Бөлісу құралы:

Интеграция единого входа Microsoft Entra с BeyondTrust Remote Support

  • Мақала

В этой статье вы узнаете, как интегрировать BeyondTrust Remote Support с идентификатором Microsoft Entra ID. Интеграция BeyondTrust Remote Support с идентификатором Microsoft Entra ID позволяет:

  • Управляйте доступом к Удаленной поддержке BeyondTrust в Microsoft Entra ID.
  • Включите автоматический вход пользователей в BeyondTrust Remote Support с помощью учетных записей Microsoft Entra.
  • Управляйте своими аккаунтами централизованно.

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка BeyondTrust Remote Support с поддержкой SSO.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • BeyondTrust Remote Support поддерживает SP инициированный единый вход
  • BeyondTrust Remote Support поддерживает предоставление прав пользователям точно в срок

Чтобы настроить интеграцию BeyondTrust Remote Support с Microsoft Entra ID, необходимо добавить BeyondTrust Remote Support из галереи в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.
  2. Перейдите в раздел Идентификация>Приложения>Корпоративные приложения>Новое приложение.
  3. В разделе Добавить из галереи в поле поиска введите BeyondTrust Remote Support.
  4. Выберите BeyondTrust Remote Support на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш арендный объект.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере настройки вы можете добавить приложение в свой клиент, добавить пользователей и группы в приложение, назначить роли, а также пройти через процесс настройки единого входа (SSO). Подробнее о мастерах Microsoft 365.

Настройка и проверка Microsoft Entra SSO для BeyondTrust Remote Support

Настройте и протестируйте единый вход Microsoft Entra с BeyondTrust Remote Support, используя тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Службе удаленной поддержки BeyondTrust.

Чтобы настроить и проверить единый вход Microsoft Entra в BeyondTrust Remote Support, выполните следующие действия.

  1. Настройте Microsoft Entra SSO - чтобы ваши пользователи могли использовать эту функцию.
    • Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    • Назначьте тестового пользователя Microsoft Entra, чтобы Б.Саймон мог использовать функцию единого входа Microsoft Entra.
  2. Настройка BeyondTrust Remote Support SSO — для настройки параметров единого входа на стороне приложения.
  3. Тест SSO — чтобы проверить, работает ли конфигурация.

Настройте SSO в Microsoft Entra

Выполните следующие действия, чтобы активировать Microsoft Entra SSO.

  1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

  2. Перейдите к приложениям Identity>Applications>Корпоративные приложения>BeyondTrust Remote Support>Одноэтапная аутентификация.

  3. На странице Выбор метода единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок редактирования и пера базовой конфигурации SAML, чтобы изменить параметры.

    Изменить базовую конфигурацию SAML

  5. На странице Базовая конфигурация SAML введите значения следующих полей.

    a. В поле Идентификатор введите URL-адрес в следующем формате: https://<HOSTNAME>.bomgar.com.

    б. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://<HOSTNAME>.bomgar.com/saml/sso.

    с. В текстовом поле URL-адрес входа введите URL-адрес в формате https://<HOSTNAME>.bomgar.com/saml.

    Примечание.

    Эти значения не реальные. Замените их на фактические значения идентификатора, URL-адреса ответа и URL-адреса входа. Эти значения будут описаны далее в статье.

  6. Приложение BeyondTrust Remote Support ожидает утверждения SAML в определенном формате, что требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов SAML-токена. На следующем снимке экрана показан список атрибутов по умолчанию.

    изображение

  7. В дополнение к вышеупомянутому, приложение BeyondTrust Remote Support ожидает, что в ответе SAML, приведённом ниже, будут переданы несколько дополнительных атрибутов. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.

    Имя Атрибут источника
    Имя пользователя пользователь.главноеимяпользователя
    Имя имя_пользователя.givenname
    Фамилия фамилия пользователя
    Сообщение электронной почты пользовательская почта
    Группы группы пользователей

    Примечание.

    При назначении групп Microsoft Entra для приложения удаленной поддержки BeyondTrust необходимо изменить параметр "Группы, возвращенные в утверждении" с "Нет" на "SecurityGroup". Группы будут импортированы в приложение в качестве идентификаторов объектов. Идентификатор объекта группы Microsoft Entra можно найти, проверив свойства в интерфейсе идентификатора Microsoft Entra. Это потребуется для ссылки и назначения групп Microsoft Entra правильным групповым политикам.

  8. При задании уникального идентификатора пользователя это значение должно быть установлено как NameID-Format: Постоянный. Для правильной идентификации и связывания пользователя с правильными групповыми политиками разрешений это должен быть постоянный идентификатор. Щелкните значок редактирования, чтобы открыть диалоговое окно Атрибуты пользователя & утверждения, чтобы изменить значение уникального идентификатора пользователя.

  9. В разделе управления утверждениями щелкните Выбрать формат идентификатора имени и задайте значение Постоянный, затем нажмите Сохранить.

    атрибуты пользователя и утверждения

  10. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите XML-метаданные федерации и выберите Скачать, чтобы загрузить сертификат и сохранить его на компьютере.

    Ссылка для скачивания сертификата

  11. В разделе Настройка удаленной поддержки BeyondTrust скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

    Скопировать URL-адреса настроек

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя быстрого старта, чтобы создать тестовую учетную запись пользователя B.Simon.

Настройка единого входа в BeyondTrust Remote Support

  1. В другом окне веб-браузера войдите в Службу удаленной поддержки BeyondTrust от имени администратора.

  2. Перейдите к Пользователи & Безопасность>Поставщики безопасности.

  3. Щелкните значок "Изменить" в поставщиков SAML.

    поставщиков SAML значок

  4. Разверните раздел "Параметры поставщика услуг".

  5. Щелкните Скачать метаданные поставщика услуг или скопируйте идентификатор сущности и URL адрес ACS и примените эти значения в разделе Основная конфигурация SAML.

    скачивание метаданных поставщика услуг

  6. В разделе "Параметры поставщика удостоверений" щелкните Отправить метаданные поставщика удостоверений и выберите загружённый XML-файл метаданных.

  7. идентификатор сущности, URL-адрес службы Sign-On и сертификат сервера будут автоматически отправлены, а привязка протокола URL-адреса SSO должна быть изменена на HTTP POST.

    Скриншот содержит раздел «Параметры поставщика удостоверений», где вы выполняете эти действия.

  8. Щелкните Сохранить.

Создание тестового пользователя BeyondTrust Remote Support

В этом разделе пользователь с именем Britta Simon создается в Службе удаленной поддержки BeyondTrust. BeyondTrust Remote Support поддерживает подготовку пользователей по запросу, которая включена по умолчанию. В этом разделе у вас нет никаких задач для выполнения. Если пользователь еще не существует в Службе удаленной поддержки BeyondTrust, он создается после проверки подлинности.

Выполните приведенную ниже процедуру, которая является обязательной для настройки удаленной поддержки BeyondTrust.

Мы здесь будем настраивать параметры предоставления доступа пользователям. Значения, используемые в этом разделе, будут использоваться из раздела Атрибуты пользователя & утверждения. Мы настроили это значения по умолчанию, которые уже импортированы во время создания, однако при необходимости его можно настроить.

Снимок экрана показывает Настройки подготовки пользователей, где можно задать параметры пользователей.

Примечание.

Для этой реализации группы и атрибут электронной почты не нужны. При использовании групп Microsoft Entra и назначении их политикам группы удаленной поддержки BeyondTrust для разрешений необходимо будет ссылаться на идентификатор объекта группы через его свойства на портале Azure и поместить его в раздел "Доступные группы". После завершения этого идентификатор объекта/группа AD будет доступен для назначения к групповой политике разрешений.

Скриншот показывает раздел IT с типом членства, источником, типом и объектом ID.

снимок экрана: страница

Примечание.

Кроме того, групповую политику по умолчанию можно задать в поставщике безопасности SAML2. Определив этот параметр, вы назначите всем пользователям, прошедшим проверку подлинности через SAML, разрешения, указанные в групповой политике. Политика "Общих пользователей" включена в BeyondTrust Remote Support/Privileged Remote Access и обладает ограниченными разрешениями, которые можно использовать для тестирования аутентификации и назначения пользователям правильных политик. Пользователи не появятся в списке пользователей SAML2 через /login > Users & Security до первой успешной попытки аутентификации. Дополнительные сведения о групповых политиках см. по следующей ссылке: https://www.beyondtrust.com/docs/remote-support/getting-started/admin/group-policies.htm

Тестирование SSO

В этом разделе вы тестируете конфигурацию единого входа в систему Microsoft Entra с использованием следующих параметров.

  • Щелкните Протестируйте это приложение, вы будете перенаправлены по URL-адресу для входа в Службу удаленной поддержки BeyondTrust, где можно инициировать поток входа.

  • Перейдите непосредственно на URL-адрес для входа в систему удаленной поддержки BeyondTrust и начните процесс входа оттуда.

  • Вы можете использовать Microsoft My Apps. Щелкнув плитку BeyondTrust Remote Support в разделе "Мои приложения", вы перейдете по URL-адресу для входа в Службу удаленной поддержки BeyondTrust. Дополнительные сведения о моих приложениях см. в разделе Введение в"Мои приложения".

Связанный контент

После настройки удаленной поддержки BeyondTrust вы можете применить элементы управления сеансами, которые защищают конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Элементы управления сеансом являются расширением функции условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.