Поделиться через

Проверка подлинности на основе заголовков для единого входа с помощью прокси приложения и PingAccess

Корпорация Майкрософт сотрудничает с PingAccess для предоставления дополнительных приложений доступа. PingAccess предоставляет еще один вариант, помимо встроенного единого входа на основе заголовков.

Что такое PingAccess для идентификатора Microsoft Entra?

С помощью идентификатора PingAccess для Microsoft Entra вы предоставляете пользователям доступ и единый вход (SSO) приложениям, используюющим заголовки для проверки подлинности. Прокси приложения обрабатывает эти приложения как любые другие, используя идентификатор Microsoft Entra для проверки подлинности доступа, а затем передает трафик через службу соединителя. PingAccess находится перед приложениями и преобразует токен доступа из Microsoft Entra ID в заголовок. Затем приложение проходит аутентификацию в совместимом формате.

Пользователи не замечают ничего другого при входе в систему для использования корпоративных приложений. Приложения по-прежнему работают в любом месте на любом устройстве. Соединители частной сети направляют удаленный трафик ко всем приложениям без учета типа проверки подлинности, поэтому они по-прежнему балансируют нагрузки автоматически.

Как мне получить доступ?

Вам нужна лицензия на PingAccess и идентификатор Microsoft Entra. Однако подписки Microsoft Entra ID P1 или P2 включают базовую лицензию PingAccess, которая охватывает до 20 приложений. Если вам нужно опубликовать более 20 приложений на основе заголовков, вы можете приобрести дополнительные лицензии из PingAccess.

Дополнительные сведения см. в выпусках Microsoft Entra.

Публикация приложения в Microsoft Entra

В этой статье описаны шаги по публикации приложения в первый раз. В этой статье приводятся рекомендации по прокси приложениям и PingAccess.

Примечание.

Некоторые инструкции существуют на сайте Ping Identity.

Установка соединителя частной сети

Соединитель частной сети — это служба Windows Server, которая направляет трафик от удаленных сотрудников к опубликованным приложениям. Дополнительные инструкции по установке см. в руководстве: добавление локального приложения для удаленного доступа через прокси приложения в Microsoft Entra ID.

  1. Войдите в центр администрирования Microsoft Entra как минимум в роли администратора приложений.
  2. Перейдите к Entra ID>корпоративным приложениям>прокси для приложений.
  3. Выберите Загрузить службу соединителя.
  4. Следуйте инструкциям по установке.

Скачивание соединителя должно автоматически включить прокси приложения для каталога, но если нет, можно выбрать "Включить прокси приложения".

Добавьте своё приложение в Microsoft Entra ID с помощью прокси приложения

Существует два шага, чтобы добавить приложение в идентификатор Microsoft Entra. Сначала необходимо опубликовать приложение с помощью прокси приложения. Затем необходимо собрать сведения о приложении, которое можно использовать во время шагов PingAccess.

Публикация приложения

Сначала опубликуйте приложение. Для этого выполните следующие действия:

  • Добавление локального приложения в идентификатор Microsoft Entra.
  • Назначение пользователя для тестирования приложения и выбор единого входа через заголовки.
  • Настройка URL-адреса перенаправления приложения.
  • Предоставление разрешений пользователям и другим приложениям для использования локального приложения.

Для публикации собственного локального приложения выполните следующее:

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора приложения.

  2. Перейдите к Корпоративные приложения>Новое приложение>Добавить локальное приложение. Откроется страница "Добавить собственное локальное приложение ".

    Добавление собственного локального приложения

  3. Введите необходимые поля с информацией о новом приложении. Используйте инструкции по параметрам.

    Примечание.

    Более подробное пошаговое руководство по этому шагу см. в разделе "Добавление локального приложения в идентификатор Microsoft Entra ID".

    1. Внутренний URL-адрес: обычно вы предоставляете URL-адрес, который передает вас на страницу входа приложения при входе в корпоративную сеть. В этом сценарии соединитель должен рассматривать прокси-сервер PingAccess как главную страницу приложения. Используйте следующий формат: https://<host name of your PingAccess server>:<port>. Порт 3000 используется по умолчанию, но его можно настроить в PingAccess.

      Предупреждение

      Для этого типа единого входа внутренний URL-адрес должен использоваться https , а не http. Кроме того, два приложения не должны иметь один и тот же внутренний URL-адрес, чтобы прокси приложения могли поддерживать различие между ними.

    2. Метод предварительной проверки подлинности: выберите идентификатор Microsoft Entra.

    3. Перевод URL-адреса в заголовках: выберите Нет.

    Примечание.

    Для первого приложения используйте порт 3000, чтобы запустить и вернуться к обновлению этого параметра при изменении конфигурации PingAccess. Для последующих приложений порт должен соответствовать прослушивателю, настроенном в PingAccess.

  4. Нажмите кнопку "Добавить". Откроется страница обзора для нового приложения.

Теперь назначьте пользователя для тестирования приложений и выберите единый вход на основе заголовка.

  1. На боковой панели приложения выберите Пользователи и группы>Добавить пользователя>Пользователи и группы (<выбрано число>). Отобразится список пользователей и групп для выбора.

    Отображает список пользователей и групп

  2. Выберите пользователя для тестирования приложений и нажмите кнопку "Выбрать". Убедитесь, что тестовая учетная запись имеет доступ к локальному приложению.

  3. Выберите «Назначить».

  4. На боковой панели приложения выберите Единый вход>На основе заголовка.

    Совет

    Установите PingAccess при первом использовании единого входа на основе заголовков. Чтобы убедиться, что подписка Microsoft Entra автоматически связана с установкой PingAccess, используйте ссылку на странице единого входа, чтобы скачать PingAccess. Вы можете прямо сейчас перейти на сайт скачивания или вернуться на эту страницу позже.

    Экран входа на основе заголовков и программа PingAccess

  5. Нажмите кнопку "Сохранить".

Затем убедитесь, что для URL-адреса перенаправления задан внешний URL-адрес.

  1. Перейдите к Entra ID>Регистрациям приложений и выберите ваше приложение.
  2. Выберите ссылку рядом с URI перенаправления. Ссылка показывает количество настроенных универсальных идентификаторов ресурсов для перенаправления (URI) для веб-клиентов и общедоступных клиентов. Откроется страница <Application name - Authentication>.
  3. Проверьте, находится ли внешний URL-адрес, назначенный приложению ранее, в списке URI перенаправления . Если это не так, добавьте внешний URL-адрес, используя тип URI перенаправления в Интернете, и нажмите кнопку "Сохранить".

Помимо внешнего URL-адреса, в список URI перенаправления следует добавить конечную точку авторизации идентификатора Microsoft Entra на внешний URL-адрес.

https://*.msappproxy.net/pa/oidc/cb https://*.msappproxy.net/

Наконец, настройте локальное приложение, чтобы пользователи имели read доступ и другие приложения имели read/write доступ.

  1. На боковой панели регистрации приложений вашей программы выберите разрешения API>Добавить разрешение>API Microsoft>Microsoft Graph. Откроется страница разрешений API запросов для Microsoft Graph , содержащая разрешения для Microsoft Graph.

    Отображает страницу разрешений API запроса

  2. Выберите делегированные> разрешенияUser.Read>.

  3. Выберите разрешения приложения>Приложение>Application.ReadWrite.All.

  4. Выберите "Добавить разрешения".

  5. На странице разрешений API выберите "Предоставить согласие администратора" для <вашего каталога>.

Сбор сведений об этапах PingAccess

Соберите три глобальных уникальных идентификатора (GUID). Используйте идентификаторы GUID для настройки приложения с помощью PingAccess.

Имя поля Microsoft Entra Имя поля PingAccess Формат данных
Идентификатор приложения (клиента) Идентификатор клиента ГУИД
Идентификатор каталога (клиента) Эмитент ГУИД
PingAccess key Секрет клиента Произвольная строка

Для получения этих сведений выполните следующие действия:

  1. Перейдите к Entra ID>Регистрациям приложений и выберите ваше приложение.

  2. Рядом со значением идентификатора приложения (клиента) выберите значок копирования в буфер обмена , а затем скопируйте и сохраните его. Это значение указывается позже как идентификатор клиента PingAccess.

  3. Затем выберите значение идентификатора каталога (клиента), нажмите на "Копировать в буфер обмена", а затем скопируйте и сохраните его. Вы укажете это значение позже как эмитент PingAccess.

  4. На боковой панели регистрации приложений выберите Сертификаты и секреты>Создать новый секрет клиента. Откроется страница "Добавить секрет клиента ".

    Показывает страницу

  5. В поле "Описание" введите PingAccess key.

  6. В разделе "Срок действия" выберите, как задать ключ PingAccess: в течение 1 года, в течение2 лет или никогда.

  7. Нажмите кнопку "Добавить". Ключ PingAccess отображается в таблице секретов клиента с случайной строкой, которая автоматически заполняется в поле VALUE .

  8. Рядом с полем VALUE ключа PingAccess выберите значок копирования в буфер обмена , а затем скопируйте и сохраните его. Это значение указывается позже как секрет клиента PingAccess.

acceptMappedClaims Обновите поле:

  1. Войдите в центр администрирования Microsoft Entra как минимум в роли администратора приложений.
  2. В правом верхнем углу выберите свое имя пользователя. Убедитесь, что вы вошли в каталог, использующий прокси приложения. Если необходимо изменить каталоги, выберите "Переключить каталог " и выберите каталог, использующий прокси приложения.
  3. Перейдите к Entra ID>Регистрациям приложений и выберите ваше приложение.
  4. На боковой панели страницы регистрации приложений для приложения выберите "Манифест". Появится манифест-код JSON для регистрации приложения.
  5. Найдите поле acceptMappedClaims и измените его значение на True.
  6. Нажмите кнопку "Сохранить".

Использование дополнительных утверждений (необязательно)

Необязательные утверждения позволяют добавлять стандартные, но не включенные по умолчанию утверждения, имеющиеся у каждого пользователя и клиента. Можно настроить дополнительные утверждения для своего приложения, изменив манифест приложения. Дополнительные сведения см. в статье о манифесте приложения Microsoft Entra.

Пример включения адреса электронной почты в access_token, который использует PingAccess:

    "optionalClaims": {
        "idToken": [],
        "accessToken": [
            {
                "name": "email",
                "source": null,
                "essential": false,
                "additionalProperties": []
            }
        ],
        "saml2Token": []
    },

Использование политики сопоставления утверждений (необязательно)

Сопоставление заявок позволяет перенести старые локальные приложения в облако, добавив больше пользовательских заявок, поддерживающих службы федерации Active Directory (AD FS) или объекты пользователя. Дополнительные сведения см. в разделе "Настройка утверждений".

Чтобы использовать пользовательское утверждение и включить дополнительные поля в ваше приложение. Создал настраиваемую политику сопоставления утверждений и назначил ее приложению.

Примечание.

Чтобы использовать настраиваемое утверждение, необходимо сначала определить, а затем назначить приложению настраиваемую политику. Политика должна содержать все необходимые настраиваемые атрибуты.

Можно определить и назначать политику с помощью PowerShell или Microsoft Graph. Если вы выполняете их в PowerShell, необходимо сначала использовать New-AzureADPolicy, а затем назначить его приложению с помощью Add-AzureADServicePrincipalPolicy. Дополнительные сведения см. в разделе "Назначение политики сопоставления утверждений".

Пример:

$pol = New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema": [{"Source":"user","ID":"employeeid","JwtClaimType":"employeeid"}]}}') -DisplayName "AdditionalClaims" -Type "ClaimsMappingPolicy"

Add-AzureADServicePrincipalPolicy -Id "<<The object Id of the Enterprise Application you published in the previous step, which requires this claim>>" -RefObjectId $pol.Id

Включение PingAccess для использования пользовательских утверждений

Включение PingAccess для использования пользовательских утверждений является необязательным, но требуется в случае, если приложение должно будет использовать больше утверждений.

При настройке PingAccess на следующем шаге для создаваемого веб-сеанса (settings-Access-Web>> Session) должен быть выбран профиль запроса и обновить атрибуты пользователя, для которых задано значение No.

Скачивание PingAccess и конфигурация приложения

Подробное описание действий по настройке PingAccess в этом сценарии продолжаются в документации по Ping Identity.

Чтобы создать подключение OpenID Connect (OIDC) Microsoft Entra ID, настройте поставщика токенов со значением идентификатора каталога (арендатора), скопированного из Центра администрирования Microsoft Entra. Создайте веб-сеанс в PingAccess. Используйте значения Application (client) ID и PingAccess key. Настройте соответствие идентификаторов и создайте виртуальный хост, сайт и приложение.

Тестирование приложения

Приложение работает. Чтобы протестировать его, откройте браузер и перейдите по внешнему URL-адресу, созданному при публикации приложения в Microsoft Entra. Войдите с помощью тестовой учетной записи, назначенной приложению.

Следующие шаги