Udostępnij za pośrednictwem

Integracja logowania jednokrotnego Microsoft Entra z usługą IntSights

  • Artykuł

Z tego artykułu dowiesz się, jak zintegrować usługę IntSights z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usługi IntSights z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do usługi IntSights.
  • Umożliwianie użytkownikom automatycznego logowania do usługi IntSights przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Warunki wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto .
  • Subskrypcja aplikacji IntSights z obsługą logowania jednokrotnego.
  • Wraz z administratorem aplikacji w chmurze administrator aplikacji może również dodawać aplikacje lub zarządzać nimi w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz ról wbudowanych platformy Azure.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

  • Usługa IntSights obsługuje logowanie jednokrotne (SSO) inicjowane przez SP i IDP.

  • Usługa IntSights obsługuje aprowizowanie użytkowników just in time.

Aby skonfigurować integrację usługi IntSights z usługą Microsoft Entra ID, należy dodać aplikację IntSights z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
  2. Przejdź do Identity>Aplikacje>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodaj z galerii wpisz IntSights w polu wyszukiwania.
  4. Wybierz pozycję IntSights z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do dzierżawcy.

Alternatywnie możesz także skorzystać z Kreatora konfiguracji aplikacji Enterprise . W tym kreatorze możesz dodać aplikację do Twojej dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść krok po kroku przez konfigurację logowania jednokrotnego. Dowiedz się więcej na temat kreatorów platformy Microsoft 365.

Konfigurowanie i testowanie SSO Microsoft Entra dla usługi IntSights

Skonfiguruj i przetestuj Microsoft Entra SSO z IntSights, używając użytkownika testowego o nazwie B.Simon. Aby SSO działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem w usłudze IntSights.

Aby skonfigurować i przetestować Microsoft Entra SSO z IntSights, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
    2. Przypisz testowego użytkownika Microsoft Entra — aby umożliwić B.Simon korzystanie z logowania jednokrotnego Microsoft Entra.
  2. Skonfiguruj IntSights SSO — aby skonfigurować ustawienia jednokrotnego logowania po stronie aplikacji.
    1. Utwórz użytkownika testowego IntSights — aby mieć odpowiednik B.Simona w IntSights, połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Skonfiguruj Microsoft Entra SSO

Wykonaj następujące kroki, aby włączyć uwierzytelnianie jednokrotne Microsoft Entra.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.

  2. Przejdź do aplikacji Identity>Applications>Dla przedsiębiorstw>IntSights>logowanie jednokrotne.

  3. Na stronie Wybierz metodę logowania jednokrotnego wybierz opcję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu SAML kliknij ikonę ołówka Podstawowa konfiguracja PROTOKOŁU SAML, aby edytować ustawienia.

    edytowanie podstawowej konfiguracji protokołu SAML

  5. Jeśli chcesz skonfigurować aplikację w sekcji Podstawowa konfiguracja protokołu SAML, w trybie inicjowanym przez dostawcę tożsamości , wykonaj następujące kroki:

    a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, korzystając z następującego wzoru: https://<SUBDOMAIN>.ti.insight.rapid7.com/auth/saml-callback/azure

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<SUBDOMAIN>.ti.insight.rapid7.com/auth/saml-callback/azure

  6. Kliknij pozycję Ustaw dodatkowe adresy URL i wykonaj następujący krok, jeśli chcesz skonfigurować aplikację w trybie SP inicjowanym:

    W polu tekstowym adresu URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<SUBDOMAIN>.ti.insight.rapid7.com/auth/saml-callback/azure

    Uwaga

    Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Skontaktuj się z zespołem pomocy technicznej klienta usługi IntSights, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  7. Aplikacja IntSights oczekuje, że asercje SAML będą w określonym formacie, co oznacza konieczność dodania niestandardowych mapowań atrybutów w konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych.

    obraz

  8. Oprócz powyższych, aplikacja IntSights oczekuje jeszcze kilku atrybutów, które zostaną przekazane z powrotem w odpowiedzi SAML, które są pokazane poniżej. Te atrybuty są również wstępnie wypełnione, ale można je przejrzeć według własnych potrzeb.

    Nazwa Atrybut źródłowy
    imię użytkownik.imię
    nazwisko użytkownik.nazwisko
    intsightsAccountId < intsightsAccountId >
    intsightsRole < intsightsRole >

    Notatka

    intsightsAccountId i intsightsRole są opcjonalnymi oświadczeniami, które nie są dodawane domyślnie i mają być dodawane ręcznie tylko wtedy, gdy aprowizacja użytkowników just in time jest włączona.

  9. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu SAML, w sekcji Certyfikat Podpisywania SAML, znajdź Certyfikat (Base64) i kliknij Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    link pobierania certyfikatu

  10. W sekcji Konfigurowanie usługi IntSights skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Skopiuj adresy URL konfiguracji

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Użytkowników.
  2. Przejdź do Identity>Users>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownikaw górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu nazwa wyświetlana wprowadź B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extension. Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło, a następnie zapisz wartość wyświetlaną w polu hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do usługi Salesforce.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej Administrator aplikacji w chmurze.
  2. Przejdź do witryny Identity>Applications>Enterprise applications. Wybierz aplikację z listy aplikacji.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz Dodaj użytkownika/grupy, a następnie wybierz Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania.
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie wybierz przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę. Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodaj zadanie wybierz przycisk Przypisz.

Konfigurowanie SSO w IntSights

Aby skonfigurować logowanie jednokrotne po stronie IntSights, należy wysłać pobrany certyfikat (Base64) i odpowiednie adresy URL skopiowane z konfiguracji aplikacji do zespołu pomocy technicznej IntSights. Ustawiają to ustawienie tak, aby połączenie logowania jednokrotnego SAML było ustawione prawidłowo po obu stronach.

Tworzenie użytkownika testowego usługi IntSights

W tej sekcji w usłudze IntSights jest tworzony użytkownik o nazwie B.Simon. Usługa IntSights obsługuje tymczasową aprowizację użytkowników, która jest domyślnie włączona. Nie masz żadnego zadania w tej sekcji. Jeśli użytkownik jeszcze nie istnieje w usłudze IntSights, zostanie utworzony po uwierzytelnieniu.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz twoją konfigurację logowania jednokrotnego Microsoft Entra z następującymi opcjami.

Inicjowane przez dostawcę usług:

  • Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL IntSights Sign on, gdzie można zainicjować proces logowania.

  • Przejdź bezpośrednio do adresu URL logowania do usługi IntSights i zainicjuj logowanie stamtąd.

Inicjowane przez IdP

  • Kliknij pozycję Przetestuj tę aplikację, a powinno nastąpić automatyczne zalogowanie do usługi IntSights, dla której skonfigurowano SSO.

Możesz również przetestować aplikację w dowolnym trybie za pomocą panelu dostępu firmy Microsoft. Po kliknięciu kafelka IntSights w panelu dostępu, jeśli jest on skonfigurowany w trybie SP, zostaniesz przekierowany do strony logowania do aplikacji w celu zainicjowania procesu logowania. Jeśli jest skonfigurowany w trybie IDP, powinno nastąpić automatyczne zalogowanie do usługi IntSights, dla której skonfigurowano SSO. Aby uzyskać więcej informacji na temat panelu dostępu, zobacz Wprowadzenie do panelu dostępu.

Powiązana zawartość

Po skonfigurowaniu usługi IntSights możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.