Tutorial: Integrasi SSO Azure AD dengan SURFsecureID - Azure MFA

Dalam tutorial ini, Anda akan belajar cara mengintegrasikan SURFsecureID - Azure MFA dengan Azure Active Directory (Azure AD). Ketika Anda mengintegrasikan SURFsecureID - Azure MFA dengan Azure AD, Anda dapat:

  • Control in Azure AD yang memiliki akses ke SURFsecureID - Azure MFA.
  • Aktifkan pengguna Anda untuk secara otomatis masuk ke SURFsecureID - Azure MFA dengan akun Azure AD mereka.
  • Mengelola akun Anda di satu lokasi terpusat - portal Microsoft Azure.

Prasyarat

Untuk memulai, Anda membutuhkan item berikut:

  • Langganan Microsoft Azure Active Directory. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
  • SURFsecureID - Langganan yang mengaktifkan akses menyeluruh (SSO) Azure MFA.

Deskripsi skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji SSO Microsoft Azure AD di lingkungan pengujian.

  • SURFsecureID - Azure MFA mendukung SSO yang dimulai SP.

Catatan

Pengidentifikasi aplikasi ini adalah nilai untai tetap, sehingga hanya satu instans yang dapat dikonfigurasi dalam satu penyewa.

Untuk mengonfigurasi integrasi SURFsecureID - Azure MFA ke Azure AD, Anda perlu menambahkan SURFsecureID - Azure MFA dari galeri ke daftar aplikasi SaaS terkelola Anda.

  1. Masuk ke portal Microsoft Azure menggunakan akun kerja atau sekolah, atau akun Microsoft pribadi.
  2. Di panel navigasi sebelah kiri, pilih layanan Microsoft Azure Active Directory.
  3. Buka Aplikasi Perusahaan lalu pilih Semua Aplikasi.
  4. Untuk menambahkan aplikasi baru, pilih Aplikasi baru.
  5. Di bagian Tambahkan dari galeri, ketik SURFsecureID - Azure MFA di kotak pencarian.
  6. Pilih SURFsecureID - Azure MFA dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Konfigurasi dan uji SSO Azure AD untuk SURFsecureID - Azure MFA

Konfigurasikan dan uji Azure AD SSO dengan SURFsecureID - Azure MFA menggunakan pengguna uji yang disebut B.Simon. Agar SSO berfungsi, Anda perlu menjalin hubungan tertaut antara pengguna Azure AD dan pengguna terkait di SURFsecureID - Azure MFA.

Untuk mengonfigurasi dan menguji SSO Azure AD dengan SURFsecureID - Azure MFA, lakukan langkah-langkah berikut:

  1. Konfigurasikan SSO Microsoft Azure AD - untuk mengaktifkan pengguna untuk menggunakan fitur ini.
    1. Buat pengguna uji Microsoft Azure Active Directory - untuk menguji akses menyeluruh Microsoft Azure Active Directory dengan B.Simon.
    2. Tetapkan pengguna uji Microsoft Azure AD - untuk mengaktifkan B.Simon untuk menggunakan akses menyeluruh Microsoft Azure AD.
  2. Konfigurasikan SURFsecureID - Azure MFA SSO - untuk mengonfigurasi pengaturan sign-on tunggal di sisi aplikasi.
    1. Buat SURFsecureID - uji pengguna Azure MFA - untuk memiliki mitra B.Simon di SURFsecureID - Azure MFA yang ditautkan ke representasi pengguna Azure AD.
  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasikan Akses Menyeluruh Microsoft Azure Active Directory

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Azure AD di portal Microsoft Azure.

  1. Di portal Azure, pada halaman integrasi aplikasi SURFsecureID - Azure MFA, temukan bagian Kelola dan pilih akses menyeluruh.

  2. Di halaman Pilih metode akses menyeluruh, pilih SAML.

  3. Di halaman Menyiapkan akses menyeluruh dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

    Edit Basic SAML Configuration

  4. Pada bagian Konfigurasi SAML Dasar, lakukan langkah berikut:

    a. Dalam kotak teks Pengidentifikasi (ID Entitas) , ketik salah satu URL berikut ini:

    Lingkungan URL
    Penahapan https://azuremfa.test.surfconext.nl/saml/metadata
    Produksi https://azuremfa.surfconext.nl/saml/metadata

    b. Di kotak teks URL Balasan, ketik salah satu URL berikut:

    Lingkungan URL
    Penahapan https://azuremfa.test.surfconext.nl/saml/acs
    Produksi https://azuremfa.surfconext.nl/saml/acs

    b. Dalam kotak teks URL Masuk, ketik salah satu URL berikut ini:

    Lingkungan URL
    Penahapan https://sa.test.surfconext.nl
    Produksi https://sa.surfconext.nl
  5. SURFsecureID - Aplikasi Azure MFA mengharapkan pernyataan SAML dalam format tertentu, yang mengharuskan Anda menambahkan pemetaan atribut kustom ke konfigurasi atribut token SAML Anda. Cuplikan layar berikut menampilkan daftar atribut default.

    image

  6. Selain di atas, aplikasi SURFsecureID - Azure MFA mengharapkan beberapa atribut lagi untuk diteruskan kembali dalam respons SAML yang ditunjukkan di bawah ini. Atribut ini juga sudah terisi sebelumnya, namun Anda dapat meninjaunya sesuai persyaratan.

    Nama Atribut Sumber
    urn:mace:dir:attribute-def:mail pengguna.mail
  7. Di halaman Siapkan akses menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, klik tombol salin untuk menyalin Url Metadata Federasi Aplikasi dan simpan di komputer Anda.

    The Certificate download link

Membuat pengguna penguji Microsoft Azure AD

Di bagian ini, Anda akan membuat pengguna penguji di portal Microsoft Azure dengan nama B.Simon.

  1. Dari panel sebelah kiri di portal Microsoft Azure, pilih Azure Active Directory, pilih Pengguna, lalu pilih Semua pengguna.
  2. Pilih Pengguna baru di bagian atas layar.
  3. Di properti Pengguna, ikuti langkah berikut:
    1. Di bidang Nama, masukkan B.Simon.
    2. Di bidang Nama pengguna, masukkan username@companydomain.extension. Contohnya:B.Simon@contoso.com
    3. Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
    4. Klik Buat.

Menetapkan pengguna uji Microsoft Azure AD

Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh Azure dengan memberikan akses ke SURFsecureID - Azure MFA.

  1. Di portal Microsoft Azure, pilih Aplikasi Perusahaan, lalu pilih Semua aplikasi.
  2. Dalam daftar aplikasi, pilih SURFsecureID - Azure MFA.
  3. Di halaman ringkasan aplikasi, temukan bagian Kelola, lalu pilih Pengguna dan grup.
  4. Pilih Tambahkan pengguna, lalu pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
  5. Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
  6. Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" yang terpilih.
  7. Dalam dialog Tambahkan Penetapan, klik tombol Tetapkan.

Konfigurasikan SURFsecureID - Azure MFA SSO

Untuk mengonfigurasi akses menyeluruh di sisi SURFsecureID - Azure MFA, Anda harus mengirim Ul Metadata Federasi Aplikasi ke SURFsecureID - tim dukungan Azure MFA. Mereka mengatur pengaturan ini agar koneksi akses menyeluruh SAML dapat diatur dengan benar di kedua sisi.

Buat SURFsecureID - uji pengguna Azure MFA

Pada bagian ini, Anda membuat pengguna bernama Britta Simon di SURFsecureID - Azure MFA. Bekerja dengan Tim dukungan SURFsecureID - Azure MFA untuk menambahkan pengguna di platform SURFsecureID - Azure MFA. Pengguna harus dibuat dan diaktifkan sebelum Anda menggunakan akses menyeluruh.

Uji SSO

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Azure Active Directory dengan opsi berikut.

  • Klik Uji aplikasi ini di portal Microsoft Azure. Ini akan dialihkan ke SURFsecureID - URL masuk Azure MFA di mana Anda dapat memulai alur login.

  • Buka SURFsecureID - URL masuk Azure MFA secara langsung dan mulai aliran login dari sana.

  • Anda dapat menggunakan Aplikasi Saya Microsoft. Saat Anda mengklik petak SURFsecureID - Azure MFA di Aplikasi Saya, ini akan dialihkan ke SurFsecureID - URL masuk Azure MFA. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.

Langkah berikutnya

Setelah Anda mengonfigurasi SURFsecureID - Azure MFA, Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Sesi kontrol diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.