Megosztás a következőn keresztül:

Oktatóanyag: Ping-identitás konfigurálása az Azure Active Directory B2C-vel a biztonságos hibrid hozzáférés érdekében

  • Cikk

Ebben az oktatóanyagban megtudhatja, hogyan bővítheti az Azure Active Directory B2C (Azure AD B2C) képességeit a PingAccess és a PingFederate használatával. A PingAccess hozzáférést biztosít az alkalmazásokhoz és API-khoz, valamint egy szabályzatmotort az engedélyezett felhasználói hozzáféréshez. A PingFederate egy vállalati összevonási kiszolgáló a felhasználói hitelesítéshez és az egyszeri bejelentkezéshez, amely lehetővé teszi az ügyfelek, az alkalmazottak és a partnerek számára az alkalmazások elérését az eszközökről. Használja őket együtt a biztonságos hibrid hozzáférés (SHA) engedélyezéséhez.

Az interneten elérhető számos e-kereskedelmi webhely és webalkalmazás proxyrendszerek vagy fordított proxyrendszerek mögött van üzembe helyezve. Ezek a proxyrendszerek előre hitelesítik, kikényszerítik a szabályzatot és irányítják a forgalmat. A tipikus forgatókönyvek közé tartozik a webalkalmazások védelme a bejövő webes forgalommal szemben, és egységes munkamenet-kezelés biztosítása az elosztott kiszolgálók üzemelő példányai között.

A konfigurációk általában tartalmaznak egy hitelesítési fordítási réteget, amely a webalkalmazás hitelesítését kívülre helyezi. A fordított proxyk biztosítják a hitelesített felhasználói környezetet a webalkalmazások számára, például egy fejlécértéket tiszta vagy kivonatos formában. Az alkalmazások nem használnak olyan iparági szabványjogkivonatokat, mint a Security Assertion Markup Language (SAML), az OAuth vagy az OpenID Connect (OIDC). Ehelyett a proxy hitelesítési környezetet biztosít, és fenntartja a munkamenetet a végfelhasználói ügynökkel, például a böngészővel vagy a natív alkalmazással. Középen futó szolgáltatásként a proxyk jelentős munkamenet-vezérlést biztosítanak. A proxyszolgáltatás hatékony és méretezhető, nem pedig szűk keresztmetszet a proxyszolgáltatás mögötti alkalmazások számára. A diagram egy fordított proxy implementálási és kommunikációs folyamat.

A fordított proxy implementációjának diagramja.

Korszerűsítése

Ha egy identitásplatformot szeretne modernizálni ilyen konfigurációkban, az ügyfelek aggályai merülhetnek fel:

  • Az alkalmazások modernizálása az identitásplatform modernizálásával kapcsolatos erőfeszítések szétválasztása
  • Modern és örökölt hitelesítéssel rendelkező környezetek, amelyek a modern identitásszolgáltatótól származnak
    • A végfelhasználói élmény konzisztenciájának biztosítása
    • Egyszeri bejelentkezési élmény biztosítása az alkalmazások között

Ezekre az aggodalmakra válaszolva az oktatóanyagban szereplő megközelítés egy Azure AD B2C, PingAccess és PingFederate integráció.

Megosztott környezet

A műszakilag életképes és költséghatékony megoldás a fordított proxyrendszer konfigurálása a modernizált identitásrendszer használatára, a hitelesítés delegálása.
A proxyk támogatják a modern hitelesítési protokollokat, és az átirányításalapú (passzív) hitelesítést használják, amely elküldi a felhasználókat az új identitásszolgáltatónak (IDP).

Azure AD B2C identitásszolgáltatóként

A Azure AD B2C-ben olyan szabályzatokat határoz meg, amelyek felhasználói élményeket és viselkedéseket, más néven felhasználói folyamatokat hajtanak. Minden ilyen szabályzat egy protokollvégpontot tesz elérhetővé, amely képes a hitelesítést idP-ként végrehajtani. Az alkalmazásoldalon bizonyos szabályzatokhoz nincs szükség speciális kezelésre. Az alkalmazások szabványos hitelesítési kérést intéznek a szabályzat által közzétett protokollspecifikus hitelesítési végponthoz.
Konfigurálhatja Azure AD B2C-t úgy, hogy ugyanazt a kiállítót a szabályzatok között vagy az egyes szabályzatok egyedi kiállítói között ossza meg. Minden alkalmazás egy protokollalapú natív hitelesítési kéréssel mutathat a szabályzatokra, amely olyan felhasználói viselkedéseket hajt végre, mint a bejelentkezés, a regisztráció és a profil szerkesztése. Az ábrán az OIDC- és SAML-alkalmazás-munkafolyamatok láthatók.

Az OIDC- és SAML-alkalmazás-munkafolyamatok diagramja.

A forgatókönyv kihívást jelenthet az örökölt alkalmazások számára a felhasználó pontos átirányításához. Előfordulhat, hogy az alkalmazásokhoz való hozzáférési kérelem nem tartalmazza a felhasználói élmény kontextusát. A legtöbb esetben a proxyréteg vagy a webalkalmazás integrált ügynöke elfogja a hozzáférési kérést.

PingAccess fordított proxy

A PingAccesst fordított proxyként is üzembe helyezheti. A PingAccess elfog egy közvetlen kérést úgy, hogy az ember a közepén van, vagy átirányításként a webalkalmazás-kiszolgálón futó ügynöktől.

A PingAccess konfigurálása OIDC, OAuth2 vagy SAML használatával egy felsőbb rétegbeli hitelesítésszolgáltatóval történő hitelesítéshez. Erre a célra konfigurálhat egy felsőbb rétegbeli idP-t a PingAccess-kiszolgálón. Lásd az alábbi diagramot.

PingAccess-kiszolgálón lévő felsőbb rétegbeli IDP diagramja.

Egy tipikus Azure AD B2C-üzembe helyezésben, amelyben a szabályzatok kitárják az ip-címeket, kihívást jelent. A PingAccess egy felsőbb rétegbeli identitásszolgáltatóval van konfigurálva.

PingFederate összevonási proxy

A PingFederate hitelesítésszolgáltatóként vagy proxyként is konfigurálható a felsőbb rétegbeli ip-címekhez. Lásd az alábbi diagramot.

A PingFederate egy hitelesítési szolgáltatót vagy proxyt konfigurált a felsőbb rétegbeli IP-címekhez.

Ezzel a függvénnyel környezetfüggően, dinamikusan vagy deklaratív módon válthat bejövő kéréseket egy Azure AD B2C-szabályzatra. Tekintse meg a protokollütemezési folyamat alábbi ábráját.

A PingAccess, a PingFederate, a Azure AD B2C és az alkalmazás protokollütemezési folyamatának diagramja.

Előfeltételek

Az első lépésekhez a következőkre lesz szüksége:

  • Azure-előfizetés
  • Azure-előfizetéshez társított Azure AD B2C-bérlő
  • Docker-tárolókban vagy Azure-beli virtuális gépeken üzembe helyezett PingAccess és PingFederate

Kapcsolat és kommunikáció

Erősítse meg a következő kapcsolatot és kommunikációt.

  • PingAccess-kiszolgáló – Kommunikál a PingFederate-kiszolgálóval, az ügyfélböngészővel, az OIDC-vel, az OAuth jól ismert és a Azure AD B2C szolgáltatás és a PingFederate-kiszolgáló által közzétett kulcsfelderítéssel
  • PingFederate-kiszolgáló – Kommunikál a PingAccess-kiszolgálóval, az ügyfélböngészővel, az OIDC-vel, az OAuthtal, valamint a Azure AD B2C szolgáltatás által közzétett kulcsfelderítéssel
  • Örökölt vagy fejlécalapú AuthN-alkalmazás – Kommunikál a PingAccess-kiszolgálóval és a kiszolgálóról
  • SAML függő entitásalkalmazás – Eléri az ügyféltől érkező böngészőforgalmat. Hozzáfér a Azure AD B2C szolgáltatás által közzétett SAML összevonási metaadatokhoz.
  • Modern alkalmazás – Eléri a böngésző forgalmát az ügyféltől. Hozzáfér a Azure AD B2C szolgáltatás által közzétett OIDC-hez, OAuth-hez és kulcsfelderítéshez.
  • REST API – Egy natív vagy webes ügyfél forgalmát éri el. Hozzáfér az Azure AD B2C szolgáltatás által közzétett OIDC-hez, OAuth-hez és kulcsfelderítéshez

Azure AD B2C konfigurálása

Használhat alapszintű felhasználói folyamatokat vagy speciális Identity Enterprise Framework- (IEF-) szabályzatokat. A PingAccess a metaadat-végpontot a kiállító értéke alapján hozza létre a WebFinger protokoll használatával a felderítési konvenciókhoz. A konvenció követéséhez frissítse a Azure AD B2C-kiállítót a felhasználóifolyamat-szabályzat tulajdonságaival.

Képernyőkép a tulajdonosi aljogcím URL-címéről a Jogkivonat kompatibilitása párbeszédpanelen.

A speciális szabályzatokban a konfiguráció tartalmazza az IssuerClaimPattern metaadatelemét a AuthorityWithTfp értékre a JWT-jogkivonat-kiállító műszaki profiljában.

PingAccess és PingFederate konfigurálása

A PingAccess és a PingFederate konfigurálásához használja az alábbi szakaszok utasításait. Tekintse meg a teljes integrációs felhasználói folyamat alábbi ábráját.

A PingAccess és a PingFederate integrációs felhasználói folyamatának diagramja

A PingFederate konfigurálása jogkivonat-szolgáltatóként

Ha a PingFederate-et szeretné a PingAccess tokenszolgáltatójaként konfigurálni, győződjön meg arról, hogy a PingFederate és a PingAccess kapcsolattal rendelkezik. Ellenőrizze a PingAccess és a PingFederate közötti kapcsolatot.

További információ: PingFederate konfigurálása a PingAccess tokenszolgáltatójaként a Ping Identity dokumentációjában.

PingAccess-alkalmazás konfigurálása fejlécalapú hitelesítéshez

Az alábbi utasításokat követve hozzon létre egy PingAccess-alkalmazást a cél webalkalmazáshoz fejlécalapú hitelesítéshez.

Virtuális gazdagép létrehozása

Fontos

Hozzon létre egy virtuális gazdagépet minden alkalmazáshoz. További információ: Mit konfigurálhatok a PingAccess szolgáltatással? című témakört a Ping Identity dokumentációjában.

Virtuális gazdagép létrehozása:

  1. Lépjen a Beállítások> Virtuálisgazdagépekelérése> elemre.
  2. Válassza a Virtuális gazdagép hozzáadása lehetőséget.
  3. A Gazdagép mezőben adja meg az alkalmazás URL-címének teljes tartománynevét.
  4. A Port mezőbe írja be a 443 értéket.
  5. Kattintson a Mentés gombra.

Webes munkamenet létrehozása

Webes munkamenet létrehozása:

  1. Lépjen a Beállítások> –Webes munkamenetekelérése> elemre.
  2. Válassza a Webes munkamenet hozzáadása lehetőséget.
  3. Adja meg a webes munkamenet nevét .
  4. Válassza ki a Cookie típusa: Aláírt JWT vagy Titkosított JWT lehetőséget.
  5. Adjon meg egy egyedi értéket a Célközönség mezőben.
  6. Az Ügyfél-azonosító mezőben adja meg a Microsoft Entra alkalmazásazonosítót.
  7. Az Ügyfélkód mezőben adja meg az alkalmazáshoz létrehozott kulcsot Microsoft Entra azonosítóban.
  8. (Nem kötelező) Egyéni jogcímek létrehozása és használata a Microsoft Graph API: Válassza a Speciális lehetőséget. Törölje a Kérelemprofil és a Felhasználói attribútumok frissítése jelölőnégyzet jelölését. További információ az egyéni jogcímekről: Fejlécalapú egyszeri bejelentkezés helyszíni alkalmazásokhoz Microsoft Entra alkalmazásproxyval.
  9. Válassza a Mentés lehetőséget

Identitásleképezés létrehozása

Megjegyzés

Az identitásleképezést több alkalmazással is használhatja, ha ugyanazokat az adatokat várják a fejlécben.

Identitásleképezés létrehozása:

  1. Lépjen a Beállítások>Hozzáférés>az identitásleképezésekhez elemre.
  2. Válassza az Identitásleképezés hozzáadása lehetőséget.
  3. Adjon meg egy *nevet.
  4. Válassza ki a fejléc-identitásleképezés identitásleképezésének típusát.
  5. Az Attribútumleképezés táblában adja meg a szükséges leképezéseket. Példa:
Attribútum neve Fejléc neve
'upn' x-userprincipalname
"e-mail" x e-mail
'oid' x-oid
'scp' x hatókör
'amr' x-amr
  1. Válassza a Mentés lehetőséget

Hely létrehozása

Megjegyzés

Bizonyos konfigurációkban a helyek több alkalmazást is tartalmazhatnak. Adott esetben több alkalmazással rendelkező webhelyet is használhat.

Webhely létrehozása:

  1. Lépjen a >webhelyek elemre.
  2. Válassza a Webhely hozzáadása lehetőséget.
  3. Adja meg a webhely nevét.
  4. Adja meg a webhely célhelyét. A cél az alkalmazást üzemeltető kiszolgáló állomásneve:portpárja. Ebben a mezőben ne adja meg az alkalmazás elérési útját. Például egy at https://mysite:9999/AppName alkalmazás célértéke mysite:9999.
  5. Jelezze, hogy a cél biztonságos kapcsolatokat vár-e.
  6. Ha a cél biztonságos kapcsolatokat vár, állítsa a Megbízható tanúsítványcsoportot Bármely megbízhatóra.
  7. Kattintson a Mentés gombra.

Alkalmazás létrehozása

Alkalmazás létrehozása a PingAccessben minden védeni kívánt Azure-alkalmazáshoz.

  1. Ugrás a >alkalmazásokra

  2. Válassza az Alkalmazás hozzáadása lehetőséget

  3. Adja meg az alkalmazás nevét

  4. Igény szerint adja meg az alkalmazás leírását

  5. Adja meg az alkalmazás környezeti gyökerét . Például egy at helyen lévő alkalmazás https://mysite:9999/AppName környezetgyökere /AppName lesz. A környezeti gyökérnek perjellel (/) kell kezdődnie, nem végződhet perjellel (/), és több rétegmélység is lehet, például /Apps/MyApp.

  6. Válassza ki a létrehozott virtuális gazdagépet

    Megjegyzés

    A virtuális gazdagép és a környezetgyökér kombinációjának egyedinek kell lennie a PingAccessben.

  7. Válassza ki a létrehozott webes munkamenetet

  8. Válassza ki az alkalmazást tartalmazó webhelyet

  9. Válassza ki a létrehozott identitásleképezést

  10. A webhely mentéskor történő engedélyezéséhez válassza az Engedélyezve lehetőséget

  11. Válassza a Mentés lehetőséget

A PingFederate hitelesítési szabályzat konfigurálása

A PingFederate hitelesítési házirend konfigurálása a Azure AD B2C-bérlők által biztosított több identitásszolgáltatóhoz való összevonáshoz

  1. Hozzon létre egy szerződést az identitásszolgáltatók és az SP közötti attribútumok áthidalásához. Csak egy szerződésre van szüksége, kivéve, ha az SP-nek más attribútumkészletre van szüksége az egyes identitásszolgáltatótól. További információ: Összevonási központra és hitelesítési szabályzatra vonatkozó szerződések a Ping Identity dokumentációjában.

  2. Minden egyes identitásszolgáltatóhoz hozzon létre egy idP-kapcsolatot az identitásszolgáltató és a PingFederate, az összevonási központ, mint SP között.

  3. A Target Session Mapping (Célmunkamenet-leképezés) ablakban adja hozzá a vonatkozó hitelesítési házirend-szerződéseket az identitásszolgáltatói kapcsolathoz.

  4. A Választók ablakban konfiguráljon egy hitelesítési választót. Tekintse meg például az Azonosító első adapterének egy példányát, amely leképezi az egyes idP-eket a megfelelő identitásszolgáltatói kapcsolatra egy hitelesítési házirendben.

  5. Hozzon létre egy SP-kapcsolatot a PingFederate, az összevonási központ, mint identitásszolgáltató és az SP között.

  6. Adja hozzá a megfelelő hitelesítési házirend-szerződést az SP-kapcsolathoz a Hitelesítési forrásleképezés ablakban.

  7. Az egyes identitásszolgáltatókkal együttműködve csatlakozzon a PingFederate-hez, az összevonási központhoz SP-ként.

  8. Az SP-vel együttműködve csatlakozzon a PingFederate-hez, az összevonási központhoz, mint identitásszolgáltatóhoz.

Következő lépések

További információkért tekintse át az alábbi cikkeket