Microsoft Entra çoklu oturum açmayı Maverics Identity Orchestrator SAML Bağlan or ile tümleştirme
Dikkat
Bu makalede, Kullanım Süresi Sonu (EOL) durumuna yakın bir Linux dağıtımı olan CentOS'a başvuruda bulunur. Lütfen kullanımınızı göz önünde bulundurun ve uygun şekilde planlayın. Daha fazla bilgi için bkz . CentOS Kullanım Süresi Sonu kılavuzu.
Strata'nın Maverics Identity Orchestrator'ı, kimlik doğrulaması ve erişim denetimi için şirket içi uygulamaları Microsoft Entra Id ile tümleştirmek için basit bir yol sağlar. Maverics Orchestrator, şu anda üst bilgileri, tanımlama bilgilerini ve diğer özel kimlik doğrulama yöntemlerini kullanan uygulamalar için kimlik doğrulamasını ve yetkilendirmeyi modernleştirebilir. Maverics Orchestrator örnekleri şirket içinde veya bulutta dağıtılabilir.
Bu karma erişim öğreticisi, şu anda eski bir web erişim yönetimi ürünü tarafından korunan bir şirket içi web uygulamasının kimlik doğrulaması ve erişim denetimi için Microsoft Entra Id kullanmak üzere nasıl geçirildiğini gösterir. Temel adımlar şunlardır:
- Maverics Orchestrator'ını ayarlama
- Bir uygulamaya ara sunucu oluşturma
- Microsoft Entra Id'de kurumsal uygulama kaydetme
- Azure aracılığıyla kimlik doğrulaması ve uygulamaya erişimi yetkilendirme
- Sorunsuz uygulama erişimi için üst bilgi ekleme
- Birden çok uygulamayla çalışma
Önkoşullar
- Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
- Maverics Identity Orchestrator SAML Bağlan veya SSO özellikli abonelik. Maverics yazılımını almak için Strata satış ekibiyle iletişime geçin.
- Üst bilgi tabanlı kimlik doğrulaması kullanan en az bir uygulama. Örnekler, konumunda
https://app.connectulum.com
barındırılan Bağlan ulum adlı bir uygulamada çalışır. - Maverics Orchestrator'ı barındırmak için bir Linux makinesi
- İşletim sistemi: RHEL 7.7 veya üzeri, CentOS 7+
- Disk: >= 10 GB
- Bellek: >= 4 GB
- Bağlantı noktaları: 22 (SSH/SCP), 443, 7474
- Yükleme/yönetim görevleri için kök erişim
- Maverics Identity Orchestrator'ı barındıran sunucudan korumalı uygulamanıza ağ çıkışı
1. Adım: Maverics Orchestrator'ı ayarlama
Maverics'i yükleme
En son Maverics RPM'sini edinin. Paketi Maverics yazılımını yüklemek istediğiniz sisteme kopyalayın.
Yerine dosya adınızı
maverics.rpm
değiştirerek Maverics paketini yükleyin.sudo rpm -Uvf maverics.rpm
Maverics'i yükledikten sonra, altında
systemd
bir hizmet olarak çalışır. Hizmetin çalıştığını doğrulamak için aşağıdaki komutu yürütür:sudo systemctl status maverics
Orchestrator'ı yeniden başlatmak ve günlükleri izlemek için aşağıdaki komutu çalıştırabilirsiniz:
sudo service maverics restart; sudo journalctl --identifier=maverics -f
Maverics'i yükledikten sonra dizinde /etc/maverics
varsayılan maverics.yaml
dosya oluşturulur. yapılandırmanızı ve connectors
içerecek appgateways
şekilde düzenlemeden önce yapılandırma dosyanız şu z gibi görünür:
# © Strata Identity Inc. 2020. All Rights Reserved. Patents Pending.
version: 0.1
listenAddress: ":7474"
DNS yapılandırma
DNS, Orchestrator sunucusunun IP'sini hatırlamanız gerekmeyecek şekilde yararlı olacaktır.
12.34.56.78 varsayımsal orchestrator IP'sini kullanarak tarayıcı makinesinin (dizüstü bilgisayarınızın) ana bilgisayar dosyasını düzenleyin. Linux tabanlı işletim sistemlerinde, bu dosya içinde /etc/hosts
bulunur. Windows'ta konumundadır C:\windows\system32\drivers\etc
.
12.34.56.78 sonar.maverics.com
12.34.56.78 connectulum.maverics.com
DNS'nin beklendiği gibi yapılandırıldığını onaylamak için Orchestrator'ın durum uç noktasına bir istekte bulunabilirsiniz. Tarayıcınızdan isteğinde bulun http://sonar.maverics.com:7474/status
.
TLS’yi yapılandırma
Orchestrator'ınızla konuşmak için güvenli kanallar üzerinden iletişim kurmak güvenliği korumak için kritik öneme sahiptir. Bunu başarmak için bölümünüzde tls
bir sertifika/anahtar çifti ekleyebilirsiniz.
Orchestrator sunucusu için otomatik olarak imzalanan bir sertifika ve anahtar oluşturmak için dizinin içinden /etc/maverics
aşağıdaki komutu çalıştırın:
openssl req -new -newkey rsa:4096 -x509 -sha256 -days 365 -nodes -out maverics.crt -keyout maverics.key
Not
Üretim ortamlarında, tarayıcıda uyarılardan kaçınmak için bilinen bir CA tarafından imzalanan bir sertifika kullanmak isteyebilirsiniz. Güvenilir bir CA arıyorsanız Let's Encrypt iyi ve ücretsiz bir seçenektir.
Şimdi Orchestrator için yeni oluşturulan sertifikayı ve anahtarı kullanın. Yapılandırma dosyanız artık şu kodu içermelidir:
version: 0.1
listenAddress: ":443"
tls:
maverics:
certFile: /etc/maverics/maverics.crt
keyFile: /etc/maverics/maverics.key
TLS'nin beklendiği gibi yapılandırıldığını onaylamak için Maverics hizmetini yeniden başlatın ve durum uç noktasına bir istekte bulunın.
2. Adım: Uygulamaya ara sunucu oluşturma
Ardından, kullanarak appgateways
Orchestrator'da temel proxy'yi yapılandırın. Bu adım, Orchestrator'ın korumalı uygulamayla gerekli bağlantıya sahip olduğunu doğrulamanıza yardımcı olur.
Yapılandırma dosyanız artık şu kodu içermelidir:
version: 0.1
listenAddress: ":443"
tls:
maverics:
certFile: /etc/maverics/maverics.crt
keyFile: /etc/maverics/maverics.key
appgateways:
- name: sonar
location: /
# Replace https://app.sonarsystems.com with the address of your protected application
upstream: https://app.sonarsystems.com
Ara sunucu oluşturmanın beklendiği gibi çalıştığını onaylamak için Maverics hizmetini yeniden başlatın ve Maverics proxy'si aracılığıyla uygulamaya bir istekte bulunın. İsteğe bağlı olarak belirli uygulama kaynaklarına istekte bulunabilirsiniz.
3. Adım: Kurumsal uygulamayı Microsoft Entra Id'ye kaydetme
Şimdi, Microsoft Entra Id'de son kullanıcıların kimliğini doğrulamak için kullanılacak yeni bir kurumsal uygulama oluşturun.
Not
Koşullu Erişim gibi Microsoft Entra özelliklerini kullandığınızda, şirket içi uygulama başına bir kurumsal uygulama oluşturmak önemlidir. Bu, uygulama başına Koşullu Erişim, uygulama başına risk değerlendirmesi, uygulama başına atanan izinler vb. izin verir. Genel olarak, Microsoft Entra ID'deki kurumsal bir uygulama Maverics'teki bir Azure bağlayıcısına eşler.
Bir kurumsal uygulamayı Microsoft Entra Id'ye kaydetmek için:
Microsoft Entra kiracınızda Kurumsal uygulamalar'a gidin ve Yeni Uygulama'yı seçin. Microsoft Entra galerisinde Maverics Identity Orchestrator SAML Bağlan or için arama yapın ve seçin.
Uygulamanın dizininizdeki tüm kullanıcılar için çalışmasını sağlamak için Maverics Identity Orchestrator SAML Bağlan or Özellikler bölmesinde Kullanıcı ataması gerekli mi?seçeneğini Hayır olarak ayarlayın.
Maverics Identity Orchestrator SAML Bağlan veya Genel Bakış bölmesinde Çoklu oturum açmayı ayarla'yı ve ardından SAML'yi seçin.
Maverics Identity Orchestrator SAML Bağlan veya SAML tabanlı oturum açma bölmesinde, Düzenle (kalem simgesi) düğmesini seçerek Temel SAML Yapılandırması'nıdüzenleyin.
varlık kimliğini
https://sonar.maverics.com
girin. Varlık kimliği kiracıdaki uygulamalar arasında benzersiz olmalıdır ve rastgele bir değer olabilir. Sonraki bölümde Azure bağlayıcınızın alanını tanımlarkensamlEntityID
bu değeri kullanacaksınız.yanıt URL'sini
https://sonar.maverics.com/acs
girin. Sonraki bölümde Azure bağlayıcınızın alanını tanımlarkensamlConsumerServiceURL
bu değeri kullanacaksınız.oturum açma URL'sini
https://sonar.maverics.com/
girin. Bu alan Maverics tarafından kullanılmaz, ancak kullanıcıların Microsoft Entra Uygulamalarım portalı üzerinden uygulamaya erişebilmesini sağlamak için Microsoft Entra Kimliği'nde gereklidir.Kaydet'i seçin.
SAML İmzalama Sertifikası bölümünde Kopyala düğmesini seçerek Uygulama Federasyon Meta Verileri URL'si değerini kopyalayın ve bilgisayarınıza kaydedin.
4. Adım: Azure aracılığıyla kimlik doğrulaması ve uygulamaya erişimi yetkilendirme
Ardından, Az önce oluşturduğunuz kurumsal uygulamayı Maverics'te Azure bağlayıcısını yapılandırarak kullanmak üzere yerleştirin. Blokla idps
eşlenen bu connectors
yapılandırma Orchestrator'ın kullanıcıların kimliğini doğrulamasını sağlar.
Yapılandırma dosyanız artık aşağıdaki kodu içermelidir. değerini önceki adımdaki Uygulama Federasyon Meta Verileri URL değeriyle değiştirmeyi METADATA_URL
unutmayın.
version: 0.1
listenAddress: ":443"
tls:
maverics:
certFile: /etc/maverics/maverics.crt
keyFile: /etc/maverics/maverics.key
idps:
- name: azureSonarApp
appgateways:
- name: sonar
location: /
# Replace https://app.sonarsystems.com with the address of your protected application
upstream: https://app.sonarsystems.com
policies:
- resource: /
allowIf:
- equal: ["{{azureSonarApp.authenticated}}", "true"]
connectors:
- name: azureSonarApp
type: azure
authType: saml
# Replace METADATA_URL with the App Federation Metadata URL
samlMetadataURL: METADATA_URL
samlConsumerServiceURL: https://sonar.maverics.com/acs
samlEntityID: https://sonar.maverics.com
Kimlik doğrulamasının beklendiği gibi çalıştığını onaylamak için Maverics hizmetini yeniden başlatın ve Maverics ara sunucusu aracılığıyla bir uygulama kaynağına istekte bulunın. Kaynağa erişmeden önce kimlik doğrulaması için Azure'a yönlendirilmelisiniz.
5. Adım: Sorunsuz uygulama erişimi için üst bilgi ekleme
Üst bilgileri henüz yukarı akış uygulamasına göndermiyorsunuz. Yukarı akış uygulamasının kullanıcıyı tanımlamasını sağlamak için Maverics proxy'sinden geçerken isteğe ekleyelim headers
.
Yapılandırma dosyanız artık şu kodu içermelidir:
version: 0.1
listenAddress: ":443"
tls:
maverics:
certFile: /etc/maverics/maverics.crt
keyFile: /etc/maverics/maverics.key
idps:
- name: azureSonarApp
appgateways:
- name: sonar
location: /
# Replace https://app.sonarsystems.com with the address of your protected application
upstream: https://app.sonarsystems.com
policies:
- resource: /
allowIf:
- equal: ["{{azureSonarApp.authenticated}}", "true"]
headers:
email: azureSonarApp.name
firstname: azureSonarApp.givenname
lastname: azureSonarApp.surname
connectors:
- name: azureSonarApp
type: azure
authType: saml
# Replace METADATA_URL with the App Federation Metadata URL
samlMetadataURL: METADATA_URL
samlConsumerServiceURL: https://sonar.maverics.com/acs
samlEntityID: https://sonar.maverics.com
Kimlik doğrulamasının beklendiği gibi çalıştığını onaylamak için Maverics ara sunucusu aracılığıyla bir uygulama kaynağına istekte bulunabilirsiniz. Korumalı uygulama artık istekte üst bilgiler alıyor olmalıdır.
Uygulamanız farklı üst bilgiler bekliyorsa üst bilgi anahtarlarını düzenleyebilirsiniz. SAML akışının bir parçası olarak Microsoft Entra Id'den geri gelen tüm talepler üst bilgilerde kullanılabilir. Örneğin, bağlayıcı adı olan ve email
Microsoft Entra Kimliği'nden döndürülen bir talep olan başka bir üst bilgisi secondary_email: azureSonarApp.email
azureSonarApp
ekleyebilirsiniz.
6. Adım: Birden çok uygulamayla çalışma
Şimdi farklı konaklardaki birden çok uygulamaya ara sunucu oluşturmak için gerekenlere göz atalım. Bu adımı gerçekleştirmek için başka bir App Gateway, Microsoft Entra ID'de başka bir kurumsal uygulama ve başka bir bağlayıcı yapılandırın.
Yapılandırma dosyanız artık şu kodu içermelidir:
version: 0.1
listenAddress: ":443"
tls:
maverics:
certFile: /etc/maverics/maverics.crt
keyFile: /etc/maverics/maverics.key
idps:
- name: azureSonarApp
- name: azureConnectulumApp
appgateways:
- name: sonar
host: sonar.maverics.com
location: /
# Replace https://app.sonarsystems.com with the address of your protected application
upstream: https://app.sonarsystems.com
policies:
- resource: /
allowIf:
- equal: ["{{azureSonarApp.authenticated}}", "true"]
headers:
email: azureSonarApp.name
firstname: azureSonarApp.givenname
lastname: azureSonarApp.surname
- name: connectulum
host: connectulum.maverics.com
location: /
# Replace https://app.connectulum.com with the address of your protected application
upstream: https://app.connectulum.com
policies:
- resource: /
allowIf:
- equal: ["{{azureConnectulumApp.authenticated}}", "true"]
headers:
email: azureConnectulumApp.name
firstname: azureConnectulumApp.givenname
lastname: azureConnectulumApp.surname
connectors:
- name: azureSonarApp
type: azure
authType: saml
# Replace METADATA_URL with the App Federation Metadata URL
samlMetadataURL: METADATA_URL
samlConsumerServiceURL: https://sonar.maverics.com/acs
samlEntityID: https://sonar.maverics.com
- name: azureConnectulumApp
type: azure
authType: saml
# Replace METADATA_URL with the App Federation Metadata URL
samlMetadataURL: METADATA_URL
samlConsumerServiceURL: https://connectulum.maverics.com/acs
samlEntityID: https://connectulum.maverics.com
Kodun App Gateway tanımlarınıza bir host
alan eklediğini fark etmiş olabilirsiniz. alanı Maverics host
Orchestrator'ın trafiği ara sunucu olarak hangi yukarı akış konağına ayıracaklarını belirler.
Yeni eklenen App Gateway'in beklendiği gibi çalıştığını onaylamak için adresine bir istekte bulunabilirsiniz https://connectulum.maverics.com
.
Gelişmiş senaryolar
Kimlik geçişi
Kullanım ömrü sonu web erişimi yönetim aracınıza dayanamıyor musunuz, ancak toplu parola sıfırlamaları olmadan kullanıcılarınızı geçirmenin bir yolunuz yok mu? Maverics Orchestrator kullanarak migrationgateways
kimlik geçişini destekler.
Web sunucusu ağ geçitleri
Ağ ve ara sunucu trafiğinizi Maverics Orchestrator aracılığıyla yeniden çalışmak istemiyor musunuz? Sorun değil. Maverics Orchestrator, proxy oluşturmadan aynı çözümleri sunmak için web sunucusu ağ geçitleri (modüller) ile eşleştirilebilir.
Bitirme
Bu noktada, Maverics Orchestrator'ı yüklediniz, Microsoft Entra Id'de bir kurumsal uygulama oluşturup yapılandırdı ve Orchestrator'ı korumalı bir uygulamaya ara sunucu olarak yapılandırırken kimlik doğrulaması ve zorlama ilkesi gerektirdiniz. Maverics Orchestrator'ın dağıtılmış kimlik yönetimi kullanım örnekleri için nasıl kullanılabileceğini öğrenmek için Strata'ya başvurun.