Настройка системы единого входа Azure Active Directory с помощью Citrix ShareFile
В облачную эпоху любая организация может иметь миллионы приложений, доступных конечным пользователям, поэтому иметь имена пользователей и пароли для каждого отдельного приложения, как это было в прошлом, просто нецелесообразно. Используя Azure Active Directory, организация может воспользоваться преимуществами синхронизированных каталогов между локальными и облачными средами, при этом в обеих средах будет использоваться одно и то же удостоверение, что обеспечивает удобство и простоту работы для конечных пользователей. Корпорация Майкрософт предоставляет функции единого входа Azure Active Directory. Наличие центрального расположения для проверки подлинности помогает Office 365, SaaS и сторонним поставщикам использовать один и тот же метод проверки подлинности для доступа к своему приложению, что позволяет сократить количество имен пользователей и паролей и в то же время улучшить взаимодействие с конечными пользователями. А использование системы единого входа Azure Active Directory также повышает согласованность, производительность и безопасность.
Использование Azure Active Directory помогает администраторам повысить безопасность, применяя условный доступ на основе нескольких переменных, таких как ресурс приложения, сетевое расположение, MFA (многофакторная проверка подлинности) и удостоверение пользователя.
В этой статье мы собираемся настроить синхронизацию между локальной Active Directory и совершенно новой Azure Active Directory, а также опубликовать пару приложений единого входа Azure Active Directory для конечных пользователей. Все начинается с элемента Azure Active Directory на портале Microsoft Azure. Эта страница является отправной точкой для управления синхронизацией, настройки приложений и дополнительных функций, связанных с функциональностью.
Настройка домена DNS
Первым шагом является настройка домена. В настоящее время это просто и легко настроить, когда ваши пользователи используют имя участника-пользователя ([электронная почта защищена]), которое соответствует вашему общедоступному домену. В нашей статье мы собираемся использовать домен infralab.org, и у нас есть Active Directory, использующая тот же домен в качестве полного доменного имени (FQDN). Если это не ваш случай и вы используете немаршрутизируемый домен (что-то вроде domain.local), вам нужно добавить имя участника-пользователя в свой домен и настроить пользователей для его использования.
Войдите в Azure Active Directory, нажмите «Доменные имена» и нажмите «Добавить доменное имя». В новой колонке введите имя домена и нажмите «Добавить домен».
Чтобы создать новый домен, мы должны подтвердить его. Есть несколько способов сделать это с помощью DNS (либо добавление записи TXT, либо записи MX). Давайте не будем усложнять и добавим новую запись TXT в наш общедоступный DNS со строкой, указанной ниже, подождем несколько минут, пока не произойдет репликация, а затем нажмите «Проверить».
После успешной проверки нового домена нажмите «Сделать основным » и в новом диалоговом окне нажмите Да для подтверждения. На той же странице щелкните ссылку Загрузить Azure AD Connect, после чего откроется новое окно с последней поддерживаемой версией средства синхронизации Azure AD. Скопируйте эту загрузку на сервер, который будет использоваться для синхронизации учетных записей между локальной средой и Azure Active Directory.
Настройка синхронизации
В этой части мы начнем с исправной Active Directory, работающей на Windows Server 2016, с двумя контроллерами домена, и они прекрасно реплицируются на одном сайте Active Directory. Мы собираемся использовать сервер с именем TORSYNC01, на который мы собираемся установить .
После загрузки инструмента мы собираемся выбрать «Экспресс-настройки» и пройти аутентификацию как в локальной среде, так и в Azure AD (приятно создать учетную запись в Azure AD с ролью глобального администратора) и оставить настройки по умолчанию.
Подготовка к настройке единого входа Azure Active Directory
Прежде чем приступить к процессу, я хотел бы выделить несколько моментов, которые упростят создание интеграции единого входа с Azure AD Active Directory, а именно:
- Убедитесь, что вы открыли новый сеанс вашего браузера. Кроме того, не сохраняйте пароли и, если возможно, удалите все исторические данные и кэшированные учетные данные, чтобы начать заново.
- Откройте две вкладки, одну с Microsoft Azure и другую с приложением, которое вы хотите интегрировать (в нашем случае Citrix ShareFile).
- Определите пользователя, который будет использоваться в процессе тестирования. В нашей статье это будет [email protected]
- Прочтите документацию по интеграции в Microsoft Azure и на сайте поставщика, которая поможет устранить любую проблему, которая может возникнуть во время развертывания.
- Если вы слишком долго бьетесь о стену, выпейте чашечку кофе! Я уверен, что ты решишь это быстрее, когда вернешься.
Помимо этих пунктов выше, мы создали список элементов, которые будут запрашиваться по обе стороны забора (Azure/Citrix ShareFile), и где можно получить такую информацию, а также пример ожидаемого значения.
| Вещь | Место для получения | Ценность |
| URL-адрес для входа | Citrix ShareFile | https://infralab.sharefile.com/saml/логин |
| Сертификат | Портал Azure | Откройте файл блокнотом и скопируйте и вставьте все содержимое |
| Ваш эмитент IDP / идентификатор организации | Портал Azure | https://sts.windows.net/7c32d55a-8532-xxxx-yyyy-1xxx123x1x12/ |
| URL-адрес входа | Портал Azure | https://login.microsoftonline.com/7c32d55a-8532-xxxx-yyyy-1xxx123x1x12/saml2 |
| URL-адрес выхода | Портал Azure | https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 |
Настройка Citrix ShareFile
Первым шагом является получение пробной версии (если у вас еще нет подписки) Citrix ShareFile, и этот процесс занимает не более двух минут. Войдите в Citrix ShareFile в качестве администратора, нажмите значок «Настройки », «Настройки администратора », разверните «Безопасность», нажмите «Политика входа и безопасности».
Сначала отключите параметр , выбрав «Нет».
В разделе : Сначала включите SAML, выбрав «Да». Скопируйте URL-адрес , поскольку мы добавим эту информацию на стороне Azure. Другая информация: , отпечаток сертификата, и поступают с портала Microsoft Azure.
В разделе » выберите «Да » и измените , на «точный» и обязательно сохраните настройки.
Есть два шага для завершения настроек в ShareFile. Сначала создайте пару папок, одну личную и одну общую (на этом этапе не нужно назначать разрешения). Нажмите «Люди и управление пользователями», нажмите «Создать сотрудника», на новой странице введите имя и фамилию и адрес электронной почты (пароль не нужен), и для этой статьи мы собираемся использовать [email protected] . При создании пользователя назначьте два каталога (личный и общий), которые были созданы на предыдущем шаге.
Добавление ShareFile в корпоративные приложения Azure AD
Войдя на портал Azure, щелкните Azure Active Directory. В новой колонке щелкните Корпоративные приложения, а в следующей колонке щелкните Все приложения. Появится список всех приложений. Нажмите «Новое приложение».
Мы можем искать существующие приложения. В этой статье мы будем использовать Citrix ShareFile. Введите Citrix и выберите Citrix ShareFile из списка. В новой колонке нажмите Добавить. Примечание. Приложение, которое мы добавляем, поддерживает режим единого входа, в данном случае пароль и SAML.
Azure Active Directory предоставляет Quick Start, который представляет собой серию шагов для интеграции и запуска приложения. Мы сосредоточимся на двух обязательных шагах, чтобы начать работу: Назначить пользователя для тестирования и Настроить единый вход. Все шаги, описанные в , доступны в разделе «Управление», который находится справа. Если это ваш первый раз, вы будете использовать его, чтобы освоиться, но по мере знакомства с интерфейсом вы, вероятно, перейдете сразу к пунктам «Единый вход» и «Пользователи и группы».
Первым шагом, по моему скромному мнению, является настройка SSO. Нажмите «Настроить единый вход» (обязательно) в списке. С правой стороны выберите определение режима. Используя Citrix ShareFile, мы можем выбрать вход на основе SAML. Информация, которая будет размещена на URL-адресе входа, будет поступать с сайта .
Следующим шагом является загрузка сертификата, который будет использоваться токенами SAML. Нажмите «Сертификат (Base64)», откройте файл с помощью блокнота и скопируйте все содержимое (мы будем использовать эту информацию на сайте Citrix ShareFile). Обязательно измените адрес электронной почты с уведомлением, чтобы получать информацию, когда срок действия сертификата подходит к концу. Нажмите «Сохранить», расположенную на верхней панели.
После настройки единого входа нажмите «Пользователи и группы», а в новой колонке нажмите «Добавить пользователя». В следующей колонке выберите пользователя и роль. Мы собираемся выбрать Employee, чтобы он соответствовал тому, что мы создали в ShareFile в предыдущем разделе.
Тестирование интеграции единого входа
Основной тест заключается в том, чтобы войти в систему TomyApps, используя нашу тестовую учетную запись ([email protected]), после чего отобразится значок . Нажмите на нее, и мы будем автоматически перенаправлены на сайт ShareFile без какой-либо аутентификации.
Другой способ — перейти прямо на сайт Citrix ShareFile. Нажмите «Войти», расположенную в разделе ». Это перенаправит пользователя на страницу проверки подлинности Microsoft.
В обоих сценариях, которые переходят на страницу myapps или прямо в ShareFile и аутентифицируются в одном и том же месте (Microsoft Azure), взаимодействие с конечным пользователем будет одинаковым, и он попадет на начальную страницу ShareFile. То же самое относится и к пользователям, пытающимся использовать мобильное приложение ShareFile.