Интеграция единого входа Microsoft Entra с RStudio Connect с аутентификацией через SAML

В этой статье вы узнаете, как интегрировать RStudio Connect SAML Authentication с идентификатором Microsoft Entra. Интеграция RStudio Connect SAML Authentication с идентификатором Microsoft Entra ID позволяет:

• Управляйте идентификатором Microsoft Entra, имеющим доступ к RStudio Connect SAML Authentication.
• Включите автоматический вход пользователей в RStudio Connect SAML Authentication с помощью учетных записей Microsoft Entra.
• Управляйте своими учетными записями в одном месте.

Предварительные требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • администратор облачных приложений
  • Владелец приложения.

• Аутентификация SAML в RStudio Connect. Есть возможность бесплатного ознакомительного использования в течение 45 дней.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Аутентификация SAML в RStudio Connect поддерживает единый вход (SSO), инициируемый SP и IDP.

• Приложение "Проверка подлинности SAML RStudio Connect" поддерживает JIT-подготовку пользователей.

Добавить SAML-аутентификацию для RStudio Connect из галереи

Чтобы настроить интеграцию RStudio Connect SAML Authentication с идентификатором Microsoft Entra ID, необходимо добавить RStudio Connect SAML Authentication из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор облачных приложений.
2. Перейдите к Identity>Applications>Enterprise applications>New application.
3. В разделе Добавление из коллекции в поле поиска введите Проверка подлинности SAML RStudio Connect.
4. Выберите Проверка подлинности SAML RStudio Connect в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и тестирование Microsoft Entra SSO для аутентификации RStudio Connect SAML.

Настройте и протестируйте SSO от Microsoft Entra для RStudio Connect с аутентификацией SAML, используя в качестве тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в RStudio Connect SAML Authentication.

Чтобы настроить и протестировать Microsoft Entra SSO с аутентификацией через SAML в RStudio Connect, выполните следующие шаги.

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
   1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью Britta Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить пользователю Britta Simon использовать единый вход Microsoft Entra.
2. Настройка аутентификации SSO в приложении "RStudio Connect SAML" — необходима, чтобы настроить параметры единого входа на стороне приложения.
   1. Создайте тестового пользователя для аутентификации SAML в RStudio Connect, чтобы иметь аналог Britta Simon, связанный с учетной записью пользователя в Microsoft Entra.
3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить Microsoft Entra SSO (единичный вход).

1. Войдите в Центр администрирования Microsoft Entra в качестве Администратора облачных приложений.

2. Перейдите к Identity>приложениям>корпоративным приложениям>RStudio Connect SAML аутентификация>Единый вход.

3. На странице Выбрать метод единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

   

5. В разделе Базовая конфигурация SAML, если вы хотите настроить приложение в режиме, инициируемом IDP, выполните следующие действия, заменив <example.com> адресом и портом сервера аутентификации SAML RStudio Connect:

   a. В текстовом поле Идентификатор введите URL-адрес в следующем формате: https://<example.com>/__login__/saml.

   b. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://<example.com>/__login__/saml/acs.

6. Чтобы настроить приложение для работы в режиме, инициируемом поставщиком услуг, щелкните Задать дополнительные URL-адреса и выполните следующие действия.

   В текстовом поле URL-адрес входа введите URL-адрес в формате https://<example.com>/.

   Примечание.

   Эти значения не являются реальными. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Они определяются с помощью адреса сервера приложения "Проверка подлинности SAML RStudio Connect" (https://example.com в приведенных выше примерах). Если у вас возникли проблемы, обратитесь в группу поддержки приложения "Проверка подлинности SAML RStudio Connect". Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

7. Для приложения "Проверка подлинности SAML RStudio Connect" утверждения SAML должны иметь определенный формат. Для этого необходимо добавить настраиваемые сопоставления атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию, в котором nameidentifier сопоставляется с user.userprincipalname. Проверка подлинности SAML RStudio Connect ожидает, что nameidentifier будет сопоставляться с user.mail, поэтому щелкните значок Изменить и измените сопоставление атрибутов.

   

8. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML нажмите кнопку "Копировать", чтобы копировать URL-адрес метаданных федерации приложений и сохранить его на компьютере.

   

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор пользователя.
2. Перейдите в раздел Идентификация>Пользователи>Все пользователи.
3. Выберите "Создать пользователя>" в верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле основного имени пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
   4. Выберите Просмотр и создание.
5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к RStudio Connect SAML Authentication.

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор облачных приложений.
2. Перейдите к Identity>приложениям>предприятия>RStudio Connect SAML аутентификация.
3. На странице обзора приложения выберите "Пользователи" и "Группы".
4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
   1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
   2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
   3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка SAML-аутентификации и единой системы входа (SSO) в RStudio Connect

Чтобы настроить единый вход для приложения Проверка подлинности SAML RStudio Connect, необходимо указать URL-адрес метаданных федерации приложений и адрес сервера, которые использовались выше. Это выполняется в настройках файла конфигурации SAML-аутентификации для RStudio Connect по пути /etc/rstudio-connect.rstudio-connect.gcfg.

Вот пример файла конфигурации:

[Server]
SenderEmail =

; Important! The user-facing URL of your RStudio Connect SAML Authentication server.
Address = 

[Http]
Listen = :3939

[Authentication]
Provider = saml

[SAML]
Logging = true

; Important! The URL where your IdP hosts the SAML metadata or the path to a local copy of it placed in the RStudio Connect SAML Authentication server.
IdPMetaData = 

IdPAttributeProfile = azure
SSOInitiated = IdPAndSP

Если IdPAttributeProfile = azure, профиль, помимо других параметров, задает для NameIDFormat постоянное значение и переопределяет любые другие указанные атрибуты, заданные в файле конфигурации.

Это станет проблемой, если вы хотите заранее создать пользователя с помощью API RStudio Connect и применить разрешения перед первым входом пользователя. Параметр NameIDFormat должен иметь значение emailAddress или другой уникальный идентификатор, так как значение, установленное в качестве постоянного, хэшируется, и вы не знаете заранее, какое значение используется. Поэтому использовать API не получится. API для создания пользователя для SAML: https://docs.rstudio.com/connect/api/#post-/v1/users

Поэтому в такой ситуации может потребоваться указать следующее в файле конфигурации:

[SAML]
NameIDFormat = emailAddress
UniqueIdAttribute = NameID
UsernameAttribute = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
FirstNameAttribute = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
LastNameAttribute = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
EmailAttribute = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailAddress

Укажите свой адрес сервера в значении Server.Address, а URL-адрес метаданных федерации приложений в значении SAML.IdPMetaData. Обратите внимание, что в этом примере конфигурации используется незашифрованное HTTP-подключение, а идентификатор Microsoft Entra ID требует использования зашифрованного HTTPS-подключения. Вы можете использовать обратный прокси-сервер перед приложением "Проверка подлинности SAML RStudio Connect" или настроить приложение "Проверка подлинности SAML RStudio Connect" для использования HTTPS напрямую.

Если у вас возникли проблемы с конфигурацией, ознакомьтесь с руководством по приложению "Проверка подлинности SAML RStudio Connect" для администраторов или отправьте сообщение электронной почты в группу поддержки RStudio, чтобы получить помощь.

Создание тестового пользователя приложения "Проверка подлинности SAML RStudio Connect"

В этом разделе создается пользователь с именем Britta Simon в системе аутентификации SAML RStudio Connect. RStudio Connect SAML Authentication поддерживает предоставление ресурсов в режиме реального времени, и эта функция включена по умолчанию. В этом разделе никакие действия с вашей стороны не требуются. Если пользователь еще не существует в приложении "Проверка подлинности SAML RStudio Connect", он создается при попытке доступа к приложению "Проверка подлинности SAML RStudio Connect".

Проверка единого входа

В этом разделе вы проверяете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

Инициация SP:

• Нажмите Протестировать это приложение, вы будете перенаправлены на страницу входа с аутентификацией SAML в RStudio Connect, где можно инициировать поток входа.

• Перейдите непосредственно по URL-адресу входа для аутентификации SAML в RStudio Connect и начните процесс входа оттуда.

Инициировано поставщиком удостоверений

• Щелкните "Протестировать это приложение", и вы автоматически войдете в систему RStudio Connect, используя аутентификацию SAML, для которой вы настроили единую систему входа (SSO).

Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. Щелкнув плитку приложения "Проверка подлинности SAML RStudio Connect" в разделе "Мои приложения", вы будете перенаправлены на страницу входа в приложение, если выполнены настройки в режиме SP, или автоматически войдете в "Проверка подлинности SAML RStudio Connect", для которой настроен SSO, если выполнены настройки в режиме IDP. Для получения дополнительной информации см. Microsoft Entra Мои приложения.

Связанное содержимое

После настройки приложения "Проверка подлинности SAML RStudio Connect" вы можете применить управление сеансами, которое защищает от хищения конфиденциальных данных вашей организации и несанкционированного доступа к ним в реальном времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.