Öğretici: Microsoft Entra Id için Cirrus Identity Bridge ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi

  • Makale

Bu öğreticide, Microsoft Graph API tabanlı tümleştirme desenini kullanarak Microsoft Entra Id için Cirrus Identity Bridge'i Microsoft Entra ID ile tümleştirmeyi öğreneceksiniz. Microsoft Entra Id için Cirrus Identity Bridge'i Microsoft Entra ID ile bu şekilde tümleştirdiğinizde şunları yapabilirsiniz:

  • Microsoft Entra Id'den InCommon'a veya diğer çok taraflı federasyon hizmeti sağlayıcılarına kimlerin erişimi olduğunu denetleyin.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla SSO'ya InCommon'a veya diğer çok taraflı federasyon hizmeti sağlayıcılarına izin vermelerini sağlayın.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla Merkezi Kimlik Doğrulama Hizmeti (CAS) uygulamalarına erişmesini sağlayın.
  • Uygulama erişiminizi tek bir merkezi konumda yönetin.

Önkoşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

  • Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
  • Microsoft Entra çoklu oturum açma (SSO) özellikli abonelik için Cirrus Identity Bridge. Henüz abone değilseniz lütfen Cirrus Identity Microsoft Entra ID Bridge Kayıt Sayfası'nı ziyaret edin.

Senaryo açıklaması

Bu öğreticide, Microsoft Entra SSO'sunu bir test ortamında yapılandırıp test edin.

  • Microsoft Entra ID için Cirrus Identity Bridge, SP ve IDP tarafından başlatılan SSO'yu destekler.

Microsoft Entra Id için Cirrus Identity Bridge'e abone olurken Sizden Microsoft Entra TenantID'niz istenir. Bunu görüntülemek için:

  1. Microsoft Entra yönetim merkezinde oturum açın.
  2. Kimlik>Genel Bakış>Özellikleri'e göz atın.
  3. Sayfayı aşağı kaydırarak Kiracı Kimliği bölümüne gelin ve kiracı kimliğinizi kutuda bulabilirsiniz.
  4. Değeri kopyalayın ve üzerinde çalıştığınız Cirrus Identity sözleşme temsilcisine gönderin.

Microsoft Graph API tümleştirmesini kullanmak için Microsoft Entra Id için Cirrus Kimlik Köprüsü'ne kiracınızdaki API'yi kullanmak üzere erişim vermelisiniz. Bunu yapmak için:

  1. Microsoft Entra yönetim merkezinde oturum açın.
  2. $TENANT_ID değerini Microsoft Entra kiracınızın değeriyle değiştirerek URL'yi https://login.microsoftonline.com/$TENANT_ID/adminconsent?client_id=ea71bc49-6159-422d-84d5-6c29d7287974&state=12345&redirect_uri=https://admin.cirrusidentity.com/azure-registration düzenleyin.
  3. URL'yi, Genel Yönetici istrator olarak oturum açtığınız tarayıcıya yapıştırın.
  4. Erişim izni verme izniniz istenir.
  5. Başarılı olduğunda, Cirrus Bridge API adlı yeni bir uygulama olmalıdır.
  6. Üzerinde çalıştığınız Cirrus Identity sözleşme temsilcisine, Microsoft Entra Id için Cirrus Kimlik Köprüsü'ne api erişimini başarıyla vermiş olduğunuzu önerin.

Cirrus Identity Kiracı Kimliğine sahip olduktan ve erişim verildikten sonra, Microsoft Entra altyapısı için Cirrus Kimlik Köprüsü sağlayacağız ve aboneliğinize özgü aşağıdaki bilgileri sağlayacağız:

  • Tanımlayıcı URI'si/ Varlık Kimliği
  • Yeniden Yönlendirme URI'si / Yanıt URL'si
  • Tek oturum kapatma URL'si
  • SP Şifreleme Sertifikası (şifrelenmiş onaylar veya oturumu kapatma kullanılıyorsa)
  • Test için BIR URL
  • Aboneliğinize dahil edilen seçeneklere bağlı olarak ek yönergeler

Not

Microsoft Entra Id için Cirrus Kimlik Köprüsü'ne API erişimi veremiyorsanız, Köprü geleneksel bir SAML2 tümleştirmesi kullanılarak tümleştirilebilir. Üzerinde çalıştığınız Cirrus Identity sözleşme temsilcisine MS Graph API tümleştirmesini kullanamayacağınızı önerin.

Microsoft Entra Id için Cirrus Identity Bridge'in Microsoft Entra ID ile tümleştirilmesini yapılandırmak için galeriden yönetilen SaaS uygulamaları listenize Microsoft Entra Id için Cirrus Identity Bridge eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna Microsoft Entra Id için Cirrus Identity Bridge yazın.
  4. Sonuçlar panelinden Microsoft Entra Id için Cirrus Identity Bridge'i seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

Microsoft Entra Id için Cirrus Identity Bridge için Microsoft Entra SSO'yu yapılandırma ve test edin

B.Simon adlı bir test kullanıcısını kullanarak Microsoft Entra Id için Cirrus Identity Bridge ile Microsoft Entra SSO'yu yapılandırın ve test edin. SSO'nun çalışması için Microsoft Entra kimliği için Cirrus Kimlik Köprüsü'nde bir Microsoft Entra kullanıcısı ile ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

Microsoft Entra Id için Cirrus Identity Bridge ile Microsoft Entra SSO'yu yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.
    1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
  2. Uygulama tarafında çoklu oturum açma ayarlarını yapılandırmak için Microsoft Entra SSO için Cirrus Identity Bridge'i yapılandırın.
    1. Microsoft Entra testi için Cirrus Identity Bridge kurulumu - Kullanıcının Microsoft Entra gösterimine bağlı Microsoft Entra Id için Cirrus Identity Bridge'de B.Simon'ın bir karşılığına sahip olmak.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Microsoft Entra ID uygulama tümleştirmesi için Kimlik>Uygulamaları>Kurumsal uygulamaları>Cirrus Identity Bridge sayfasına gidin, Yönet bölümünü bulun ve Özellikler'i seçin.

  3. Özellikler sayfasında, erişim gereksinimlerinize göre Atama Gerekli seçeneğini değiştirin. Evet olarak ayarlanırsa, Microsoft Entra ID uygulaması için Cirrus Kimlik Köprüsü'ne Kullanıcılar ve Gruplar sayfasındaki bir erişim denetimi grubu atamanız gerekir.

  4. Özellikler sayfasındayken, Kullanıcılara görünür seçeneğini Hayır olarak değiştirin. İlk tümleştirme her zaman birden çok hizmet sağlayıcısı için kullanılan varsayılan tümleştirmeyi temsil eder. Bu durumda, son kullanıcıları yönlendirecek tek bir hizmet sağlayıcısı olmayacaktır. Belirli uygulamaların son kullanıcılara görünür olmasını sağlamak için, son kullanıcıya belirli hizmet sağlayıcılarına Uygulamalarım erişim vermek için çoklu oturum açmayı bağlamayı kullanmanız gerekir. Diğer ayrıntılar için buraya bakın.

  5. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  6. Microsoft Entra ID>Çoklu oturum açma için Kimlik>Uygulamaları>Kurumsal uygulamaları>Cirrus Identity Bridge'e göz atın.

  7. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  8. SAML ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.

    Edit Basic SAML Configuration

  9. Temel SAML Yapılandırması bölümünde aşağıdaki adımları gerçekleştirin:

    a. Tanımlayıcı (Varlık Kimliği) metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<DOMAIN>/bridge

    b. Yanıt URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<NAME>.proxy.cirrusidentity.com/module.php/saml/sp/saml2-acs.php/<NAME>_proxy

  10. Ek URL'leri ayarla'ya tıklayın ve uygulamayı SP tarafından başlatılan modda yapılandırmak istiyorsanız aşağıdaki adımı gerçekleştirin:

    Oturum açma URL'si metin kutusuna aşağıdaki deseni kullanarak bir değer yazın:<CUSTOMER_LOGIN_URL>

    Not

    Bu değerler gerçek değildir. Bu değerleri gerçek Tanımlayıcı, Yanıt URL'si ve Oturum açma URL'si ile güncelleştirin. Henüz Cirrus Köprüsü'ne abone olmadıysanız lütfen kayıt sayfasını ziyaret edin. Mevcut bir Cirrus Bridge müşterisiyseniz, bu değerleri almak için Microsoft Entra İstemcisi destek ekibi için Cirrus Kimlik Köprüsü'ne başvurun. Temel SAML Yapılandırması bölümünde gösterilen desenlere de başvurabilirsiniz.

  11. Microsoft Entra uygulaması için Cirrus Identity Bridge, SAML onaylamalarını belirli bir biçimde bekler. Bu, SAML belirteci öznitelikleri yapılandırmanıza özel öznitelik eşlemeleri eklemenizi gerektirir. Aşağıdaki ekran görüntüsünde varsayılan özniteliklerin listesi gösterilmektedir.

    image

  12. Microsoft Entra için Cirrus Identity Bridge, InCommon güven federasyonuyla kullanım için tipik olan Öznitelikleri ve Talepleri önceden doldurur. Gereksinimlerinizi karşılamak için bunları gözden geçirebilir ve değiştirebilirsiniz. Daha fazla ayrıntı için eduPerson şema belirtimine bakın.

    Veri Akışı Adı Kaynak Özniteliği
    urn:oid:2.5.4.42 user.givenname
    urn:oid:2.5.4.4 user.surname
    urn:oid:0.9.2342.19200300.100.1.3 user.mail
    urn:oid:1.3.6.1.4.1.5923.1.1.1.6 user.userprincipalname
    cirrus.nameIdFormat "urn:oasis:names:tc:SAML:2.0:nameid-format:transient"

    Not

    Bu varsayılanlar, Microsoft Entra UPN'nin eduPersonPrincipalName olarak kullanıma uygun olduğunu varsayar.

  13. SAML ile çoklu oturum açmayı ayarla sayfasında, SAML İmzalama Sertifikası bölümünde Kopyala düğmesine tıklayarak Uygulama Federasyonu Meta Veri Url'sini kopyalayın ve bilgisayarınıza kaydedin.

    The Certificate download link

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur'u belirleyin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, Microsoft Entra Id için Cirrus Identity Bridge'e erişim vererek B.Simon'un çoklu oturum açma özelliğini kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Microsoft Entra Id için Kimlik>Uygulamaları>Kurumsal uygulamaları>Cirrus Kimlik Köprüsü'ne göz atın.
  3. Uygulamanın genel bakış sayfasında Kullanıcılar ve gruplar'ı seçin.
  4. Kullanıcı/grup ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ıseçin.
    1. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın.
    2. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
    3. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

Microsoft Entra SSO için Cirrus Identity Bridge'i yapılandırma

Cirrus Köprüsü'nün yapılandırılması hakkında daha fazla belgeye Cirrus Identity'den ulaşabilirsiniz. Cirrus Köprüsü'nün CAS hizmetlerine erişimi destekleyecek şekilde yapılandırılması için, Cirrus Köprüsü için CAS desteği de sağlanır.

Microsoft Entra testi için Cirrus Identity Bridge kurulumu

Bu bölümde Britta Simon adlı kullanıcının test için kullanılabileceğini doğrulaacaksınız. Microsoft Entra için Cirrus Kimlik Köprüsü destek ekibi, Britta Simon'ın Microsoft Entra platformu için Cirrus Kimlik Köprüsü ile kullanıma hazır olduğunu doğrulamak için bir test URL'si sağlayacaktır. Test kullanıcısı Britta Simon'ın kimlik doğrulaması için bir yöntem olarak Microsoft Entra Id için Cirrus Identity Bridge kullanan tüm uygulamalara da eklenmesi gerekir (örneğin, çok taraflı federasyon meta verilerindeki uygulamalar).

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

SP başlatıldı:

  • Bu uygulamayı test et'e tıklayın; bu, oturum açma akışını başlatabileceğiniz Microsoft Entra Id Oturum Açma URL'si için Cirrus Kimlik Köprüsü'ne yönlendirilir.

  • Doğrudan Microsoft Entra Oturum Açma URL'si için Cirrus Kimlik Köprüsü'ne gidin ve buradan oturum açma akışını başlatın.

IDP başlatıldı:

  • Bu uygulamayı test et'e tıkladığınızda SSO'yu ayarladığınız Microsoft Entra Id için Cirrus Identity Bridge'de otomatik olarak oturum açmanız gerekir.

Uygulamayı herhangi bir modda test etmek için Microsoft Uygulamalarım de kullanabilirsiniz. Uygulamalarım Microsoft Entra Id için Cirrus Kimlik Köprüsü kutucuğuna tıkladığınızda, SP modunda yapılandırıldıysa oturum açma akışını başlatmaya yönelik uygulama oturum açma sayfasına yönlendirilirsiniz ve IDP modunda yapılandırıldıysanız, SSO'yu ayarladığınız Microsoft Entra Kimliği için Cirrus Kimlik Köprüsü'nde otomatik olarak oturum açmanız gerekir. Uygulamalarım hakkında daha fazla bilgi için bkz. Uygulamalarım giriş.

Sonraki adımlar

Microsoft Entra Id için Cirrus Identity Bridge'i yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.

MS Graph API tümleştirmesini kullanırken Microsoft Entra Id için Cirrus Identity Bridge için birden çok Uygulama yapılandırması da oluşturabilirsiniz. Bunlar, çok taraflı federasyon grupları için farklı talepler, erişim denetimleri veya Microsoft Entra Koşullu Erişim ilkeleri uygulamanıza olanak sağlar. Diğer ayrıntılar için buraya bakın. Bu erişim denetimlerinin çoğu CAS uygulamalarına da uygulanabilir.