Tutorial: Konfigurieren des sicheren Hybridzugriffs mit Microsoft Entra ID und Silverfort

  • Artikel

Mit Silverfort lassen sich mittels agent- und proxyloser Technologien alle Ihre Ressourcen lokal und in der Cloud mit Microsoft Entra ID verbinden. Mit dieser Lösung können Organisationen Identitätsschutz, Sichtbarkeit und Benutzerfreundlichkeit auf Umgebungen in Microsoft Entra ID anwenden. Sie ermöglicht die universelle, risikobasierte Überwachung und Bewertung von Authentifizierungsaktivitäten für lokale und cloudbasierte Umgebungen und trägt zur Abwehr von Bedrohungen bei.

In diesem Tutorial erfahren Sie, wie Sie Ihre lokale Silverfort-Implementierung mit Microsoft Entra ID integrieren.

Weitere Informationen:

Silverfort verbindet Ressourcen mit Microsoft Entra ID. Diese Bridgingressourcen werden in Microsoft Entra ID als reguläre Anwendungen angezeigt und können mit bedingtem Zugriff, einmaligem Anmelden (SSO), mehrstufiger Authentifizierung, Überwachung und mehr geschützt werden. Verwenden Sie Silverfort, um z. B. die folgenden Ressourcen zu verbinden:

  • Legacy- und selbstentwickelte Anwendungen
  • Remotedesktop und Secure Shell (SSH)
  • Befehlszeilentools und anderer Administratorzugriff
  • Dateifreigaben und Datenbanken
  • Infrastruktur- und Industriesysteme

Silverfort integriert Unternehmensressourcen sowie Identity and Access Management (IAM)-Plattformen von Drittanbietern, die Active Directory-Verbunddienste (AD FS) und Remote Authentication Dial-In User Service (RADIUS) in Microsoft Entra ID umfassen. Das Szenario umfasst Hybrid- und Multicloudumgebungen.

Verwenden Sie dieses Tutorial, um die Silverfort Microsoft Entra ID-Brücke mit Azure AD in Ihrem Microsoft Entra-Mandanten zu konfigurieren und zu testen und mit Ihrer Silverfort-Implementierung zu kommunizieren. Nach der Konfiguration können Sie Silverfort-Authentifizierungsrichtlinien erstellen, die Authentifizierungsanforderungen aus Identitätsquellen zu Microsoft Entra ID für SSO überbrücken. Nach der Überbrückung einer Anwendung können Sie diese in Microsoft Entra ID verwalten.

Silverfort mit Microsoft Entra-Authentifizierungsarchitektur

Im folgenden Diagramm wird die von Silverfort in einer Hybridumgebung orchestrierte Authentifizierungsarchitektur veranschaulicht.

Abbildung zeigt das Architekturdiagramm

Benutzerflow

  1. Benutzer senden eine Authentifizierungsanforderung über Protokolle wie Kerberos, SAML, NTLM, OIDC und LDAPs an den ursprünglichen Identitätsanbieter (Identity Provider, IdP)
  2. Antworten werden unverändert zur Überprüfung des Authentifizierungsstatus an Silverfort weitergeleitet
  3. Silverfort ermöglicht Sichtbarkeit, Ermittlung und Bridging in Microsoft Entra ID
  4. Im Falle einer Überbrückung der Anwendung wird die Authentifizierungsentscheidung an Microsoft Entra ID übergeben. Microsoft Entra ID wertet Richtlinien für bedingten Zugriff aus und überprüft die Authentifizierung.
  5. Die Antwort zum Authentifizierungsstatus wird von Silverfort unverändert an den Identitätsanbieter gesendet.
  6. Der Identitätsanbieter gewährt oder verweigert den Zugriff auf die Ressource.
  7. Benutzer werden benachrichtigt, wenn die Zugriffsanforderung gewährt oder verweigert wird

Voraussetzungen

Sie müssen Silverfort in Ihrem Mandanten oder Ihrer Infrastruktur bereitgestellt haben, um dieses Tutorial auszuführen. Navigieren Sie zum Bereitstellen von Silverfort in Ihrem Mandanten oder Ihrer Infrastruktur zu silverfort.com (Silverfort), um die Silverfort-Desktop-App auf Ihren Arbeitsstationen zu installieren.

Richten Sie Silverfort Microsoft Entra Adapter in Ihrem Microsoft Entra-Mandanten ein:

  • Ein Azure-Konto mit einem aktiven Abonnement
  • Eine der folgenden Rollen in Ihrem Azure-Konto:
    • Globaler Administrator
    • Cloudanwendungsadministrator
    • Anwendungsadministrator
    • Dienstprinzipalbesitzer
  • Die Anwendung Silverfort Microsoft Entra Adapter im Microsoft Entra-Anwendungskatalog ist für die Unterstützung von SSO vorkonfiguriert. Fügen Sie Ihrem Mandanten Silverfort Microsoft Entra Adapter aus dem Katalog als Unternehmensanwendung hinzu.

Konfigurieren von Silverfort und Erstellen einer Richtlinie

  1. Melden Sie sich in einem Browser bei der Silverfort-Verwaltungskonsole an.

  2. Navigieren Sie im Hauptmenü zu Settings (Einstellungen) und scrollen Sie dann im Abschnitt „General“ (Allgemein) zu Microsoft Entra ID Bridge Connector.

  3. Bestätigen Sie Ihre Mandanten-ID, und wählen Sie dann Authorize (Autorisieren) aus.

  4. Klicken Sie auf Save changes (Änderungen speichern).

  5. Wählen Sie im Dialogfeld Angeforderte Berechtigungen die Option Akzeptieren aus.

  6. Auf einer neuen Registerkarte wird die Meldung „Registrierung abgeschlossen“ angezeigt. Schließen Sie diese Registerkarte.

    Abbildung der abgeschlossenen Registrierung

  7. Wählen Sie auf der Seite Einstellungen die Option Änderungen speichern aus.

  8. Mit einem Microsoft Entra-Konto anmelden. Wählen Sie im linken Bereich Unternehmensanwendungen aus. Die Anwendung Silverfort Microsoft Entra Adapter wird als registriert angezeigt.

  9. Navigieren Sie in der Silverfort-Verwaltungskonsole zur Seite Policies (Richtlinien), und wählen Sie Create Policy (Richtlinie erstellen) aus. Das Dialogfeld Neue Richtlinie wird angezeigt.

  10. Geben Sie einen Richtliniennamen ein, mit dem der in Azure zu erstellende Anwendungsname angegeben wird. Wenn Sie z. B. mehrere Server oder Anwendungen für diese Richtlinie hinzufügen, benennen Sie sie entsprechend den Ressourcen, die von der Richtlinie abgedeckt werden. In diesem Beispiel erstellen wir eine Richtlinie für den SL-APP1-Server.

Abbildung des Definierens der Richtlinie

  1. Wählen Sie Authentifizierungstyp und Protokoll aus.

  2. Wählen Sie im Feld Benutzer und Gruppen das Symbol Bearbeiten aus, um Benutzer zu konfigurieren, auf die sich die Richtlinie auswirkt. Die Authentifizierung dieser Benutzer überbrückt Microsoft Entra ID.

Abbildung von „Users and Groups“ (Benutzer und Gruppen)

  1. Suchen Sie Benutzer, Gruppen oder Organisationseinheiten (OUs), und wählen Sie sie aus.

Abbildung der Suche von Benutzern

  1. Ausgewählte Benutzer werden im Feld AUSGEWÄHLT angezeigt.

Abbildung des ausgewählten Benutzers

  1. Wählen Sie die Source (Quelle) aus, für die die Richtlinie gilt. In diesem Beispiel ist Alle Geräte ausgewählt.

    Abbildung der Quelle

  2. Legen Sie das Ziel auf SL-App1 fest. Optional: Sie können die Schaltfläche zum Bearbeiten auswählen, um weitere Ressourcen oder Ressourcengruppen zu ändern oder hinzuzufügen.

    Abbildung des Ziels

  3. Wählen Sie unter „Aktion“ die Option ENTRA ID BRIDGE aus.

  4. Wählen Sie Speichern. Sie werden aufgefordert, die Richtlinie zu aktivieren.

  5. Die Richtlinie wird auf der Seite „Richtlinien“ im Abschnitt „Entra ID Bridge“ angezeigt.

  6. Kehren Sie zum Microsoft Entra-Konto zurück, und navigieren Sie zu Unternehmensanwendungen. Die neue Silverfort-Anwendung wird angezeigt. Sie können diese Anwendung in die Richtlinien für bedingten Zugriff einschließen.

Weitere Informationen: Tutorial: Schützen von Anmeldeereignissen für Benutzer*innen mit der Multi-Faktor-Authentifizierung in Microsoft Entra.

Nächste Schritte