Samouczek: integracja Azure Active Directory z usługą Azure AD SSO for Splunk Enterprise and Splunk Cloud

Z tego samouczka dowiesz się, jak zintegrować usługę Azure AD SSO for Splunk Enterprise i Splunk Cloud z usługą Azure Active Directory (Azure AD). Po zintegrowaniu usługi Azure AD SSO for Splunk Enterprise and Splunk Cloud z usługą Azure AD można wykonywać następujące czynności:

  • Kontrola w usłudze Azure AD, kto ma dostęp do usługi Azure AD SSO for Splunk Enterprise i Splunk Cloud.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do usługi Azure AD SSO for Splunk Enterprise i Splunk Cloud przy użyciu kont usługi Azure AD.
  • Zarządzaj kontami w jednej centralnej lokalizacji: Azure Portal.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja usługi Azure AD. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja logowania jednokrotnego usługi Azure AD dla rozwiązania Splunk Enterprise and Splunk Cloud z obsługą logowania jednokrotnego (SSO).

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne usługi Azure AD w środowisku testowym.

  • Usługa Azure AD SSO for Splunk Enterprise and Splunk Cloud obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.

Aby skonfigurować integrację usługi Azure AD SSO for Splunk Enterprise and Splunk Cloud z usługą Azure AD, należy dodać usługę Azure AD SSO for Splunk Enterprise and Splunk Cloud z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do Azure Portal przy użyciu konta służbowego lub osobistego konta Microsoft.
  2. W okienku nawigacji po lewej stronie wybierz usługę Azure Active Directory.
  3. Przejdź do Enterprise Aplikacje, a następnie wybierz pozycję Wszystkie aplikacje.
  4. Aby dodać nową aplikację, wybierz pozycję Nowa aplikacja.
  5. W sekcji Dodawanie z galerii wpisz Azure AD SSO for Splunk Enterprise and Splunk Cloud w polu wyszukiwania.
  6. Wybierz pozycję Azure AD SSO for Splunk Enterprise and Splunk Cloud z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Konfigurowanie i testowanie logowania jednokrotnego usługi Azure AD dla usługi Azure AD SSO for Splunk Enterprise and Splunk Cloud

Konfigurowanie i testowanie logowania jednokrotnego usługi Azure AD za pomocą logowania jednokrotnego usługi Azure AD dla rozwiązania Splunk Enterprise i rozwiązania Splunk Cloud przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem usługi Azure AD i powiązanym użytkownikiem usługi Azure AD SSO for Splunk Enterprise i rozwiązaniem Splunk Cloud.

Aby skonfigurować i przetestować logowanie jednokrotne usługi Azure AD z usługą Azure AD SSO for Splunk Enterprise and Splunk Cloud, wykonaj następujące kroki:

  1. Konfigurowanie logowania jednokrotnego w usłudze Azure AD — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego usługi Azure AD — aby przetestować logowanie jednokrotne usługi Azure AD z aplikacją B.Simon.
    2. Przypisz użytkownika testowego usługi Azure AD — aby umożliwić aplikacji B.Simon korzystanie z logowania jednokrotnego usługi Azure AD.
  2. Konfigurowanie logowania jednokrotnego usługi Azure AD dla aplikacji Splunk Enterprise i logowania jednokrotnego rozwiązania Splunk Cloud — w celu skonfigurowania ustawień logowania jednokrotnego po stronie aplikacji.
    1. Tworzenie użytkownika testowego aplikacji Azure AD SSO for Splunk Enterprise and Splunk Cloud — aby mieć w usłudze Azure AD odpowiednik użytkownika B.Simon w usłudze Azure AD SSO for Splunk Enterprise and Splunk Cloud połączony z reprezentacją użytkownika w usłudze Azure AD.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie rejestracji jednokrotnej w usłudze Azure AD

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne usługi Azure AD w Azure Portal.

  1. Na stronie integracji aplikacji Azure Portal azure AD SSO for Splunk Enterprise and Splunk Cloud znajdź sekcję Zarządzanie i wybierz pozycję Logowanie jednokrotne.

  2. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  3. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML , aby edytować ustawienia.

    Edit Basic SAML Configuration

  4. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące czynności:

    a. W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<splunkserverUrl>/app/launcher/home

    b. W polu Identyfikator wpisz adres URL, korzystając z następującego wzorca: <splunkserverUrl>

    c. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<splunkserver>/saml/acs

    Uwaga

    Te wartości nie są prawdziwe. Zastąp je rzeczywistymi wartościami adresu URL logowania, identyfikatora i adresu URL odpowiedzi. Aby uzyskać te wartości, skontaktuj się z zespołem pomocy technicznej klienta aplikacji Splunk Cloud w usłudze Azure AD SSO for Splunk Enterprise and Splunk Cloud Client. Przydatne mogą się również okazać wzorce przedstawione w sekcji Podstawowa konfiguracja protokołu SAML w witrynie Azure Portal.

  5. Na stronie Konfigurowanie logowania jednokrotnego za pomocą protokołu SAML w sekcji Certyfikat podpisywania SAML kliknij link Pobierz, aby pobrać kod XML metadanych federacji na podstawie podanych opcji zgodnie z wymaganiami i zapisać go na komputerze.

    The Certificate download link

Tworzenie użytkownika testowego usługi Azure AD

W tej sekcji utworzysz użytkownika testowego w Azure Portal o nazwie B.Simon.

  1. W okienku po lewej stronie w Azure Portal wybierz pozycję Azure Active Directory, wybierz pozycję Użytkownicy, a następnie wybierz pozycję Wszyscy użytkownicy.
  2. Wybierz pozycję Nowy użytkownik w górnej części ekranu.
  3. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wprowadź wartość B.Simon.
    2. W polu Nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Kliknij pozycję Utwórz.

Przypisywanie użytkownika testowego usługi Azure AD

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego platformy Azure, udzielając dostępu do usługi Azure AD SSO for Splunk Enterprise and Splunk Cloud.

  1. W Azure Portal wybierz pozycję Enterprise Aplikacje, a następnie wybierz pozycję Wszystkie aplikacje.
  2. Na liście aplikacji wybierz pozycję Azure AD SSO for Splunk Enterprise and Splunk Cloud.
  3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
  5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
  6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
  7. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz .

Konfigurowanie logowania jednokrotnego usługi Azure AD dla aplikacji Splunk Enterprise i splunk Cloud SSO

Aby skonfigurować logowanie jednokrotne po stronie usługi Azure AD SSO for Splunk Enterprise and Splunk Cloud, musisz wysłać pobrany kod XML metadanych federacji i odpowiednie adresy URL skopiowane z Azure Portal do zespołu pomocy technicznej aplikacji Azure AD SSO for Splunk for Splunk Enterprise and Splunk Cloud. Ustawią oni to ustawienie tak, aby połączenie logowania jednokrotnego SAML było ustawione właściwie po obu stronach.

Tworzenie użytkownika testowego usługi Azure AD SSO for Splunk Enterprise and Splunk Cloud

W tej sekcji utworzysz użytkownika Britta Simon w usłudze Azure AD SSO for Splunk Enterprise and Splunk Cloud. We współpracy z zespołem pomocy technicznej usługi Azure AD SSO for Splunk Enterprise and Splunk Cloud dodaj użytkowników do platformy Azure AD SSO for Splunk Enterprise and Splunk Cloud. Użytkownicy muszą być utworzeni i aktywowani przed rozpoczęciem korzystania z logowania jednokrotnego.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego usługi Azure AD z następującymi opcjami.

  • Kliknij pozycję Testuj tę aplikację w Azure Portal. Spowoduje to przekierowanie do logowania jednokrotnego usługi Azure AD dla rozwiązania Splunk Enterprise i adresu URL logowania do chmury Splunk, pod którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania jednokrotnego usługi Azure AD dla rozwiązania Splunk Enterprise i splunk Cloud Sign-on URL i zainicjuj przepływ logowania stamtąd.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Azure AD SSO for Splunk Enterprise and Splunk Cloud w Moje aplikacje nastąpi przekierowanie do usługi Azure AD SSO for Splunk Enterprise and Splunk Cloud Sign-on URL. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu logowania jednokrotnego usługi Azure AD dla rozwiązania Splunk Enterprise i rozwiązania Splunk Cloud możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza dostęp warunkowy. Dowiedz się, jak wymusić kontrolę sesji przy użyciu Microsoft Defender for Cloud Apps.