Microsoft Entra SSO-Integration mit Alation Data Catalog

In diesem Tutorial erfahren Sie, wie Sie Alation Data Catalog mit Microsoft Entra ID integrieren. Vorteile, wenn Sie Alation Data Catalog mit Microsoft Entra ID integrieren:

  • Sie können in Microsoft Entra ID steuern, wer Zugriff auf Alation Data Catalog hat.
  • Ermöglichen Sie es Ihren Benutzern, sich mit ihren Microsoft Entra-Konten automatisch bei Alation Data Catalog anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

Voraussetzungen für die Integration von Alation Data Catalog mit Microsoft Entra ID:

  • Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
  • SSO-fähiges Abonnement für Alation Data Catalog

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • Alation Data Catalog unterstützt sowohl SP- als auch IDP-initiiertes SSO.
  • Alation Data Catalog unterstützt die Just-In-Time-Benutzerbereitstellung.

Hinweis

Der Bezeichner dieser Anwendung ist ein fester Zeichenfolgenwert, daher kann in einem Mandanten nur eine Instanz konfiguriert werden.

Um die Integration von Alation Data Catalog mit Microsoft Entra ID zu konfigurieren, müssen Sie Alation Data Catalog über den Katalog zu Ihrer Liste der verwalteten SaaS-Anwendungen hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen im Suchfeld Alation Data Catalog ein.
  4. Wählen Sie Alation Data Catalog aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra SSO für Alation Data Catalog

Konfigurieren und testen Sie das einmalige Anmelden (SSO) von Microsoft Entra bei Alation Data Catalog mithilfe einer Testbenutzerin mit dem Namen B.Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Alation Data Catalog eingerichtet werden.

Befolgen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra bei Alation Data Catalog die folgenden Schritte:

  1. Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
    1. Erstellen Sie einen Microsoft Entra ID-Testbenutzer, um das einmalige Anmelden von Microsoft Entra mit B. Simon zu testen.
    2. Weisen Sie den Microsoft Entra-Testbenutzer zu, um B. Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
  2. Konfigurieren des einmaligen Anmeldens für Alation Data Catalog, um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
    1. Erstellen eines Alation Data Catalog-Testbenutzers, um ein Pendant von B.Simon in Alation Data Catalog zu erhalten, das mit ihrer Darstellung in Microsoft Entra ID verknüpft ist
  3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um das einmalige Anmelden von Microsoft Entra im Microsoft Entra Admin Center zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alation Data Catalog>Einmaliges Anmelden.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

    Screenshot: Bearbeiten der grundlegenden SAML-Konfiguration

  5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:

    a. Geben Sie im Textfeld Bezeichner die URL http://alation.com/ ein.

    b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://<Customer_Name>.<Domain>.<Extension>/saml2/acs/

  6. Wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten, führen Sie die folgenden Schritte aus:

    Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://<Customer_Name>.<Domain>.<Extension>/

    Hinweis

    Hierbei handelt es sich um Beispielwerte. Ersetzen Sie diese Werte durch die tatsächlichen Werte für Antwort-URL und Anmelde-URL. Wenden Sie sich an das Alation Data Catalog-Supportteam, um diese Werte zu erhalten. Sie können sich auch die Muster im Abschnitt Grundlegende SAML-Konfiguration im Microsoft Entra Admin Center ansehen.

  7. Die Alation Data Catalog-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

    Screenshot: Abbildung der Attributkonfiguration

    Hinweis

    Wählen Sie unter dem Anspruch Eindeutige Benutzer-ID (Namens-ID) für das Namensbezeichnerformat die Option Persistent aus der Dropdownliste unter Anspruch verwalten und dann Speichern aus. Screenshots von „Eindeutige Benutzer-ID“

  8. Darüber hinaus erwartet die Alation Data Catalog-Anwendung, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen.

    Name Quellattribut
    urn:oid:2.5.4.42 user.givenname
    urn:oid:2.5.4.4 user.surname
    urn:oid:0.9.2342.19200300.100.1.3 user.mail
    urn:oid:0.9.2342.19200300.100.1.1 user.userprincipalname
    urn:oid:2.5.4.12 user.jobtitle

    Hinweis

    Wählen Sie für alle oben genannten erforderlichen Ansprüche als Namensbezeichnerformat die Option URI aus der Dropdownliste unter Anspruch verwalten aus dann Speichern aus. Screenshot von „Erforderliche Ansprüche“

  9. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    Screenshot: Link zum Herunterladen des Zertifikats.

  10. Kopieren Sie im Abschnitt Alation Data Catalog einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

    Screenshot: Kopieren einer der Konfiguration entsprechenden URL.

Erstellen eines Microsoft Entra-Testbenutzers

In diesem Abschnitt erstellen Sie im Microsoft Entra Admin Center einen Testbenutzer namens B. Simon.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Klicken Sie auf Erstellen.

Zuweisen des Microsoft Entra-Testbenutzers

In diesem Abschnitt ermöglichen Sie B.Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra, indem Sie ihr Zugriff auf Alation Data Catalog gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alation Data Catalog.
  3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
    1. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
    2. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
    3. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren von SSO für Alation Data Catalog

Zum Konfigurieren des einmaligen Anmeldens aufseiten von Alation Data Catalog müssen Sie die heruntergeladene Verbundmetadaten-XML und die kopierten URLs aus dem Microsoft Entra Admin Center an das Supportteam von Alation Data Catalog senden. Es führt die Einrichtung durch, damit die SAML-SSO-Verbindung auf beiden Seiten richtig festgelegt ist.

Erstellen eines Alation Data Catalog-Testbenutzers

In diesem Abschnitt wird in Alation Data Catalog eine Benutzerin namens Britta Simon erstellt. Alation Data Catalog unterstützt die Just-In-Time-Benutzerbereitstellung, die standardmäßig aktiviert ist. Für Sie steht in diesem Abschnitt kein Aktionselement zur Verfügung. Ist ein Benutzer noch nicht in Alation Data Catalog vorhanden, wird nach der Authentifizierung ein neuer Benutzer erstellt.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

  • Klicken Sie im Microsoft Entra Admin Center auf Diese Anwendung testen. Dadurch werden Sie zur Anmelde-URL für Alation Data Catalog weitergeleitet, wo Sie den Anmeldeflow initiieren können.

  • Rufen Sie direkt die Anmelde-URL für Alation Data Catalog auf, und initiieren Sie den Anmeldeflow.

IDP-initiiert:

  • Klicken Sie im Microsoft Entra Admin Center auf Diese Anwendung testen. Dadurch sollten Sie automatisch bei der Alation Data Catalog-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Beim Klicken auf die Kachel „Alation Data Catalog“ unter „Meine Apps“ geschieht Folgendes: Wenn Sie die Anwendung im SP-Modus konfiguriert haben, werden Sie zum Initiieren des Anmeldeflows zur Anmeldeseite der Anwendung weitergeleitet. Wenn Sie die Anwendung im IDP-Modus konfiguriert haben, sollten Sie automatisch bei der Alation Data Catalog-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von Alation Data Catalog können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration der vertraulichen Daten Ihrer Organisation schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.