Öğretici: Microsoft Entra Id için Cirrus Identity Bridge ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi
Bu öğreticide, Microsoft Graph API tabanlı tümleştirme desenini kullanarak Microsoft Entra Id için Cirrus Identity Bridge'i Microsoft Entra ID ile tümleştirmeyi öğreneceksiniz. Microsoft Entra Id için Cirrus Identity Bridge'i Microsoft Entra ID ile bu şekilde tümleştirdiğinizde şunları yapabilirsiniz:
- Microsoft Entra Id'den InCommon'a veya diğer çok taraflı federasyon hizmeti sağlayıcılarına kimlerin erişimi olduğunu denetleyin.
- Kullanıcılarınızın Microsoft Entra hesaplarıyla SSO'ya InCommon'a veya diğer çok taraflı federasyon hizmeti sağlayıcılarına izin vermelerini sağlayın.
- Kullanıcılarınızın Microsoft Entra hesaplarıyla Merkezi Kimlik Doğrulama Hizmeti (CAS) uygulamalarına erişmesini sağlayın.
- Uygulama erişiminizi tek bir merkezi konumda yönetin.
Önkoşullar
Başlamak için aşağıdaki öğelere ihtiyacınız vardır:
- Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
- Microsoft Entra çoklu oturum açma (SSO) özellikli abonelik için Cirrus Identity Bridge. Henüz abone değilseniz lütfen Cirrus Identity Microsoft Entra ID Bridge Kayıt Sayfası'nı ziyaret edin.
Senaryo açıklaması
Bu öğreticide, Microsoft Entra SSO'sunu bir test ortamında yapılandırıp test edin.
- Microsoft Entra ID için Cirrus Identity Bridge, SP ve IDP tarafından başlatılan SSO'yu destekler.
Galeriden Microsoft Entra Id için Cirrus Identity Bridge eklemeden önce
Microsoft Entra Id için Cirrus Identity Bridge'e abone olurken Sizden Microsoft Entra TenantID'niz istenir. Bunu görüntülemek için:
- Microsoft Entra yönetim merkezinde oturum açın.
- Kimlik>Genel Bakış>Özellikleri'e göz atın.
- Sayfayı aşağı kaydırarak Kiracı Kimliği bölümüne gelin ve kiracı kimliğinizi kutuda bulabilirsiniz.
- Değeri kopyalayın ve üzerinde çalıştığınız Cirrus Identity sözleşme temsilcisine gönderin.
Microsoft Graph API tümleştirmesini kullanmak için Microsoft Entra Id için Cirrus Kimlik Köprüsü'ne kiracınızdaki API'yi kullanmak üzere erişim vermelisiniz. Bunu yapmak için:
- Microsoft Entra yönetim merkezinde oturum açın.
- $TENANT_ID değerini Microsoft Entra kiracınızın değeriyle değiştirerek URL'yi
https://login.microsoftonline.com/$TENANT_ID/adminconsent?client_id=ea71bc49-6159-422d-84d5-6c29d7287974&state=12345&redirect_uri=https://admin.cirrusidentity.com/azure-registration
düzenleyin. - URL'yi, Genel Yönetici istrator olarak oturum açtığınız tarayıcıya yapıştırın.
- Erişim izni verme izniniz istenir.
- Başarılı olduğunda, Cirrus Bridge API adlı yeni bir uygulama olmalıdır.
- Üzerinde çalıştığınız Cirrus Identity sözleşme temsilcisine, Microsoft Entra Id için Cirrus Kimlik Köprüsü'ne api erişimini başarıyla vermiş olduğunuzu önerin.
Cirrus Identity Kiracı Kimliğine sahip olduktan ve erişim verildikten sonra, Microsoft Entra altyapısı için Cirrus Kimlik Köprüsü sağlayacağız ve aboneliğinize özgü aşağıdaki bilgileri sağlayacağız:
- Tanımlayıcı URI'si/ Varlık Kimliği
- Yeniden Yönlendirme URI'si / Yanıt URL'si
- Tek oturum kapatma URL'si
- SP Şifreleme Sertifikası (şifrelenmiş onaylar veya oturumu kapatma kullanılıyorsa)
- Test için BIR URL
- Aboneliğinize dahil edilen seçeneklere bağlı olarak ek yönergeler
Not
Microsoft Entra Id için Cirrus Kimlik Köprüsü'ne API erişimi veremiyorsanız, Köprü geleneksel bir SAML2 tümleştirmesi kullanılarak tümleştirilebilir. Üzerinde çalıştığınız Cirrus Identity sözleşme temsilcisine MS Graph API tümleştirmesini kullanamayacağınızı önerin.
Galeriden Microsoft Entra Id için Cirrus Identity Bridge ekleme
Microsoft Entra Id için Cirrus Identity Bridge'in Microsoft Entra ID ile tümleştirilmesini yapılandırmak için galeriden yönetilen SaaS uygulamaları listenize Microsoft Entra Id için Cirrus Identity Bridge eklemeniz gerekir.
- Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
- Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
- Galeriden ekle bölümünde, arama kutusuna Microsoft Entra Id için Cirrus Identity Bridge yazın.
- Sonuçlar panelinden Microsoft Entra Id için Cirrus Identity Bridge'i seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.
Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.
Microsoft Entra Id için Cirrus Identity Bridge için Microsoft Entra SSO'yu yapılandırma ve test edin
B.Simon adlı bir test kullanıcısını kullanarak Microsoft Entra Id için Cirrus Identity Bridge ile Microsoft Entra SSO'yu yapılandırın ve test edin. SSO'nun çalışması için Microsoft Entra kimliği için Cirrus Kimlik Köprüsü'nde bir Microsoft Entra kullanıcısı ile ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.
Microsoft Entra Id için Cirrus Identity Bridge ile Microsoft Entra SSO'yu yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:
- Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.
- Uygulama tarafında çoklu oturum açma ayarlarını yapılandırmak için Microsoft Entra SSO için Cirrus Identity Bridge'i yapılandırın.
- Microsoft Entra testi için Cirrus Identity Bridge kurulumu - Kullanıcının Microsoft Entra gösterimine bağlı Microsoft Entra Id için Cirrus Identity Bridge'de B.Simon'ın bir karşılığına sahip olmak.
- Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.
Microsoft Entra SSO'sını yapılandırma
Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.
Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
Microsoft Entra ID uygulama tümleştirmesi için Kimlik>Uygulamaları>Kurumsal uygulamaları>Cirrus Identity Bridge sayfasına gidin, Yönet bölümünü bulun ve Özellikler'i seçin.
Özellikler sayfasında, erişim gereksinimlerinize göre Atama Gerekli seçeneğini değiştirin. Evet olarak ayarlanırsa, Microsoft Entra ID uygulaması için Cirrus Kimlik Köprüsü'ne Kullanıcılar ve Gruplar sayfasındaki bir erişim denetimi grubu atamanız gerekir.
Özellikler sayfasındayken, Kullanıcılara görünür seçeneğini Hayır olarak değiştirin. İlk tümleştirme her zaman birden çok hizmet sağlayıcısı için kullanılan varsayılan tümleştirmeyi temsil eder. Bu durumda, son kullanıcıları yönlendirecek tek bir hizmet sağlayıcısı olmayacaktır. Belirli uygulamaların son kullanıcılara görünür olmasını sağlamak için, son kullanıcıya belirli hizmet sağlayıcılarına Uygulamalarım erişim vermek için çoklu oturum açmayı bağlamayı kullanmanız gerekir. Diğer ayrıntılar için buraya bakın.
Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
Microsoft Entra ID>Çoklu oturum açma için Kimlik>Uygulamaları>Kurumsal uygulamaları>Cirrus Identity Bridge'e göz atın.
Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.
SAML ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.
Temel SAML Yapılandırması bölümünde aşağıdaki adımları gerçekleştirin:
a. Tanımlayıcı (Varlık Kimliği) metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:
https://<DOMAIN>/bridge
b. Yanıt URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:
https://<NAME>.proxy.cirrusidentity.com/module.php/saml/sp/saml2-acs.php/<NAME>_proxy
Ek URL'leri ayarla'ya tıklayın ve uygulamayı SP tarafından başlatılan modda yapılandırmak istiyorsanız aşağıdaki adımı gerçekleştirin:
Oturum açma URL'si metin kutusuna aşağıdaki deseni kullanarak bir değer yazın:
<CUSTOMER_LOGIN_URL>
Not
Bu değerler gerçek değildir. Bu değerleri gerçek Tanımlayıcı, Yanıt URL'si ve Oturum açma URL'si ile güncelleştirin. Henüz Cirrus Köprüsü'ne abone olmadıysanız lütfen kayıt sayfasını ziyaret edin. Mevcut bir Cirrus Bridge müşterisiyseniz, bu değerleri almak için Microsoft Entra İstemcisi destek ekibi için Cirrus Kimlik Köprüsü'ne başvurun. Temel SAML Yapılandırması bölümünde gösterilen desenlere de başvurabilirsiniz.
Microsoft Entra uygulaması için Cirrus Identity Bridge, SAML onaylamalarını belirli bir biçimde bekler. Bu, SAML belirteci öznitelikleri yapılandırmanıza özel öznitelik eşlemeleri eklemenizi gerektirir. Aşağıdaki ekran görüntüsünde varsayılan özniteliklerin listesi gösterilmektedir.
Microsoft Entra için Cirrus Identity Bridge, InCommon güven federasyonuyla kullanım için tipik olan Öznitelikleri ve Talepleri önceden doldurur. Gereksinimlerinizi karşılamak için bunları gözden geçirebilir ve değiştirebilirsiniz. Daha fazla ayrıntı için eduPerson şema belirtimine bakın.
Veri Akışı Adı Kaynak Özniteliği urn:oid:2.5.4.42 user.givenname urn:oid:2.5.4.4 user.surname urn:oid:0.9.2342.19200300.100.1.3 user.mail urn:oid:1.3.6.1.4.1.5923.1.1.1.6 user.userprincipalname cirrus.nameIdFormat "urn:oasis:names:tc:SAML:2.0:nameid-format:transient" Not
Bu varsayılanlar, Microsoft Entra UPN'nin eduPersonPrincipalName olarak kullanıma uygun olduğunu varsayar.
SAML ile çoklu oturum açmayı ayarla sayfasında, SAML İmzalama Sertifikası bölümünde Kopyala düğmesine tıklayarak Uygulama Federasyonu Meta Veri Url'sini kopyalayın ve bilgisayarınıza kaydedin.
Microsoft Entra test kullanıcısı oluşturma
Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.
- Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
- Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
- Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
- Kullanıcı özellikleri bölümünde şu adımları izleyin:
- Görünen ad alanına girin
B.Simon
. - Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin,
B.Simon@contoso.com
. - Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
- Gözden geçir ve oluştur’u seçin.
- Görünen ad alanına girin
- Oluştur'u belirleyin.
Microsoft Entra test kullanıcısını atama
Bu bölümde, Microsoft Entra Id için Cirrus Identity Bridge'e erişim vererek B.Simon'un çoklu oturum açma özelliğini kullanmasını sağlayacaksınız.
- Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
- Microsoft Entra Id için Kimlik>Uygulamaları>Kurumsal uygulamaları>Cirrus Kimlik Köprüsü'ne göz atın.
- Uygulamanın genel bakış sayfasında Kullanıcılar ve gruplar'ı seçin.
- Kullanıcı/grup ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ıseçin.
- Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın.
- Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
- Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.
Microsoft Entra SSO için Cirrus Identity Bridge'i yapılandırma
Cirrus Köprüsü'nün yapılandırılması hakkında daha fazla belgeye Cirrus Identity'den ulaşabilirsiniz. Cirrus Köprüsü'nün CAS hizmetlerine erişimi destekleyecek şekilde yapılandırılması için, Cirrus Köprüsü için CAS desteği de sağlanır.
Microsoft Entra testi için Cirrus Identity Bridge kurulumu
Bu bölümde Britta Simon adlı kullanıcının test için kullanılabileceğini doğrulaacaksınız. Microsoft Entra için Cirrus Kimlik Köprüsü destek ekibi, Britta Simon'ın Microsoft Entra platformu için Cirrus Kimlik Köprüsü ile kullanıma hazır olduğunu doğrulamak için bir test URL'si sağlayacaktır. Test kullanıcısı Britta Simon'ın kimlik doğrulaması için bir yöntem olarak Microsoft Entra Id için Cirrus Identity Bridge kullanan tüm uygulamalara da eklenmesi gerekir (örneğin, çok taraflı federasyon meta verilerindeki uygulamalar).
SSO'ları test edin
Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.
SP başlatıldı:
Bu uygulamayı test et'e tıklayın; bu, oturum açma akışını başlatabileceğiniz Microsoft Entra Id Oturum Açma URL'si için Cirrus Kimlik Köprüsü'ne yönlendirilir.
Doğrudan Microsoft Entra Oturum Açma URL'si için Cirrus Kimlik Köprüsü'ne gidin ve buradan oturum açma akışını başlatın.
IDP başlatıldı:
- Bu uygulamayı test et'e tıkladığınızda SSO'yu ayarladığınız Microsoft Entra Id için Cirrus Identity Bridge'de otomatik olarak oturum açmanız gerekir.
Uygulamayı herhangi bir modda test etmek için Microsoft Uygulamalarım de kullanabilirsiniz. Uygulamalarım Microsoft Entra Id için Cirrus Kimlik Köprüsü kutucuğuna tıkladığınızda, SP modunda yapılandırıldıysa oturum açma akışını başlatmaya yönelik uygulama oturum açma sayfasına yönlendirilirsiniz ve IDP modunda yapılandırıldıysanız, SSO'yu ayarladığınız Microsoft Entra Kimliği için Cirrus Kimlik Köprüsü'nde otomatik olarak oturum açmanız gerekir. Uygulamalarım hakkında daha fazla bilgi için bkz. Uygulamalarım giriş.
Sonraki adımlar
Microsoft Entra Id için Cirrus Identity Bridge'i yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.
MS Graph API tümleştirmesini kullanırken Microsoft Entra Id için Cirrus Identity Bridge için birden çok Uygulama yapılandırması da oluşturabilirsiniz. Bunlar, çok taraflı federasyon grupları için farklı talepler, erişim denetimleri veya Microsoft Entra Koşullu Erişim ilkeleri uygulamanıza olanak sağlar. Diğer ayrıntılar için buraya bakın. Bu erişim denetimlerinin çoğu CAS uygulamalarına da uygulanabilir.