Ověřování na základě hlaviček pro jednotné přihlašování pomocí proxy aplikací a PingAccess

  • Článek

Microsoft spolupracuje s PingAccessem, aby poskytoval přístupnější aplikace. PingAccess nabízí další možnost nad rámec integrovaného jednotného přihlašování založeného na hlavičce.

Co je PingAccess pro Microsoft Entra ID?

Pomocí PingAccess pro Microsoft Entra ID udělíte uživatelům přístup a jednotné přihlašování k aplikacím, které k ověřování používají hlavičky. Proxy aplikace zpracovává tyto aplikace stejně jako jiné, pomocí ID Microsoft Entra k ověření přístupu a následnému předávání provozu přes službu konektoru. PingAccess se nachází před aplikacemi a přeloží přístupový token z Microsoft Entra ID do hlavičky. Aplikace pak obdrží ověřování ve formátu, který může číst.

Uživatelé si při přihlašování k používání podnikových aplikací nic jiného nevšimnou. Aplikace stále fungují odkudkoli na jakémkoli zařízení. Konektory privátní sítě směrují vzdálený provoz do všech aplikací bez ohledu na jejich typ ověřování, takže stále vyrovnávají zatížení automaticky.

Návody získat přístup?

Potřebujete licenci pro PingAccess a Microsoft Entra ID. Předplatná Microsoft Entra ID P1 nebo P2 však zahrnují základní licenci PingAccess, která pokrývá až 20 aplikací. Pokud potřebujete publikovat více než 20 aplikací založených na hlavičce, můžete zakoupit více licencí z PingAccessu.

Další informace naleznete v edicích Microsoft Entra.

Publikování aplikace v Microsoft Entra

Tento článek popisuje kroky k prvnímu publikování aplikace. Tento článek obsahuje pokyny pro proxy aplikace i PingAccess.

Poznámka:

Některé pokyny existují na webu identity ping.

Instalace konektoru privátní sítě

Privátní síťový konektor je služba Windows Serveru, která směruje provoz ze vzdálených zaměstnanců do publikovaných aplikací. Podrobnější pokyny k instalaci najdete v tématu Kurz: Přidání místní aplikace pro vzdálený přístup prostřednictvím proxy aplikací v Microsoft Entra ID.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator aplikace.
  2. Přejděte na proxy aplikace podnikové aplikace>identit>>.
  3. Vyberte Stáhnout službu konektoru.
  4. Postupujte podle pokynů k instalaci.

Stažení konektoru by mělo automaticky povolit proxy aplikace pro váš adresář, ale pokud ne, můžete vybrat Povolit proxy aplikace.

Přidání aplikace do Microsoft Entra ID pomocí proxy aplikace

Aplikaci můžete přidat do ID Microsoft Entra dvěma kroky. Nejprve je potřeba publikovat aplikaci pomocí proxy aplikací. Pak potřebujete shromáždit informace o aplikaci, kterou můžete použít během kroků PingAccess.

Publikování aplikace

Nejprve publikujte aplikaci. Tato akce zahrnuje:

  • Přidání místní aplikace do Microsoft Entra ID
  • Přiřazení uživatele k testování aplikace a zvolení jednotného přihlašování založeného na hlavičce
  • Nastavení adresy URL pro přesměrování aplikace
  • Udělení oprávnění uživatelům a dalším aplikacím k používání místní aplikace

Publikování vlastní místní aplikace:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako Správa istrator aplikace.

  2. Přejděte k podnikovým aplikacím>Nová aplikace>Přidat místní aplikaci. Zobrazí se stránka Přidat vlastní místní aplikaci .

    Přidat vlastní místní aplikaci

  3. Vyplňte požadovaná pole informacemi o nové aplikaci. Použijte pokyny pro nastavení.

    Poznámka:

    Podrobnější návod k tomuto kroku najdete v tématu Přidání místní aplikace do Microsoft Entra ID.

    1. Interní adresa URL: Obvykle zadáte adresu URL, která vás přenese na přihlašovací stránku aplikace, když jste v podnikové síti. V tomto scénáři musí konektor zacházet s proxy serverem PingAccess jako s přední stránkou aplikace. Použijte tento formát: https://<host name of your PingAccess server>:<port>. Port je ve výchozím nastavení 3000, ale můžete ho nakonfigurovat v PingAccessu.

      Upozorňující

      Pro tento typ jednotného přihlašování musí interní adresa URL používat https , nikoli http. Žádné dvě aplikace by také neměly mít stejnou interní adresu URL, aby proxy aplikací mohlo udržovat rozdíl mezi nimi.

    2. Metoda předběžného ověřování: Zvolte ID Microsoft Entra.

    3. Přeložit adresu URL v záhlavích: Zvolte Ne.

    Poznámka:

    Pokud se jedná o vaši první aplikaci, spusťte port 3000 a vraťte se k aktualizaci tohoto nastavení, pokud změníte konfiguraci PingAccess. Pro další aplikace bude port muset odpovídat naslouchacímu procesu, který jste nakonfigurovali v pingAccessu. Přečtěte si další informace o naslouchacích procesech v PingAccessu.

  4. Vyberte Přidat. Zobrazí se stránka přehledu nové aplikace.

Teď přiřaďte uživatele k testování aplikací a zvolte jednotné přihlašování založené na hlavičce:

  1. Na bočním panelu aplikace vyberte Uživatelé a skupiny>Přidat uživatele>a skupiny (<Číslo> vybráno). Zobrazí se seznam uživatelů a skupin, ze které si můžete vybrat.

    Zobrazuje seznam uživatelů a skupin.

  2. Vyberte uživatele pro testování aplikací a vyberte Vybrat. Ujistěte se, že tento testovací účet má přístup k místní aplikaci.

  3. Vyberte Přiřadit.

  4. Na bočním panelu aplikace vyberte jednotné přihlašování založené na>hlavičce.

    Tip

    Pokud používáte jednotné přihlašování založené na hlavičce poprvé, musíte nainstalovat PingAccess. Pokud chcete zajistit, aby vaše předplatné Microsoft Entra ID bylo automaticky přidružené k instalaci PingAccess, použijte odkaz na této stránce jednotného přihlašování ke stažení PingAccess. Nyní můžete otevřít web pro stahování nebo se k této stránce vrátit později.

    Zobrazuje přihlašovací obrazovku založenou na hlavičce a PingAccess.

  5. Zvolte Uložit.

Pak se ujistěte, že je vaše adresa URL pro přesměrování nastavená na vaši externí adresu URL:

  1. Přejděte na Identity>Applications> Registrace aplikací a vyberte aplikaci.
  2. Vyberte odkaz vedle identifikátorů URI pro přesměrování. Odkaz ukazuje nastavení identifikátorů URI přesměrování pro webové a veřejné klienty. Zobrazí se <stránka Název> aplikace – Ověřovací stránka.
  3. Zkontrolujte, jestli se externí adresa URL, kterou jste přiřadili k vaší aplikaci dříve, nachází v seznamu identifikátorů URI přesměrování. Pokud není, přidejte teď externí adresu URL pomocí typu identifikátoru URI přesměrování webu a vyberte Uložit.

Kromě externí adresy URL by se měl do seznamu identifikátorů URI přesměrování přidat autorizaci koncového bodu Microsoft Entra ID na externí adrese URL.

https://*.msappproxy.net/pa/oidc/cb https://*.msappproxy.net/

Nakonec nastavte místní aplikaci tak, aby uživatelé měli read přístup a ostatní aplikace měli read/write přístup:

  1. Na bočním panelu Registrace aplikací vaší aplikace vyberte oprávnění rozhraní API Přidat oprávnění>>Microsoft Graphu.> Zobrazí se stránka oprávnění rozhraní API požadavku pro Microsoft Graph , která obsahuje oprávnění pro Microsoft Graph.

    Zobrazuje stránku oprávnění rozhraní API požadavku.

  2. Vyberte Delegovaná oprávnění>User.Read.>

  3. Vyberte Oprávnění>aplikace Application.ReadWrite.All.>

  4. Vyberte Přidat oprávnění.

  5. Na stránce oprávnění rozhraní API vyberte Udělení souhlasu správce pro <název> vašeho adresáře.

Shromáždění informací o krocích PingAccess

Shromážděte tři globálně jedinečné identifikátory (GUID). Pomocí identifikátorů GUID nastavte aplikaci pomocí PingAccessu.

Název pole Microsoft Entra ID Název pole PingAccess Formát dat
ID aplikace (klienta) ID klienta Identifikátor GUID
ID adresáře (tenanta) Emitenta Identifikátor GUID
PingAccess key Tajný klíč klienta Náhodný řetězec

Shromažďování těchto informací:

  1. Přejděte na Identity>Applications> Registrace aplikací a vyberte aplikaci.

    Přehled registrace pro aplikaci

  2. Vedle hodnoty ID aplikace (klienta) vyberte ikonu Kopírovat do schránky a pak ji zkopírujte a uložte. Tuto hodnotu zadáte později jako ID klienta PingAccess.

  3. Vedle hodnoty ID adresáře (tenanta) vyberte možnost Kopírovat do schránky a pak ho zkopírujte a uložte. Tuto hodnotu zadáte později jako vystavitel PingAccessu.

  4. Na bočním panelu Registrace aplikací pro vaši aplikaci vyberte Certifikáty a tajné kódy>Nový tajný klíč klienta. Zobrazí se stránka Přidat tajný kód klienta.

    Zobrazuje stránku Přidat tajný kód klienta.

  5. Do pole Popis zadejte PingAccess key.

  6. V části Konec platnosti zvolte, jak nastavit klíč PingAccess: Za 1 rok, Za 2 roky nebo Nikdy.

  7. Vyberte Přidat. Klíč PingAccess se zobrazí v tabulce tajných kódů klienta s náhodným řetězcem, který se automaticky vyplňuje v poli HODNOTA .

  8. Vedle pole HODNOTA klíče PingAccess vyberte ikonu Kopírovat do schránky a pak ho zkopírujte a uložte. Tuto hodnotu později zadáte jako tajný klíč klienta PingAccess.

Aktualizujte acceptMappedClaims pole:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator aplikace.
  2. Vyberte své uživatelské jméno v pravém horním rohu. Ověřte, že jste přihlášení k adresáři, který používá proxy aplikace. Pokud potřebujete změnit adresáře, vyberte Přepnout adresář a zvolte adresář, který používá proxy aplikace.
  3. Přejděte na Identity>Applications> Registrace aplikací a vyberte aplikaci.
  4. Na bočním panelu stránky Registrace aplikací vaší aplikace vyberte Manifest. Zobrazí se kód JSON manifestu pro registraci vaší aplikace.
  5. Vyhledejte acceptMappedClaims pole a změňte hodnotu na True.
  6. Zvolte Uložit.

Použití volitelných deklarací identity (volitelné)

Volitelné deklarace identity umožňují přidat standardní, ale nezahrnutá-ve výchozím nastavení deklarace identity, které má každý uživatel a tenant. Volitelné deklarace identity pro aplikaci můžete nakonfigurovat úpravou manifestu aplikace. Další informace najdete v článku Vysvětlení manifestu aplikace Microsoft Entra.

Příklad zahrnutí e-mailové adresy do access_token, kterou používá PingAccess:

    "optionalClaims": {
        "idToken": [],
        "accessToken": [
            {
                "name": "email",
                "source": null,
                "essential": false,
                "additionalProperties": []
            }
        ],
        "saml2Token": []
    },

Použití zásad mapování deklarací identity (volitelné)

Mapování deklarací identity umožňuje migrovat staré místní aplikace do cloudu přidáním dalších vlastních deklarací identity, které zálohují vaše Active Directory Federation Services (AD FS) (ADFS) nebo uživatelské objekty. Další informace najdete v tématu Zásady mapování deklarací identit (Preview).a0>

Pokud chcete použít vlastní deklaraci identity a zahrnout do své aplikace další pole. Vytvořili jste vlastní zásadu mapování deklarací identity a přiřadili ji k aplikaci.

Poznámka:

Pokud chcete použít vlastní deklaraci identity, musíte mít také definovanou vlastní zásadu a přiřazenou aplikaci. Zásady by měly obsahovat všechny požadované vlastní atributy.

Definici a přiřazení zásad můžete provádět prostřednictvím PowerShellu nebo Microsoft Graphu. Pokud je provádíte v PowerShellu, možná budete muset nejdřív použít New-AzureADPolicy aplikaci a pak ji přiřadit k aplikaci pomocí Add-AzureADServicePrincipalPolicy. Další informace najdete v tématu Přiřazení zásad mapování deklarací identity.

Příklad:

$pol = New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema": [{"Source":"user","ID":"employeeid","JwtClaimType":"employeeid"}]}}') -DisplayName "AdditionalClaims" -Type "ClaimsMappingPolicy"

Add-AzureADServicePrincipalPolicy -Id "<<The object Id of the Enterprise Application you published in the previous step, which requires this claim>>" -RefObjectId $pol.Id

Povolení pingaccessu pro použití vlastních deklarací identity

Povolení pingAccess k použití vlastních deklarací identity je volitelné, ale vyžaduje se, pokud očekáváte, že aplikace bude využívat více deklarací identity.

Když v následujícím kroku nakonfigurujete PingAccess, musí webová relace, kterou vytvoříte (Nastavení-Access-Web>> Session), zrušit výběr profilu požadavku a aktualizovat atributy uživatele nastavené na Ne.

Stažení PingAccessu a konfigurace aplikace

Podrobný postup pro část tohoto scénáře pingaccess pokračuje v dokumentaci k identitě ping. Postupujte podle pokynů v konfiguraci PingAccess pro Microsoft Entra ID na webu Ping Identity a stáhněte si nejnovější verzi PingAccess.

Kroky v článku PingAccess vás provedou získáním účtu PingAccess. Pokud chcete vytvořit připojení Microsoft Entra ID OpenID Připojení (OIDC), nastavte zprostředkovatele tokenu s hodnotou ID adresáře (tenanta), kterou jste zkopírovali z Centra pro správu Microsoft Entra. Vytvořte webovou relaci na PingAccessu. Použijte hodnoty Application (client) ID a PingAccess key hodnoty. Nastavte mapování identit a vytvořte virtuálního hostitele, web a aplikaci.

Otestování aplikace

Aplikace je spuštěná a spuštěná. Pokud ho chcete otestovat, otevřete prohlížeč a přejděte na externí adresu URL, kterou jste vytvořili při publikování aplikace v Microsoft Entra. Přihlaste se pomocí testovacího účtu, který jste přiřadili aplikaci.

Další kroky