Поделиться через

Интеграция Microsoft Entra SSO (единого входа) с PolicyStat

  • Статья

Из этой статьи вы узнаете, как интегрировать PolicyStat с идентификатором Microsoft Entra. Интеграция PolicyStat с идентификатором Microsoft Entra позволяет:

  • Контролируйте, кто имеет доступ к PolicyStat через Microsoft Entra ID.
  • Включите автоматический вход пользователей в PolicyStat с помощью учетных записей Microsoft Entra.
  • Управляйте учетными записями из одного центрального места.

Необходимые условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка на PolicyStat с поддержкой единого входа.

Заметка

Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • PolicyStat поддерживает единый вход (SSO), инициированный SP.

  • PolicyStat поддерживает Just In Time (точно в срок) обеспечение пользователей.

Чтобы настроить интеграцию PolicyStat с идентификатором Microsoft Entra, необходимо добавить PolicyStat из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора облачных приложений.
  2. Перейдите к разделу Entra ID>корпоративные приложения>Новое приложение.
  3. В разделе Добавление из галереи в поле поиска введите PolicyStat.
  4. Выберите PolicyStat на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в ваш аккаунт.

Кроме того, можно использовать мастер настройки корпоративных приложений . В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для PolicyStat

Настройте и протестируйте единый вход Microsoft Entra для PolicyStat с использованием тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в PolicyStat.

Чтобы настроить и проверить единый вход Microsoft Entra в PolicyStat, выполните следующие действия.

  1. Настройте Microsoft Entra SSO, чтобы пользователи могли использовать эту функцию.
    1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначить тестового пользователя Microsoft Entra, чтобы B.Simon мог использовать единый вход Microsoft Entra.
  2. Настройте единый вход в PolicyStat - для настройки параметров единого входа на стороне приложения.
    1. Создать тестового пользователя PolicyStat, чтобы в PolicyStat был аналог B.Simon, связанный с учетной записью пользователя Microsoft Entra.
  3. Тест SSO, чтобы удостовериться, что конфигурация работает.

Настройка единого входа службы Microsoft Entra

Выполните следующие действия, чтобы активировать единый вход в Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора облачных приложений.

  2. Перейдите к Entra ID>Enterprise apps>PolicyStat>Single sign-on.

  3. На странице Выбор метода единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

    Изменить базовую конфигурацию SAML

  5. В разделе Базовая конфигурация SAML выполните следующие действия.

    1. В текстовом поле Идентификатор (идентификатор сущности) введите URL-адрес, используя следующий шаблон: https://<companyname>.policystat.com/saml2/metadata/

    2. В текстовом поле введите URL для входа, используя следующий шаблон: https://<companyname>.policystat.com

      Заметка

      Эти значения не являются реальными. Обновите эти значения с помощью текущего идентификатора и URL-адреса входа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов PolicyStat. Вы также можете ссылаться на шаблоны, показанные в разделе Базовая конфигурация SAML.

  6. На странице Настройка Sign-On с SAML в разделе Сертификат подписи SAML выберите Скачать, чтобы загрузить XML-файл метаданных федерации из доступных вариантов по вашим требованиям и сохраните его на вашем компьютере.

    ссылку на скачивание сертификата

  7. Приложение PolicyStat ожидает утверждения SAML в определенном формате, который требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимка экрана показан список атрибутов по умолчанию. Выберите значок редактирования , чтобы открыть диалоговое окно атрибутов пользователя .

    снимок экрана, на котором показано диалоговое окно

  8. Помимо вышеупомянутого, приложение PolicyStat ожидает, что в ответе SAML будут переданы ещё несколько атрибутов. В разделе утверждений пользователей в диалоговом окне атрибутов пользователя выполните следующие действия, чтобы добавить атрибут токена SAML, как показано в следующей таблице:

    Имя Исходный атрибут
    уникальный идентификатор (UID) ИзвлечьПрефиксПочты([mail])

    1. Выберите Добавить новое утверждение, чтобы открыть диалоговое окно Управление утверждениями пользователей.

      снимок экрана, на котором показан раздел

      снимок экрана: диалоговое окно

    2. В текстовом поле Name введите имя атрибута, отображаемое для этой строки.

    3. Оставьте пустым пространство имен .

    4. Выберите источник для преобразования.

    5. В списке преобразования введите указанное для этой строки значение атрибута.

    6. В списке параметра 1 введите значение атрибута, указанное для этой строки.

    7. Выберите Сохранить.

  9. В разделе Настройка PolicyStat скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

    Скопировать URL-адреса конфигурации

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям из краткого руководства «Создание и назначение учетной записи пользователя», чтобы создать тестовую учетную запись пользователя с именем B.Simon.

Настройка PolicyStat SSO (однократная аутентификация)

  1. В другом окне веб-браузера войдите на корпоративный сайт PolicyStat в качестве администратора.

  2. Перейдите на вкладку "Администратор" и выберите "Одна Sign-On конфигурация" в области навигации слева.

    меню администратора

  3. Выберите метаданные вашего IDP, а затем в разделе метаданные вашего IDP выполните следующие действия.

    Снимок экрана, показывающий выбранное действие

    1. Откройте скачанный файл метаданных, скопируйте содержимое и затем вставьте его в текстовое поле метаданные поставщика удостоверений.

    2. Выберите Сохранить изменения.

  4. Выберите "Настроить атрибуты", а затем в разделе "Настройка атрибутов" выполните следующие действия, используя имена CLAIM, найденные в конфигурации Azure:

    1. В текстовом поле атрибута имени пользователя введите значение заявления имени пользователя, которое вы передаете как ключевой атрибут имени пользователя. Значением по умолчанию в Azure является UPN, но если у вас уже есть аккаунты в PolicyStat, необходимо сопоставить эти имена пользователей, чтобы избежать дублирования учетных записей, или обновить существующие учетные записи в PolicyStat до значения UPN. Чтобы обновить существующие имена пользователей в массовом режиме, обратитесь в службу поддержки политики RLDatix PolicyStat https://websupport.rldatix.com/support-form/. Значение по умолчанию для ввода для прохождения имени пользователя http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    2. В текстовом поле атрибута First Name введите имя утверждения атрибута First Name из Azure http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

    3. В текстовом поле атрибута фамилии введите имя утверждения атрибута фамилии из Azure http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname.

    4. В текстовом поле , относящемся к атрибуту электронной почты, введите имя утверждения этого атрибута из Azure http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    5. Выберите Сохранить изменения.

  5. В разделе установки выберите Включить интеграцию единого входа.

    одинарная Sign-On конфигурация

Создание тестового пользователя PolicyStat

В этом разделе пользователь с именем Britta Simon создается в PolicyStat. PolicyStat поддерживает динамическое предоставление пользователей, которое включено по умолчанию. В этом разделе для вас нет пункта действий. Если пользователь еще не существует в PolicyStat, он создается после проверки подлинности.

Заметка

Вы можете использовать любые другие средства создания учетных записей пользователей PolicyStat или API, предоставляемые PolicyStat, для подготовки учетных записей пользователей Microsoft Entra.

Проверка единого входа (SSO)

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

  • Выберите "Проверить это приложение", этот вариант перенаправляет вас на URL-адрес входа в PolicyStat, где вы можете инициировать процесс входа.

  • Откройте URL-адрес для входа в PolicyStat и начните процесс входа.

  • Вы можете использовать Microsoft My Apps. При выборе плитки PolicyStat в разделе "Мои приложения" этот параметр перенаправляется по URL-адресу для входа в PolicyStat. Дополнительные сведения см. в разделе Microsoft Entra My Apps.

Связанное содержимое

После настройки PolicyStat вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Контроль сеанса является расширением условного доступа. Узнайте, как применить управление сеансами с помощьюMicrosoft Cloud App Security.