Microsoft Entra SSO-integráció az RStudio Connect SAML-hitelesítéssel

Ebből a cikkből megtudhatja, hogyan integrálhatja az RStudio Connect SAML-hitelesítést a Microsoft Entra-azonosítóval. Ha integrálja az RStudio Connect SAML-hitelesítést a Microsoft Entra-azonosítóval, az alábbiakat teheti:

• Ellenőrizze, hogy ki fér hozzá az RStudio Connect SAML-hitelesítéshez a Microsoft Entra ID-n keresztül.
• Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek az RStudio Connect SAML-hitelesítésbe a Microsoft Entra-fiókjukkal.
• A fiókokat egy központi helyen kezelheti.

Előfeltételek

A cikkben ismertetett forgatókönyv feltételezi, hogy már rendelkezik a következő előfeltételekkel:

• Aktív előfizetéssel rendelkező Microsoft Entra-felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, létrehozhat egy fiókot ingyenes.
• Az alábbi szerepkörök egyike:
  • alkalmazásadminisztrátori
  • felhőalkalmazás-rendszergazdai
  • alkalmazástulajdonosi.

• RStudio Connect SAML-hitelesítés. Van egy 45 napos ingyenes értékelés.

Forgatókönyv leírása

Ebben a cikkben a Microsoft Entra egyszeri bejelentkezését konfigurálja és teszteli tesztkörnyezetben.

• Az RStudio Connect SAML-hitelesítés támogatja az SP és az IDP által kezdeményezett egyszeri bejelentkezést.

• Az RStudio Connect SAML-hitelesítés támogatja a Just In Time felhasználókiépítést.

RStudio Connect SAML-hitelesítés hozzáadása a galériából

Az RStudio Connect SAML-hitelesítés Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az RStudio Connect SAML-hitelesítést a katalógusból a felügyelt SaaS-alkalmazások listájához.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
2. Keresse meg az Identity>Applications>Enterprise applications>New application menüpontot.
3. A Hozzáadás a galériából szakaszban írja be a RStudio Connect SAML Hitelesítés szöveget a keresőmezőbe.
4. Válassza az RStudio Connect SAML-hitelesítést az eredmények panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése RStudio Connect SAML-hitelesítéshez

A Microsoft Entra SSO konfigurálása és tesztelése RStudio Connect SAML-hitelesítéssel egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az RStudio Connect SAML-hitelesítésben.

A Microsoft Entra SSO RStudio Connect SAML-hitelesítéssel való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:

1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
   1. Microsoft Entra tesztfelhasználói létrehozása – a Microsoft Entra egyszeri bejelentkezésének tesztelése Britta Simonnal.
   2. A Microsoft Entra tesztfelhasználói hozzárendelése – lehetővé teszi Britta Simon számára a Microsoft Entra egyszeri bejelentkezés használatát.
2. Az RStudio Connect SAML Authentication SSO konfigurálása – az egyszeri bejelentkezés beállításainak konfigurálásához az alkalmazás oldalán.
   1. Hozzon létre RStudio Connect SAML-hitelesítés tesztfelhasználót – hogy a Microsoft Entra-felhasználó ábrázolásához csatolt RStudio Connect SAML-hitelesítésben Britta Simon megfelelője legyen.
3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

2. Keresse meg az Identity>Applications>Enterprise-alkalmazások>RStudio Connect SAML-hitelesítést>egyszeri bejelentkezéssel.

3. Az Egyszeri bejelentkezési módszer kiválasztása oldalon válassza a SAML-t.

4. Az „SAML használatával történő egyszeri bejelentkezés beállítása” lapon kattintson az „Alap SAML-konfiguráció” melletti ceruza ikonra a beállítások szerkesztéséhez.

   

5. A Basic SAML Configuration szakaszban, ha IDP által kezdeményezett módban szeretné konfigurálni az alkalmazást, hajtsa végre az alábbi lépéseket úgy, hogy helyére beírja az RStudio Connect SAML-hitelesítési kiszolgáló címét és portját.

   a. Az Azonosító szövegmezőbe írjon be egy URL-címet a következő mintával:https://<example.com>/__login__/saml

   b. A Válasz URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:https://<example.com>/__login__/saml/acs

6. Kattintson a További URL-címek beállítása gombra, és hajtsa végre a következő lépést, ha sp által kezdeményezett módban szeretné konfigurálni az alkalmazást:

   A Bejelentkezési URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:https://<example.com>/

   Feljegyzés

   Ezek az értékek nem valósak. Frissítse ezeket az értékeket a tényleges azonosítóval, válasz URL-címmel és bejelentkezési URL-címmel. Ezek meghatározása az RStudio Connect SAML hitelesítési kiszolgáló címéből történik (https://example.com a fenti példákban). Ha problémája van, forduljon az RStudio Connect SAML Authentication támogatási csapatához . Az egyszerű SAML-konfiguráció szakaszban látható mintákra is hivatkozhat.

7. Az RStudio Connect SAML-hitelesítési alkalmazás az SAML-állításokat egy adott formátumban várja, amelyhez egyéni attribútumleképezéseket kell hozzáadnia az SAML-tokenattribútumok konfigurációjához. Az alábbi képernyőképen az alapértelmezett attribútumok listája látható, míg a nameidentifier a user.userprincipalname névvel van leképezve. Az RStudio Connect SAML-hitelesítési alkalmazás elvárja, hogy a nameidentifier az user.mail attribútummal legyen társítva, ezért szerkesztenie kell az attribútumleképezést a Szerkesztés ikonra kattintva, és módosítania kell azt.

   

8. Az Egyszeri bejelentkezés beállítása SAML-al oldalon az SAML Aláíró Tanúsítvány szekcióban kattintson a Másolás gombra az Alkalmazás Szövetségi Metaadatainak URL-címét másoláshoz és a számítógépére való mentéshez.

   

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.
2. Keresse fel az Identitás>Felhasználók>Összes felhasználó menüpontot.
3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
   1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
   2. A Felhasználói főnév mezőbe írja be a következőt: username@companydomain.extension. Például: B.Simon@contoso.com.
   3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
   4. Válassza az Áttekintés + létrehozás lehetőséget.
5. Válassza a Létrehozás lehetőséget.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon az RStudio Connect SAML-hitelesítéshez való hozzáférés biztosításával.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
2. Keresse meg az Identity>Applications>Enterprise applications>RStudio Connect SAML-hitelesítést.
3. Az alkalmazás áttekintő lapján válassza a Felhasználók és csoportok lehetőséget.
4. Válassza a Felhasználó/csoport hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
   1. A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listában, majd kattintson a Képernyő alján található Kiválasztás gombra.
   2. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
   3. A Feladat hozzáadása párbeszédpanelen kattintson a Hozzárendelés gombra.

RStudio Connect SAML Authentication SSO konfigurálása

Az RStudio Connect SAML-hitelesítés egyszeri bejelentkezésének konfigurálásához a fent használt alkalmazás szövetségi metaadatok URL-címét és a kiszolgálócímét kell használnia. Ez az RStudio Connect SAML Authentication konfigurációs fájlban történik a következő helyen /etc/rstudio-connect.rstudio-connect.gcfg: .

Ez egy példa konfigurációs fájl:

[Server]
SenderEmail =

; Important! The user-facing URL of your RStudio Connect SAML Authentication server.
Address = 

[Http]
Listen = :3939

[Authentication]
Provider = saml

[SAML]
Logging = true

; Important! The URL where your IdP hosts the SAML metadata or the path to a local copy of it placed in the RStudio Connect SAML Authentication server.
IdPMetaData = 

IdPAttributeProfile = azure
SSOInitiated = IdPAndSP

Ha IdPAttributeProfile = azurea profil a NameIDFormat paramétert állandóra állítja, a többi beállítás mellett felülbírálja a konfigurációs fájlban definiált egyéb attribútumokat is.

Ez akkor válik problémává, ha előre létre szeretne hozni egy felhasználót az RStudio Connect API használatával, és az első bejelentkezés előtt engedélyeket szeretne alkalmazni. A NameIDFormat értékét e-mailAddressre vagy más egyedi azonosítóra kell állítani, mert ha állandó értékre van állítva, akkor az érték kivonatolva lesz, és nem tudja, hogy az érték előre mit jelent. Így az API használata nem fog működni. API az SAML-felhasználó létrehozásához: https://docs.rstudio.com/connect/api/#post-/v1/users

Ezért ebben a helyzetben érdemes lehet ezt a konfigurációs fájlban használni:

[SAML]
NameIDFormat = emailAddress
UniqueIdAttribute = NameID
UsernameAttribute = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
FirstNameAttribute = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
LastNameAttribute = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
EmailAttribute = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailAddress

Tárolja a kiszolgáló címét az Server.Address értékben, az alkalmazás összevonási metaadatainak URL-címét pedig az SAML.IdPMetaData értékben. Vegye figyelembe, hogy ez a mintakonfiguráció titkosítatlan HTTP-kapcsolatot használ, míg a Microsoft Entra-azonosítóhoz titkosított HTTPS-kapcsolat szükséges. Használhat fordított proxyt az RStudio Connect SAML-hitelesítés előtt, vagy konfigurálhatja az RStudio Connect SAML-hitelesítést a HTTPS közvetlen használatára.

Ha problémákat tapasztal a konfigurációval kapcsolatban, olvassa el az RStudio Connect SAML Authentication felügyeleti útmutatóját , vagy küldjön e-mailt az RStudio támogatási csapatának segítségért.

RStudio Connect SAML-hitelesítési tesztfelhasználó létrehozása

Ebben a szakaszban egy Britta Simon nevű felhasználó jön létre az RStudio Connect SAML-hitelesítésben. Az RStudio Connect SAML-hitelesítés támogatja az igény szerinti kiépítést, amely alapértelmezés szerint engedélyezve van. Ebben a szakaszban nem található műveletelem. Ha egy felhasználó még nem létezik az RStudio Connect SAML-hitelesítésben, a rendszer újat hoz létre az RStudio Connect SAML-hitelesítés elérésekor.

Egyszeri bejelentkezés tesztelése

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

SP kezdeményezve:

• Kattintson az alkalmazás tesztelésére, ez átirányítja az RStudio Connect SAML Authentication Sign on URL-címre, ahol elindíthatja a bejelentkezési folyamatot.

• Nyissa meg közvetlenül az RStudio Connect SAML-hitelesítési bejelentkezési URL-címet, és indítsa el onnan a bejelentkezési folyamatot.

IDP kezdeményezve

• Kattintson az alkalmazás tesztelésére, és automatikusan be kell jelentkeznie az RStudio Connect SAML-hitelesítésbe, amelyhez beállította az egyszeri bejelentkezést.

A Microsoft Saját alkalmazások használatával is tesztelheti az alkalmazást bármilyen módban. Amikor az RStudio Connect SAML Authentication csempére kattint a Saját alkalmazások, ha SP módban van konfigurálva, a rendszer átirányítja az alkalmazás bejelentkezési oldalára a bejelentkezési folyamat elindításához, és ha IDP módban van konfigurálva, akkor automatikusan be kell jelentkeznie az RStudio Connect SAML-hitelesítésbe, amelyhez beállította az egyszeri bejelentkezést. További információ: Microsoft Entra Saját alkalmazások.

Kapcsolódó tartalom

Az RStudio Connect SAML-hitelesítés konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.