Freigeben über

Tutorial: Integration des einmaligen Anmeldens (Single Sign-On, SSO) von Microsoft Entra mit Veracode

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie Veracode in Microsoft Entra ID integrieren. Wenn Sie Veracode mit Microsoft Entra ID integrieren, können Sie Folgendes ausführen:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf Veracode hat.
  • Ermöglichen Sie es Ihren Benutzern, sich mit ihren Microsoft Entra-Konten automatisch bei Veracode anzumelden.
  • Verwalten Sie Ihre Konten zentral im Azure-Portal.

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
  • Ein Veracode-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung. Veracode unterstützt vom Identitätsanbieter initiiertes einmaliges Anmelden sowie die Just-In-Time-Benutzerbereitstellung.

Fügen Sie zum Konfigurieren der Integration von Veracode in Microsoft Entra ID Veracode aus dem Katalog der Liste mit den verwalteten SaaS-Apps hinzu.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff „Veracode“ in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich Veracode aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO)von Microsoft Entra für Veracode

Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit Veracode mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Verknüpfung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Veracode eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit Veracode die folgenden Schritte aus:

  1. Konfigurieren von Microsoft Entra-SSO, um Ihren Benutzer*innen das Verwenden dieses Features zu ermöglichen.
  2. Konfigurieren des einmaligen Anmeldens für Veracode, um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
  3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Navigieren Sie in Microsoft Entra ID unter Unternehmensanwendungen zur Anwendungsseite Veracode, scrollen Sie nach unten zum Abschnitt Verwalten, und klicken Sie auf Einmaliges Anmelden.

  2. Klicken Sie auf der Registerkarte Verwalten auf Einmaliges Anmelden, und wählen Sie dann SAML aus.

  3. Wählen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten das Stiftsymbol für Grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Screenshot: Bearbeitung der grundlegenden SAML-Konfiguration

  4. Das Feld „Relayzustand” sollte automatisch mit https://web.analysiscenter.veracode.com/login/#/saml ausgefüllt werden. Die restlichen Felder werden nach dem Einrichten von SAML innerhalb der Veracode-Plattform ausgefüllt.

  5. Suchen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat nach Zertifikat (Base64) . Wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    Screenshot: Abschnitt „SAML-Signaturzertifikat“ mit hervorgehobenem Downloadlink

  6. Veracode erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

    Screenshot des Abschnitts „Benutzerattribute und Ansprüche“.

  7. Veracode erwartet, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden. Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überarbeiten.

    Name Quellattribut
    firstname User.givenname
    lastname User.surname
    email User.mail

  8. Kopieren und speichern Sie im Abschnitt Set up Veracode (Veracode einrichten) die bereitgestellten URLs, um sie später in Ihrem SAML-Setup in der Veracode-Plattform zu verwenden.

    Screenshot: Abschnitt „Veracode einrichten“ mit hervorgehobenen Konfigurations-URLs

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt ermöglichen Sie es B.Simon, das einmalige Anmelden zu verwenden, indem Sie ihr Zugriff auf Veracode gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Veracode.
  3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
    1. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
    2. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
    3. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren des einmaligen Anmeldens für Veracode

Hinweise:

  1. Melden Sie sich in einem anderen Webbrowserfenster bei der Veracode-Unternehmenswebsite als Administrator an.

  2. Wählen Sie im oberen Menü Einstellungen>Administrator aus.

    Screenshot: Veracode-Administration, mit hervorgehobenem Einstellungssymbol und hervorgehobener Option „Admin“

  3. Klicken Sie auf die Registerkarte SAML-Zertifikat.

  4. Führen Sie im Abschnitt SAML Certificate die folgenden Schritte aus:

    Screenshot: Abschnitt mit den SAML-Einstellungen der Organisation

    a. Fügen Sie für Zertifikataussteller den Wert von Microsoft Entra-Bezeichner ein, den Sie kopiert haben.

    b. Wählen Sie für das Assertionssignaturzertifikat die Option Datei auswählen aus, um Ihr heruntergeladenes Zertifikat hochzuladen.

    c. Notieren Sie sich die Werte der drei URLs (SAML Assertion URL, SAML Audience URL, Relay state URL).

    d. Klicken Sie auf Speichern.

  5. Nehmen Sie die Werte für SAML Assertion URL (SAML-Assertions-URL), SAML Audience URL (SAML-Zielgruppen-URL) und Relay state URL (Relayzustands-URL), und aktualisieren Sie sie in den Microsoft Entra-Einstellungen für die Veracode-Integration (die richtige Konvertierung finden Sie in der folgenden Tabelle). Hinweis: Relay state (Relayzustand) ist NICHT optional.

    Veracode-URL Microsoft Entra ID Feld
    SAML Audience URL Bezeichner (Entitäts-ID)
    SAML Assertion URL Antwort-URL (Assertionsverbraucherdienst-URL)
    Relayzustands-URL Relayzustand

  6. Wählen Sie die Registerkarte JIT Provisioning aus:

    Screenshot: Registerkarte „JIT Provisioning“ mit verschiedenen hervorgehobenen Optionen

  7. Legen Sie im Abschnitt Organization Settings die Einstellung Configure Default Settings for Just-in-Time user provisioning auf On fest.

  8. Wählen Sie im Abschnitt Basic Settings für User Data Updates die Option Prefer Veracode User Data aus. Dies führt dazu, dass Konflikte zwischen Daten, die in der SAML-Assertion von Microsoft Entra ID übergeben werden, und Benutzerdaten auf der Veracode-Plattform mithilfe der Veracode-Benutzerdaten aufgelöst werden.

  9. Wählen Sie im Abschnitt Access Settings unter User Roles eine der folgenden Optionen aus. Weitere Informationen zu Veracode-Benutzerrollen finden Sie in der Veracode-Dokumentation:

    Screenshot: Benutzerrollen für die JIT-Bereitstellung mit verschiedenen hervorgehobenen Optionen

    • Richtlinien-Administrator
    • Prüfer
    • Leiter der Sicherheitsabteilung
    • Executive
    • Absender
    • Creator
    • Alle Scantypen

Erstellen eines Veracode-Testbenutzers

In diesem Abschnitt wird in Veracode ein Benutzer namens B. Simon erstellt. Veracode unterstützt die Just-In-Time-Benutzerbereitstellung (standardmäßig aktiviert). Für Sie steht in diesem Abschnitt kein Aktionselement zur Verfügung. Ist noch kein Benutzer in Veracode vorhanden, wird nach der Authentifizierung ein neuer Benutzer erstellt.

Hinweis

Sie können Microsoft Entra-Benutzerkonten auch mithilfe anderer Tools zum Erstellen von Veracode-Benutzerkonten oder mithilfe der von Veracode bereitgestellten APIs erstellen.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

  • Klicken Sie auf Diese Anwendung testen. Dadurch sollten Sie automatisch bei der Veracode-Instanz angemeldet werden, für die Sie das einmalige Anmelden eingerichtet haben.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie unter „Meine Apps“ auf die Kachel „Veracode“ klicken, sollten Sie automatisch bei der Veracode-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von Veracode können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.