Поделиться через

Интеграция SSO Microsoft Entra с SSO от Pure Storage

  • Статья

В этой статье вы узнаете, как интегрировать единую систему входа (SSO) от Pure Storage с Microsoft Entra ID. Интеграция единого входа Pure Storage с Microsoft Entra ID позволяет вам:

  • Контролируйте доступ к Pure Storage SSO в Microsoft Entra ID.
  • Включите автоматический вход пользователей в Pure Storage SSO с помощью учетных записей Microsoft Entra.
  • Управляйте своими учетными записями в одном месте.

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка Pure Storage, включающая поддержку единого входа (SSO).

  • [Необязательно] Если вы планируете использовать функции шифрования сертификата & шифрования утверждений, необходимо импортировать сертификат & закрытый ключ в Pure Storage FlashArray с помощью инструкции create--certificate --key "cert-name". Используйте предпочтительный режим создания сертификата, для самозаверяющегося сертификата, обратитесь в службу поддержки Pure Storage SSO для получения более подробной информации.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Единый вход Pure Storage поддерживает как инициированный SP, так и инициированный IDP единый вход.

Чтобы настроить интеграцию SSO Pure Storage с Microsoft Entra ID, необходимо добавить Pure Storage SSO из галереи в список управляемых приложений SaaS.

  1. Войдите в админцентр Microsoft Entra как минимум Администратор облачных приложений.
  2. Перейдите к разделу Entra ID>корпоративные приложения>Новое приложение.
  3. В разделе "Добавление из галереи" в поле поиска введите SSO системы Pure Storage.
  4. Выберите Pure Storage SSO на панели результатов, а затем добавьте приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в тенант, добавить пользователей и группы в приложение, назначить роли и выполнить настройку SSO. Подробнее о мастерах Microsoft 365.

Настройка и тестирование единого входа Microsoft Entra для Pure Storage SSO

Настройте и проверьте Microsoft Entra SSO с Pure Storage SSO, используя тестового пользователя B.Simon. Для работы единого входа (SSO) необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Pure Storage SSO.

Чтобы настроить единый вход Microsoft Entra вместе с Pure Storage SSO и протестировать его, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Создайте тестового пользователя Microsoft Entra, чтобы B.Simon мог использовать единый вход Microsoft Entra.
  2. Настройка единого входа в Pure Storage - для настройки параметров единого входа на стороне приложения.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка SSO (единого входа) Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra в Центре администрирования Microsoft Entra.

  1. Войдите в админцентр Microsoft Entra как минимум Администратор облачных приложений.

  2. Перейдите к Entra ID>Корпоративные приложения>Pure Storage SSO>Единый вход.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. В разделе Настройка единого входа с помощью SAML выберите значок карандаша для Базовой конфигурации SAML, чтобы изменить параметры.

    Снимок экрана: изменение базовой конфигурации SAML.

  5. В разделе Базовая конфигурация SAML выполните приведенные ниже действия.

    a. В текстовом поле Идентификатор введите URL-адрес в следующем формате: https://<ARRAY-NAME>.purestorage.com/saml2/service-provider-metadata/<SSO_CONFIG_NAME>.

    б. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://<ARRAY-NAME>.purestorage.com/login/saml2/sso/<SSO_CONFIG_NAME>.

  6. Выполните следующий шаг, если вы хотите настроить приложение в режиме, инициированном SP:

    В текстовом поле URL-адрес входа введите URL-адрес в формате https://<ARRAY-NAME>.purestorage.com/login/saml2/sso/<FQDN_of_Array_Name>.

    Примечание.

    Эти значения не являются реальными. Измените их на фактические значения идентификатора и URL-адресов ответа и входа. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML" в Центре администрирования Microsoft Entra.

  7. Приложение Pure Storage SSO ожидает заявления SAML в определенном формате, для чего необходимо добавить настраиваемые сопоставления атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.

    Снимок экрана показывает изображение атрибутов.

  8. В дополнение к описанному выше, приложение Pure Storage SSO ожидает, что несколько дополнительных атрибутов будут переданы обратно в ответе SAML, представленном ниже. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.

    Имя. Атрибут источника
    роли чистоты user.assignedroles

    Примечание.

    Измените роли по умолчанию в приложении Microsoft Entra и обновите их значения как "storage_admin", "ops_admin", "readonly", "array_admin" соответственно. Для получения дополнительных сведений см. "Пользовательский интерфейс ролей приложения — раздел обновления значений" и "Назначение пользователей и групп ролям Microsoft Entra — раздел для назначения ролей" здесь.

  9. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML нажмите кнопку "Копировать", чтобы скопировать URL-адрес метаданных федерации приложений и сохранить его на компьютере.

    Снимок экрана: ссылка на скачивание сертификата.

  10. В разделе Настройка единого входа в Pure Storage скопируйте один или несколько соответствующих URL-адресов в соответствии с вашим требованием.

    Снимок экрана показывает, как копировать URL-адреса конфигурации.

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя быстрого старта, чтобы создать тестовую учетную запись пользователя B.Simon.

Настройка SSO в Pure Storage

  1. Войдите на корпоративный сайт pure Storage SSO в качестве администратора.

  2. Перейдите к разделу Параметры>Доступ>SAML2 SSO и нажмите кнопку в правом верхнем углу страницы, чтобы добавить конфигурацию.

    Снимок экрана: параметр учетной записи для конфигурации.

  3. Выполните следующие действия на странице конфигурации SAML2 SSO:

    Снимок экрана: страница конфигурации.

    1. Введите допустимое имя в текстовом поле "Имя ".

    2. Скопируйте значение идентификатора сущности и вставьте его в текстовое поле Идентификатор в разделе Базовая конфигурация SAML в Центре администрирования Microsoft Entra.

    3. Скопируйте URL-адрес потребителя запросов и вставьте его в текстовое поле URL-адреса ответа в разделе «Базовая конфигурация SAML» в Центре администрирования Microsoft Entra.

    4. В текстовое поле идентификатора сущности вставьте значение идентификатора Microsoft Entra, скопированное из Центра администрирования Microsoft Entra.

    5. В текстовое поле URL-адреса вставьте URL-адрес входа, скопированный из Центра администрирования Microsoft Entra.

    6. В текстовое поле URL-адреса метаданных вставьте значение URL-адреса метаданных федерации приложений, скопированное из Центра администрирования Microsoft Entra.

    7. [Необязательно]Заполните учетные данные для подписывания и расшифровки с использованием имени сертификата , импортированного в Pure Storage FlashArray. Переключите и включите подписание запроса и шифрование утверждения.

    8. Получите сертификат проверки из приложения Microsoft Entra и обновите его в конфигурации единого входа FlashArray для поля и в секции сертификата проверки. Чтобы получить соответствующий сертификат, можно выполнить действия, приведенные в документе.

    9. Выберите Сохранить.

      Примечание.

      Только если вы планируете включить зашифрованные утверждения, выполните это на стороне приложения Microsoft Entra. Импортируйте сертификаты и включите шифрование токенов, перейдя по этой ссылке.

Проверка единой системы входа

В этом разделе вы проверяете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

Инициировано SP:

  • Выберите Протестируйте это приложение в Центре администрирования Microsoft Entra. Этот параметр выполняет перенаправление на URL-адрес единого входа Pure Storage, где можно начать процесс входа.

  • Перейдите напрямую по URL-адресу единого входа SSO в Pure Storage и начните процесс авторизации оттуда.

Процесс, инициированный поставщиком удостоверений личности

  • Выберите "Тестировать это приложение" в Центре администрирования Microsoft Entra, и вы автоматически войдете в SSO Pure Storage, который вы настроили.

Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. При выборе плитки единого входа Pure Storage в разделе "Мои приложения", если настроено в режиме службы обеспечения, вы будете перенаправлены на страницу входа приложения для начала процесса авторизации, а если настроено в режиме удостоверяющего центра, вы автоматически войдете в систему единого входа Pure Storage, для которой настроили SSO. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Связанный контент

После настройки единого входа Pure Storage вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.