Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med BeyondTrust Remote Support

I den här självstudien lär du dig att integrera BeyondTrust Remote Support med Microsoft Entra-ID. När du integrerar BeyondTrust Remote Support med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till BeyondTrust Remote Support.
  • Gör så att dina användare automatiskt loggas in på BeyondTrust Remote Support med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Förutsättningar

För att komma igång behöver du följande:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • BeyondTrust Remote Support-prenumeration med enkel inloggning (SSO).

Beskrivning av scenario

I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

  • BeyondTrust Remote Support stöder SP-initierad enkel inloggning
  • BeyondTrust Remote Support stöder just-in-time-användaretablering

För att konfigurera integreringen av BeyondTrust Remote Support i Microsoft Entra-ID måste du lägga till BeyondTrust Remote Support från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du BeyondTrust Remote Support i sökrutan.
  4. Välj BeyondTrust Remote Support från resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO for BeyondTrust Remote Support

Konfigurera och testa Microsoft Entra SSO med BeyondTrust Remote Support med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i BeyondTrust Remote Support.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med BeyondTrust Remote Support:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
  2. Konfigurera BeyondTrust Remote Support SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications>Enterprise-program> BeyondTrust Fjärrsupport>enkel inloggning.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML klickar du på ikonen redigera/penna för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Edit Basic SAML Configuration

  5. I avsnittet Grundläggande SAML-konfiguration anger du värdena för följande fält:

    a. I rutan Identifierare skriver du en URL med följande mönster: https://<HOSTNAME>.bomgar.com

    b. Skriv en URL med följande mönster i textrutan Svars-URL: https://<HOSTNAME>.bomgar.com/saml/sso

    c. I textrutan Inloggnings-URL skriver du in en URL med följande mönster: https://<HOSTNAME>.bomgar.com/saml

    Kommentar

    Dessa värden är inte verkliga. Uppdatera dessa värden med faktisk identifierare, svars-URL och inloggnings-URL. Du får dessa värden förklarade senare i självstudien.

  6. BeyondTrust Remote Support-programmet förväntar sig SAML-försäkran i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. I följande skärmbild visas listan över standardattribut.

    image

  7. Utöver ovanstående förväntar sig BeyondTrust Remote Support-programmet att få fler attribut skickas tillbaka i SAML-svar som visas nedan. Dessa attribut är också ifyllda i förväg, men du kan granska dem enligt dina behov.

    Name Källattribut
    Username user.userprincipalname
    FirstName user.givenname
    LastName user.surname
    Email user.mail
    Grupper user.groups

    Kommentar

    När du tilldelar Microsoft Entra-grupper för BeyondTrust Remote Support-programmet måste alternativet Grupper som returneras i anspråk ändras från Ingen till SecurityGroup. Grupperna importeras till programmet som objekt-ID:n. Objekt-ID:t för Microsoft Entra-gruppen finns genom att kontrollera egenskaperna i Microsoft Entra-ID-gränssnittet. Detta krävs för att referera till och tilldela Microsoft Entra-grupper till rätt grupprinciper.

  8. När du anger unik användaridentifierare måste det här värdet anges till NameID-Format: Persistent. Vi kräver att detta är en beständig identifierare för att korrekt identifiera och associera användaren till rätt grupprinciper för behörigheter. Klicka på redigeringsikonen för att öppna dialogrutan Användarattribut och anspråk för att redigera värdet Unik användaridentifierare.

  9. I avsnittet Hantera anspråk klickar du på formatet Välj namnidentifierare och anger värdet till Beständiga och klickar på Spara.

    User Attributes and Claims

  10. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och letar upp XML för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

    The Certificate download link

  11. I avsnittet Konfigurera BeyondTrust Fjärrsupport kopierar du lämpliga URL:er baserat på dina behov.

    Copy configuration URLs

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Bläddra till Identitetsanvändare>>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till BeyondTrust Remote Support.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>BeyondTrust Remote Support.
  3. På appens översiktssida väljer du Användare och grupper.
  4. Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
    1. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
    2. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
    3. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera enkel inloggning med fjärrsupport för BeyondTrust

  1. I ett annat webbläsarfönster loggar du in på BeyondTrust Remote Support som administratör.

  2. Gå till Användare och säkerhetsprovidrar>.

  3. Klicka på ikonen Redigera i SAML-providers.

    SAML Providers edit icon

  4. Expandera avsnittet Tjänstleverantör Inställningar.

  5. Klicka på Ladda ned metadata för tjänstprovidern eller så kan du kopiera värdena för entitets-ID och ACS-URL och använda dessa värden i avsnittet Grundläggande SAML-konfiguration .

    Download Service Provider Metadata

  6. Under avsnittet Identitetsprovider Inställningar klickar du på Ladda upp metadata för identitetsprovider och letar reda på xml-filen för metadata som du har laddat ned.

  7. Entitets-ID, URL för enkel inloggningstjänst och servercertifikat laddas upp automatiskt och SSO URL-protokollbindningen måste ändras till HTTP POST.

    Screenshot shows the Identity Provider Settings section where you perform these actions.

  8. Klicka på Spara.

Skapa BeyondTrust Remote Support-testanvändare

I det här avsnittet skapas en användare med namnet Britta Simon i BeyondTrust Remote Support. BeyondTrust Remote Support stöder just-in-time-användaretablering, vilket är aktiverat som standard. Det finns inget åtgärdsobjekt för dig i det här avsnittet. Om det inte redan finns någon användare i BeyondTrust Remote Support skapas en ny efter autentiseringen.

Följ nedanstående procedur, som är obligatorisk för att konfigurera BeyondTrust Remote Support.

Vi konfigurerar användaretablering Inställningar här. De värden som används i det här avsnittet refereras från avsnittet Användarattribut och anspråk . Vi har konfigurerat detta som standardvärden som redan har importerats vid tidpunkten för skapandet, men värdet kan anpassas om det behövs.

Screenshot shows the User Provision Settings where you can configure user values.

Kommentar

Grupperna och e-postattributet är inte nödvändiga för den här implementeringen. Om du använder Microsoft Entra-grupper och tilldelar dem till BeyondTrust-grupprinciper för fjärrsupport för behörigheter måste objekt-ID för gruppen refereras via dess egenskaper i Azure-portalen och placeras i avsnittet Tillgängliga grupper. När detta har slutförts är objekt-ID/AD-gruppen nu tillgänglig för tilldelning till en grupprincip för behörigheter.

Screenshot shows the I T section with Membership type, Source, Type, and Object I D.

Screenshot shows the Basic Settings page for a group policy.

Kommentar

Du kan också ange en standardgruppprincip på SAML2-säkerhetsprovidern. Genom att definiera det här alternativet tilldelar detta alla användare som autentiserar via SAML de behörigheter som anges i grupprincipen. Principen Allmänna medlemmar ingår i BeyondTrust Remote Support/Privileged Remote Access med begränsad behörighet, som kan användas för att testa autentisering och tilldela användare rätt principer. Användarna fylls inte i i listan SAML2-användare via /login-användare > och säkerhet förrän det första lyckade autentiseringsförsöket. Ytterligare information om grupprinciper finns på följande länk: https://www.beyondtrust.com/docs/remote-support/getting-started/admin/group-policies.htm

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

  • Klicka på Testa det här programmet, detta omdirigeras till BeyondTrust remote support sign-on URL där du kan initiera inloggningsflödet.

  • Gå direkt till Inloggnings-URL för BeyondTrust-fjärrsupport och initiera inloggningsflödet därifrån.

  • Du kan använda Microsoft Mina appar. När du klickar på panelen BeyondTrust Remote Support i Mina appar omdirigeras detta till BeyondTrust Remote Support Sign-on URL. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du har konfigurerat BeyondTrust Remote Support kan du tillämpa sessionskontroller, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontroller utökas från villkorsstyrd åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.