Integrar o logon único do Microsoft Entra ao Maverics Orchestrator SAML Connector

O Maverics Orchestrator do Strata fornece uma forma simples de integrar aplicativos locais ao Microsoft Entra ID para autenticação e controle de acesso. O Maverics Orchestrator é capaz de modernizar a autenticação e a autorização para aplicativos que atualmente dependem de cabeçalhos, cookies e outros métodos de autenticação proprietários. As instâncias do Maverics Orchestrator podem ser implantadas localmente ou na nuvem.

Este tutorial de acesso híbrido demonstra como migrar um aplicativo Web local atualmente protegido por um produto de gerenciamento de acesso à Web herdado para usar o Microsoft Entra ID para autenticação e controle de acesso. Veja a seguir as etapas básicas:

1. Configuração do Maverics Orchestrator
2. Proxy de um aplicativo
3. Registro de um aplicativo empresarial no Microsoft Entra ID
4. Autenticando por meio do Microsoft Entra ID e autorizando o acesso ao aplicativo
5. Adição de cabeçalhos para acesso fácil ao aplicativo
6. Trabalho com vários aplicativos

Pré-requisitos

• Uma assinatura do Microsoft Entra ID. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
• Uma conta da Plataforma Maverics Identity Orchestrator. Inscreva-se no maverics.strata.io.
• Pelo menos um aplicativo que usa autenticação baseada em cabeçalho. Em nossos exemplos, trabalharemos em um aplicativo chamado Sonar que poderá ser acessado em https://localhost:8443.

Etapa 1: Configuração do Maverics Orchestrator

Depois de se inscrever em uma conta do Maverics no maverics.strata.io, use nosso tutorial do Centro de Informações intitulado Introdução: Ambiente de Avaliação. Este tutorial ensina o passo a passo para criar um ambiente de avaliação, baixar um orquestrador e instalar o orquestrador em seu computador.

Etapa 2: Estender o Microsoft Entra ID para um aplicativo com uma receita

Em seguida, use o tutorial do Centro de Informações, Estender o Microsoft Entra ID para um Aplicativo Herdado e Não Padrão. Este tutorial fornece uma receita .json que configura automaticamente uma malha de identidade, um aplicativo baseado em cabeçalho e um fluxo de usuário parcialmente completo.

Etapa 3: Registro de um aplicativo empresarial no Microsoft Entra ID

Agora criaremos um novo aplicativo empresarial no Microsoft Entra ID que é usado para autenticar usuários finais.

1. No locatário do Microsoft Entra ID, acesse Aplicativos Enterprise, clique em Novo Aplicativo e pesquise Conector SAML do Maverics Identity Orchestrator na galeria do Microsoft Entra ID e selecione-o.

2. No painel Propriedades do Maverics Identity Orchestrator SAML Connector, defina Atribuição de usuário obrigatória? como Não para permitir que o aplicativo funcione para usuários recém-migrados.

3. No painel Visão geral do Maverics Identity Orchestrator SAML Connector, selecione Configurar logon único e escolha SAML.

4. No painel Logon baseado em SAML do Maverics Identity Orchestrator SAML Connector, edite a Configuração Básica do SAML selecionando o botão Editar (ícone de lápis).

   

5. Insira uma ID da Entidade de: https://sonar.maverics.com. A ID da Entidade precisa ser exclusiva entre os aplicativos no locatário e pode ser um valor arbitrário. Usaremos esse valor ao definir o campo samlEntityID para o seu conector do Azure na próxima seção.

6. Insira uma URL de Resposta de: https://sonar.maverics.com/acs. Usaremos esse valor ao definir o campo samlConsumerServiceURL para o seu conector do Azure na próxima seção.

7. Insira uma URL de entrada de: https://sonar.maverics.com/. Esse campo não será usado pelo Maverics, mas é necessário no Microsoft Entra ID para permitir que os usuários obtenham acesso ao aplicativo por meio do portal Meus Aplicativos do Microsoft Entra ID.

8. Selecione Salvar.

9. Na seção Certificado de Autenticação SAML, selecione o botão Copiar para copiar a URL de Metadados de Federação do Aplicativo e salve-a no seu computador.

   

Etapa 4: Autenticando por meio do Microsoft Entra ID e autorizando o acesso ao aplicativo

Continue com a etapa 4 do tópico do Centro de Informações, Estender o Microsoft Entra ID para um Aplicativo Herdado e Não Padrão para editar o fluxo de usuário no Maverics. Essas etapas orientam você pelo processo de adição de cabeçalhos ao aplicativo upstream e implantação do fluxo do usuário.

Depois de implantar o fluxo de usuário, para confirmar que a autenticação está funcionando conforme o esperado, faça uma solicitação para um recurso de aplicativo por meio do proxy do Maverics. O aplicativo protegido agora deve estar recebendo cabeçalhos na solicitação.

Fique à vontade para editar as chaves de cabeçalho se o seu aplicativo espera cabeçalhos diferentes. Todas as declarações que retornam do Microsoft Entra ID como parte do fluxo SAML estão disponíveis para uso em cabeçalhos. Por exemplo, podemos incluir outro cabeçalho de secondary_email: azureSonarApp.email, em que azureSonarApp é o nome do conector e email é uma declaração retornada pelo Microsoft Entra ID.

Cenários avançados

Migração de identidade

Não quer mais continuar com a sua ferramenta de gerenciamento de acesso à Web cujo ciclo de vida chegou ao fim, mas não tem uma forma de migrar seus usuários sem redefinições de senha em massa? O Maverics Orchestrator dá suporte à migração de identidade usando migrationgateways.

Módulos do Servidor Web

Não quer refazer a sua rede e efetuar proxy do tráfego por meio do Maverics Orchestrator? Não tem problema. O Maverics Orchestrator pode ser emparelhado com módulos de servidor Web para oferecer as mesmas soluções sem proxy.

Conclusão

Até aqui, instalamos o Maverics Orchestrator, criou e configurou um aplicativo empresarial no Microsoft Entra ID e configurou o Orchestrator para fazer proxy para um aplicativo protegido, exigindo autenticação e impondo uma política. Para saber mais sobre como o Maverics Orchestrator pode ser usado para casos de uso do gerenciamento de identidades distribuídas, entre em contato com a Strata.