Поделиться через

Интеграция единого входа Microsoft Entra с Maverics Orchestrator SAML Connector

  • Статья

Maverics Orchestrator Strata предоставляет простой способ интеграции локальных приложений с идентификатором Microsoft Entra для проверки подлинности и управления доступом. Maverics Orchestrator поддерживает модернизацию проверки подлинности и авторизации приложений, в которых в настоящее время применяются заголовки, файлы cookie и другие защищаемые методы проверки подлинности. Экземпляры Maverics Orchestrator можно развертывать локально или в облаке.

В этой статье по гибридному доступу показано, как перенести локальное веб-приложение, которое в настоящее время защищено устаревшим продуктом управления веб-доступом для использования идентификатора Microsoft Entra для проверки подлинности и управления доступом. Ниже перечислены основные шаги.

  1. Настройка оркестратора Maverics
  2. Проксирование приложения
  3. Регистрация корпоративного приложения в идентификаторе Microsoft Entra
  4. Проверка подлинности с помощью идентификатора Microsoft Entra и авторизация доступа к приложению
  5. Добавление заголовков для простого доступа к приложению
  6. Работа с несколькими приложениями

Предварительные условия

  • Подписка на идентификатор Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Платформа управления идентификациями Maverics. Зарегистрируйтесь в maverics.strata.io.
  • По крайней мере одно приложение, использующее проверку подлинности на основе заголовков. В наших примерах мы будем работать над приложением с именем Sonar, которое будет доступно в https://localhost:8443.

Шаг 1. Настройка оркестратора Maverics

После того как вы зарегистрируете учетную запись Maverics на maverics.strata.io, просмотрите статью нашего Учебного центра под названием Начало работы: Среда оценки. В этой статье описаны пошаговые инструкции по созданию среды оценки, скачиванию оркестратора и установке оркестратора на компьютере.

Шаг 2. Расширение идентификатора Microsoft Entra в приложение с помощью рецепта

Затем используйте статью Центра обучения для интеграции Microsoft Entra ID с устаревшим, нестандартным приложением. В этой статье представлен рецепт .json, который автоматически настраивает идентификационную структуру, приложение с использованием заголовков и частично завершённый пользовательский поток.

Шаг 3. Регистрация корпоративного приложения в идентификаторе Microsoft Entra

Теперь мы создадим новое корпоративное приложение в идентификаторе Microsoft Entra, используемом для проверки подлинности конечных пользователей.

Примечание.

При использовании функций идентификатора Microsoft Entra, таких как условный доступ, важно создать корпоративное приложение для каждого локального приложения. Это позволяет использовать условный доступ для каждого приложения, оценку рисков для каждого приложения, назначенные для каждого приложения разрешения и т. д. Как правило, корпоративное приложение в идентификаторе Microsoft Entra сопоставляется с соединителем Azure в Maverics.

  1. В вашем клиенте Microsoft Entra ID перейдите к корпоративным приложениям, нажмите Создать приложение и найдите Maverics Identity Orchestrator SAML Connector в галерее Microsoft Entra ID, а затем выберите его.

  2. На панели Properties (Свойства) страницы Maverics Identity Orchestrator SAML Connector установите для параметра User assignment required? (Требуется ли назначение пользователя?) значение No (Нет), чтобы с приложением могли работать все пользователи в каталоге.

  3. На вкладке Обзор в окне Maverics Identity Orchestrator SAML Connector выберите Настройка единого входа, а затем — SAML.

  4. На странице Maverics Identity Orchestrator SAML Connector на панели Вход на основе SAML отредактируйте Базовую конфигурацию SAML, выбрав кнопку Редактировать (значок карандаша).

    Снимок экрана: кнопка редактирования базовой конфигурации SAML.

  5. Введите идентификатор сущности: https://sonar.maverics.com Идентификатор сущности должен быть уникальным для всех приложений в одном клиенте и может быть произвольным значением. Мы используем это значение при определении samlEntityID поля для соединителя Azure в следующем разделе.

  6. Введите URL-адрес ответа: https://sonar.maverics.com/acs Мы используем это значение при определении samlConsumerServiceURL поля для соединителя Azure в следующем разделе.

  7. Введите URL-адрес для входа: https://sonar.maverics.com/ Это поле не будет использоваться Maverics, но оно необходимо в идентификаторе Microsoft Entra, чтобы пользователи могли получить доступ к приложению через портал Microsoft Entra ID Мои приложения.

  8. Выберите Сохранить.

  9. В разделе Сертификат подписи SAML нажмите кнопку Копировать, чтобы скопировать URL-адрес метаданных федерации приложений и сохранить его на компьютере.

    Снимок экрана:

Шаг 4. Проверка подлинности с помощью идентификатора Microsoft Entra и авторизация доступа к приложению

Перейдите к шагу 4 раздела Центра обучения, расширьте идентификатор Microsoft Entra до устаревшего, нестандартного приложения , чтобы изменить поток пользователя в Maverics. Эти шаги представляют собой пошаговые инструкции по добавлению заголовков в основное приложение и развёртыванию последовательности действий пользователя.

После развертывания потока пользователя, чтобы убедиться, что аутентификация работает должным образом, сделайте запрос к ресурсу приложения через прокси-сервер Maverics. Теперь защищенное приложение должно получать заголовки в запросе.

Вы можете изменить ключи заголовков, если для приложения требуются другие заголовки. Все утверждения, которые возвращаются из Microsoft Entra ID в процессе SAML, доступны для использования в заголовках. Например, можно включить другой заголовок secondary_email: azureSonarApp.email, где azureSonarApp является именем соединителя, а email является утверждением, возвращаемым Microsoft Entra ID.

Сложные сценарии

Миграция идентичности

Вы устали от устаревшего средства управления веб-доступом, но не знаете, как перенести пользователей без массового сброса паролей? Maverics Orchestrator поддерживает миграцию идентичностей с помощью migrationgateways.

Модули веб-сервера

Не хотите перенастраивать сеть и проксировать трафик через Maverics Orchestrator? Это не проблема, оркестратор Maverics можно интегрировать с модулями веб-сервера, чтобы предложить те же решения без использования прокси-сервера.

Упаковка

На этом этапе мы установили Оркестратор Maverics, создали и настроили корпоративное приложение в Microsoft Entra ID и настроили Оркестратор для проксирования к защищенному приложению с обязательной аутентификацией и применением политики. Чтобы узнать больше о том, как Maverics Orchestrator можно использовать для управления распределенной идентификацией, обратитесь в Strata.