Självstudie: Azure AD SSO-integrering med SURFsecureID – Azure MFA

I den här självstudien lär du dig att integrera SURFsecureID – Azure MFA med Azure Active Directory (Azure AD). När du integrerar SURFsecureID – Azure MFA med Azure AD kan du:

  • Kontrollera i Azure AD vem som har åtkomst till SURFsecureID – Azure MFA.
  • Gör så att dina användare automatiskt loggas in på SURFsecureID – Azure MFA med sina Azure AD-konton.
  • Hantera dina konton på en central plats – Azure Portal.

Förutsättningar

För att komma igång behöver du följande:

  • En Azure AD-prenumeration. Om du inte har en prenumeration kan du skaffa ett kostnadsfritt konto.
  • SURFsecureID – Azure MFA-aktiverad prenumeration med enkel inloggning (SSO).

Scenariobeskrivning

I den här självstudien konfigurerar och testar du enkel inloggning med Azure AD i en testmiljö.

  • SURFsecureID – Azure MFA stöder SP-initierad enkel inloggning.

Anteckning

Identifierare för det här programmet är ett fast strängvärde så att endast en instans kan konfigureras i en klientorganisation.

För att konfigurera integreringen av SURFsecureID – Azure MFA i Azure AD måste du lägga till SURFsecureID – Azure MFA från galleriet till din lista över hanterade SaaS-appar.

  1. Logga in på Azure Portal med ett arbets- eller skolkonto eller ett personligt Microsoft-konto.
  2. I det vänstra navigeringsfönstret väljer du Azure Active Directory tjänst.
  3. Gå till Företagsprogram och välj sedan Alla program.
  4. Om du vill lägga till ett nytt program väljer du Nytt program.
  5. I avsnittet Lägg till från galleriet skriver du SURFsecureID – Azure MFA i sökrutan.
  6. Välj SURFsecureID – Azure MFA från resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Konfigurera och testa Azure AD SSO för SURFsecureID – Azure MFA

Konfigurera och testa enkel inloggning i Azure AD med SURFsecureID – Azure MFA med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Azure AD-användare och den relaterade användaren i SURFsecureID – Azure MFA.

Utför följande steg för att konfigurera och testa enkel inloggning i Azure AD med SURFsecureID – Azure MFA:

  1. Konfigurera enkel inloggning med Azure AD – så att användarna kan använda den här funktionen.
    1. Skapa en Azure AD-testanvändare – för att testa enkel inloggning med Azure AD med B.Simon.
    2. Tilldela Azure AD-testanvändaren – så att B.Simon kan använda enkel inloggning med Azure AD.
  2. Konfigurera SURFsecureID – Azure MFA SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa SURFsecureID – Azure MFA-testanvändare – för att ha en motsvarighet för B.Simon i SURFsecureID – Azure MFA som är länkad till En Azure AD-representation av användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera Azure AD SSO

Följ dessa steg för att aktivera enkel inloggning med Azure AD i Azure Portal.

  1. På Azure Portal går du till programintegreringssidan FÖR SURFsecureID – Azure MFA, letar upp avsnittet Hantera och väljer enkel inloggning.

  2. På sidan Välj en metod för enkel inloggning väljer du SAML.

  3. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  4. I avsnittet Grundläggande SAML-konfiguration utför du följande steg:

    a. I textrutan Identifierare (entitets-ID) skriver du en av följande webbadresser:

    Miljö URL
    Mellanlagring https://azuremfa.test.surfconext.nl/saml/metadata
    Produktion https://azuremfa.surfconext.nl/saml/metadata

    b. I textrutan Svars-URL skriver du en av följande webbadresser:

    Miljö URL
    Mellanlagring https://azuremfa.test.surfconext.nl/saml/acs
    Produktion https://azuremfa.surfconext.nl/saml/acs

    b. I textrutan Inloggnings-URL skriver du en av följande webbadresser:

    Miljö URL
    Mellanlagring https://sa.test.surfconext.nl
    Produktion https://sa.surfconext.nl
  5. SURFsecureID – Azure MFA-programmet förväntar sig SAML-försäkran i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. I följande skärmbild visas listan över standardattribut.

    image

  6. Utöver ovanstående förväntar sig SURFsecureID – Azure MFA-programmet att några fler attribut skickas tillbaka i SAML-svaret som visas nedan. Dessa attribut är också ifyllda i förväg, men du kan granska dem enligt dina behov.

    Name Källattribut
    urn:mace:dir:attribute-def:mail user.mail
  7. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat, klickar på kopieringsknappen för att kopiera URL:en för appfederationsmetadata och sparar den på datorn.

    Länk för nedladdning av certifikatet

Skapa en Azure AD-testanvändare

I det här avsnittet skapar du en testanvändare i Azure Portal namnet B.Simon.

  1. I det vänstra fönstret i Azure Portal väljer du Azure Active Directory, väljer Användare och sedan Alla användare.
  2. Välj Ny användare överst på skärmen.
  3. I Användaregenskaper följer du dessa steg:
    1. I Namn-fältet skriver du B.Simon.
    2. I fältet Användarnamn anger du username@companydomain.extension . Till exempel B.Simon@contoso.com.
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Klicka på Skapa.

Tilldela Azure AD-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning med Azure genom att ge åtkomst till SURFsecureID – Azure MFA.

  1. I Azure Portal väljer du Företagsprogram och sedan Alla program.
  2. I programlistan väljer du SURFsecureID – Azure MFA.
  3. På appens översiktssida hittar du avsnittet Hantera och väljer Användare och grupper.
  4. Välj Lägg till användare och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning.
  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
  6. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den från listrutan Välj en roll. Om ingen roll har ställts in för den här appen visas rollen "Standardåtkomst".
  7. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera SURFsecureID – Azure MFA SSO

För att konfigurera enkel inloggning på SURFsecureID – Azure MFA-sidan behöver du skicka URL:en för appfederationsmetadata till SURFsecureID – Azure MFA-supportteamet. De anger inställningen så att SAML SSO-anslutningen ställs in korrekt på båda sidorna.

Skapa SURFsecureID – Azure MFA-testanvändare

I det här avsnittet skapar du en användare med namnet Britta Simon i SURFsecureID – Azure MFA. Arbeta med SURFsecureID – Azure MFA-supportteamet för att lägga till användare i SURFsecureID – Azure MFA-plattformen. Användare måste skapas och aktiveras innan du använder enkel inloggning.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Azure AD med följande alternativ.

  • Klicka på Testa det här programmet i Azure Portal. Detta omdirigerar till SURFsecureID – Azure MFA-inloggnings-URL där du kan initiera inloggningsflödet.

  • Gå till SURFsecureID – Inloggnings-URL för Azure MFA direkt och initiera inloggningsflödet därifrån.

  • Du kan använda Microsoft Mina appar. När du klickar på RUTAN SURFsecureID – Azure MFA i Mina appar omdirigeras detta till SURFsecureID – Inloggnings-URL för Azure MFA. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du har konfigurerat SURFsecureID – Azure MFA kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltrering av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för Cloud Apps.