Настройка Authomize для единого входа с помощью идентификатора Microsoft Entra

В этой статье вы узнаете, как интегрировать Authomize с идентификатором Microsoft Entra. Интеграция Authomize с идентификатором Microsoft Entra позволяет:

  • Контроль пользователей, имеющих доступ к Authomize, в Microsoft Entra ID.
  • Включите автоматический вход пользователей в Authomize с помощью учетных записей Microsoft Entra.
  • Управляйте своими аккаунтами централизованно.

Предпосылки

Чтобы приступить к работе, вам потребуется следующее:

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Подписка Authomize с включенной поддержкой единого входа.
  • Наряду с администратором облачных приложений администратор приложений также может добавлять или управлять приложениями в Microsoft Entra ID. Дополнительные сведения см. в статье о встроенных ролях Azure.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Authomize поддерживает SSO, инициированный SP и IDP.
  • Authomize поддерживает предоставление доступа пользователей по принципу Just In Time (JIT).

Чтобы настроить интеграцию Authomize с идентификатором Microsoft Entra ID, необходимо добавить Authomize из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к Entra ID>корпоративные приложения>Новое приложение.
  3. В разделе "Добавление из коллекции " в поле поиска введите Authomize .
  4. Выберите Authomize на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш арендный объект.

Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Authomize

Настройте и проверьте единый вход Microsoft Entra в Authomize с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Authomize.

Чтобы настроить и проверить единый вход Microsoft Entra в Authomize, выполните следующие действия:

  1. Настройте единый вход Microsoft Entra , чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra , чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
  2. Настройка SSO Authomize — для настройки параметров единого входа на стороне приложения.
    1. Создайте тестового пользователя Authomize — для создания в Authomize аналога пользователя B.Simon, связанного с представлением пользователя в Microsoft Entra.
  3. Проверка SSO , чтобы убедиться, что конфигурация работает.

Настройте SSO в Microsoft Entra

Выполните следующие действия, чтобы активировать Microsoft Entra SSO.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к Entra ID>Корпоративным приложениям>Authomize>Единая аутентификация.

  3. На странице "Выбор метода единого входа" выберите SAML.

  4. На странице "Настройка единого входа" на странице SAML выберите значок карандаша для базовой конфигурации SAML , чтобы изменить параметры.

    Снимок экрана: изменение базовой конфигурации SAML.

  5. В разделе "Базовая конфигурация SAML" выполните следующие действия.

    a. В текстовом поле "Идентификатор" введите URL-адрес, используя следующий шаблон: https://<CustomerName>.authomize.com/api/sso/metadata.xml?domain=<DOMAIN>

    б. В текстовом поле "URL-адрес ответа" введите URL-адрес, используя следующий шаблон: https://<CustomerName>.authomize.com/api/sso/assert?domain=<DOMAIN>

  6. Выберите "Задать дополнительные URL-адреса " и выполните следующие действия, если вы хотите настроить приложение в режиме, инициированном поставщиком служб :

    a. В текстовом поле URL-адреса входа введите URL-адрес, используя следующий шаблон: https://<CustomerName>.authomize.com

    б. В текстовом поле "Состояние ретранслятора " введите URL-адрес, используя следующий шаблон: https://<CustomerName>.authomize.com

    Примечание.

    Эти значения не являются реальными. Измените следующие значения: актуальный идентификатор, URL-адрес ответа, URL-адрес входа и URL-адрес состояния ретрансляции. Чтобы получить эти значения, обратитесь к группе поддержки клиентов Authomize. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

  7. Нажмите кнопку "Сохранить".

  8. Приложение Authomize ожидает получения утверждений SAML в определенном формате, поэтому вам нужно добавить настраиваемые сопоставления атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.

    Снимок экрана: изображение приложения Authomize.

  9. Помимо вышеперечисленного, приложение Authomize ожидает, что в ответе SAML будут переданы несколько дополнительных атрибутов, которые показаны ниже. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.

    Имя Атрибут источника
    идентификатор пользователя почта_пользователя
  10. На странице "Настройка единого входа с помощью SAML " в разделе "Сертификат подписи SAML " найдите сертификат (Base64) и выберите "Скачать ", чтобы скачать сертификат и сохранить его на компьютере.

    Снимок экрана: ссылка на скачивание сертификата.

  11. Скопируйте соответствующие URL-адреса в разделе "Настройка Authomize " в соответствии с вашим требованием.

    На снимке экрана показано, как скопировать подходящие URL-адреса конфигурации.

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя, чтобы создать тестовую учетную запись пользователя B.Simon.

Настройка единого входа в Authomize

  1. Войдите на корпоративный сайт Authomize от имени администратора.

  2. Перейдите в Настройки (значок шестеренки) >SSO.

  3. На странице "Параметры единого входа" выполните следующие действия.

    Снимок экрана: параметры конфигурации.

    a. Установите флажок "Включить SSO".

    б. Введите допустимое имя в текстовом поле "Заголовок ".

    с. Введите свой домен электронной почты в текстовое поле.

    д. В текстовое поле URL-адреса единого входа поставщика удостоверений вставьте значение URL-адреса входа , скопированное ранее.

    д) Откройте скачанный сертификат (Base64) в Блокнот и вставьте содержимое в текстовое поле "Общедоступный сертификат x509 ".

    е) Выберите "Сохранить конфигурацию".

Создание тестового пользователя Authomize

В этом разделе пользователь с именем B.Simon создается в Authomize. Authomize поддерживает подготовку пользователей по требованию, которая включена по умолчанию. В этом разделе для вас нет пункта действий. Если пользователь еще не существует в Authomize, он создается после проверки подлинности.

Тестирование SSO

В этом разделе вы проверяете свою конфигурацию единого входа Microsoft Entra, используя следующие опции.

Инициировано Поставщиком Услуг

  • Выберите "Тестировать это приложение", вы будете перенаправлены на URL-адрес Authomize для входа, где вы можете начать процесс входа.

  • Перейдите непосредственно по URL-адресу для авторизации в Authomize и начните процесс входа оттуда.

Инициатор IDP:

  • Выберите "Тестировать это приложение", и вы автоматически войдете в приложение Authomize, для которого настроили единый вход.

Вы также можете использовать Microsoft My Apps для тестирования приложения в любом режиме. При выборе плитки Authomize в разделе "Мои приложения", если СП режим настроен, вы будете перенаправлены на страницу входа приложения для начала процесса входа, а если настроен режим поставщика удостоверений (IDP), вы автоматически войдете в приложение Authomize, для которого вы настроили единый вход (SSO). Дополнительные сведения о моих приложениях см. в разделе "Общие сведения о моих приложениях".

После настройки Authomize вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансами выходит за рамки условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облачных приложений.