多資源,或資源群組。

    顯示目的地的影像

  3. 針對 [動作],選取 [項目標識符網橋]。

  4. 選取 [儲存]。 系統會提示您開啟原則。

  5. 在 [專案標識符網橋] 區段中,原則會出現在 [原則] 頁面上。

  6. 返回 Microsoft Entra 帳戶,然後瀏覽至 企業應用程式。 新的 Silverfort 應用程式隨即出現。 您可以在條件式存取原則中包含此應用程式。

深入瞭解:教學課程: 使用 Microsoft Entra 多重要素驗證保護使用者登入事件。

下一步