Strata 的 Maverics Orchestrator 讓您很容易就能整合內部部署應用程式與 Microsoft Entra ID 來執行驗證和存取控制。 Maverics Orchestrator 能夠讓目前仰賴標頭、Cookie 和其他專利驗證方法的應用程式,使用最新的驗證和授權。 Maverics Orchestrator 執行個體可以在內部部署,或部署在雲端中。
此混合式存取文章示範如何移轉目前受舊版 Web 存取管理產品保護的內部部署 Web 應用程式,以使用 Microsoft Entra ID 進行驗證和存取控制。 以下是基本步驟:
- 設定 Maverics Orchestrator 過程
- 代理應用程式
- 在 Microsoft Entra ID 中註冊企業應用程式
- 通過 Microsoft Entra ID 驗證並授權應用程式的存取權限
- 新增標頭以實現應用程式的無縫存取
- 操作多個應用程式
必要條件
- Microsoft Entra ID 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶。
- Maverics 身分識別協同器平台帳戶。 在 maverics.strata.io註冊。
- 至少有一個應用程式使用基於標頭的驗證。 在我們的範例中,我們會對可在
https://localhost:8443存取的應用程式 Sonar 進行操作。
步驟 1:設定 Maverics Orchestrator
在 maverics.strata.io註冊 Maverics 帳戶之後,請使用我們的學習中心文章,標題為 用戶入門:評估環境。 本文將逐步引導您完成建立評估環境、下載協調器,以及在計算機上安裝協調器的程式。
步驟 2:將 Microsoft Entra ID 擴充至具有配方的應用程式
接下來,使用 Learning Center 文章,將 Microsoft Entra 識別符擴充至舊版、非標準應用程式。 本文提供 .json 配方,可自動設定身分識別網狀架構、標頭型應用程式,以及部分完整的使用者流程。
步驟 3:在 Microsoft Entra ID 中註冊企業應用程式
現在我們將在 Microsoft Entra ID 中建立一個用於驗證終端使用者的新企業應用程式。
註釋
利用條件式存取等 Microsoft Entra ID 功能時,請務必為每個內部部署應用程式建立企業應用程式。 這允許個別應用程式條件式存取、每個應用程式的風險評估、每個應用程式指派的許可權等等。一般而言,Microsoft Entra ID 中的企業應用程式會對應至Maverics中的 Azure 連接器。
在 Microsoft Entra ID 租使用者中,移至 企業應用程式,選取 新增應用程式,然後在 Microsoft Entra ID 資源庫中搜尋 Maverics Identity Orchestrator SAML Connector,然後選取它。
在 Maverics Identity Orchestrator SAML Connector 的 [屬性]窗格中,將 [需要使用者指派嗎?] 設定為 [否],允許目錄中所有的使用者,都能使用此應用程式。
在 Maverics Identity Orchestrator SAML Connector 的概觀窗格中,選取 [設定單一登入],然後選取 [SAML]。
在 Maverics Identity Orchestrator SAML Connector 的 SAML 型登入窗格中,選取 編輯(鉛筆圖示)按鈕來編輯 基本 SAML 組態。
輸入實體識別碼:
https://sonar.maverics.com。 此實體識別碼在租用戶的應用程式中不得重複,可以是任意值。 在下節中定義 Azure 連接器的 [samlEntityID] 欄位時,我們會需要此值。輸入回覆 URL:
https://sonar.maverics.com/acs。 在下節中定義 Azure 連接器的 [samlConsumerServiceURL] 欄位時,我們會需要此值。輸入登入 URL:
https://sonar.maverics.com/。 Maverics 不會使用此字段,但在 Microsoft Entra ID 中,用戶必須能夠透過 Microsoft Entra ID My Apps 入口網站存取應用程式。選擇 [儲存]。
在 SAML 簽署憑證區段中,選取 [複製] 按鈕以複製應用程式同盟中繼資料 URL,並將資料儲存在您的電腦上。
步驟 4:透過 Microsoft Entra ID 進行驗證並授權應用程式存取權限
繼續進行學習中心主題的步驟 4, 將 Microsoft Entra ID 擴充至舊版、非標準應用程式,以在 Maverics 中編輯您的使用者流程。 這些步驟會逐步帶您了解如何將標頭新增至上游應用程式,並部署用戶流程。
部署使用者流程之後,若要確認驗證如預期般運作,請透過 Maverics Proxy 向應用程式資源提出要求。 受保護的應用程式現在應該會在收到要求時一併收到這些標頭。
如果您的應用程式需要不同的標題,可以自由編輯標題的鍵值。 所有在 SAML 流程中,從 Microsoft Entra ID 傳回的宣告,都可用在標頭中。 例如,我們可以加入 secondary_email: azureSonarApp.email 另一個標頭,其中 azureSonarApp 是連接器名稱,email 是從 Microsoft Entra ID 傳回的宣告。
進階案例
身分識別移轉
受不了已終止支援的 Web 存取管理工具,但又找不到方法在不大量重設密碼的情況下移轉使用者嗎? Maverics Orchestrator 可以讓您使用 migrationgateways 來進行身分識別遷移。
網頁伺服器模組
不想要重新設計網路,也不想透過 Maverics Orchestrator 來管理代理流量嗎? 不是問題,Maverics Orchestrator 可以與網頁伺服器模組結合,在不需要代理的情況下提供相同的解決方案。
結語
截至目前為止,我們已安裝 Maverics Orchestrator,並在 Microsoft Entra ID 中建立和設定了企業應用程式,同時將 Orchestrator 設定為代理,以便在應用程式需要驗證和執行政策時充當保護。 若要深入了解 Maverics Orchestrator 在分散式身分識別管理使用案例上的應用,請連絡 Strata。