Konfiguracja uwierzytelnienia OpenID Connect w Microsoft Entra (Azure)

Aby skonfigurować metodę uwierzytelnienia OpenID Connect z Microsoft Entra, postępuj zgodnie z poniższymi krokami.

Informacja

Jest to ogólna instrukcja, mająca na celu przybliżenie procesu konfigurowania metody uwierzytelnienia OpenID Connect w Fudo Enterprise. Niektóre szczegóły mogą się różnić w zależności od posiadanej wersji oraz konfiguracji Microsoft Entra. Szczegółową instrukcję znajdziesz w dokumentacji Microsoft Entra.

Tworzenie użytkownika w Microsoft Entra ID:

  1. Przejdź do panelu administratora Microsoft Entra i zaloguj się przy użyciu swoich danych uwierzytelniających Microsoft Entra.
  2. Z lewego menu wybierz Tożsamość > Użytkownicy > Wszyscy użytkownicy.
../../_images/azure-ad.png
  1. Kliknij przycisk + Nowy użytkownik i z listy rozwijanej wybierz opcję Utwórz nowego użytkownika.
../../_images/azure-create-user.png
  1. W polu Nazwa główna użytkownika wprowadź nazwę użytkownika konta. Na przykład: user1@fudosecurity.com.
  2. W polu Nazwa wyświetlana podaj nazwę użytkownika konta.
  3. Wprowadź hasło w polu Hasło lub kliknij opcję Automatyczne generowanie hasła, aby wygenerować hasło.
  4. Wybierz opcję Konto włączone.
  5. W zakładce Właściwości, w sekcji menu Informacje kontaktowe, w polu E-mail podaj adres e-mail. Na przykład: user1@fudosecurity.com.
  6. Wprowadź pozostałe parametry wymagane dla użytkownika w zakładkach WłaściwościPrzypisania.
  7. Kliknij Utwórz.

Rejestracja Fudo w Microsoft Entra ID:

  1. Z lewego menu wybierz Tożsamość > Aplikacje > Aplikacje dla przedsiębiorstw.
../../_images/azure-menu-apps.png
  1. Kliknij przycisk + Nowa aplikacja, aby utworzyć nową aplikację.
../../_images/azure-new-app.png
  1. Kliknij przycisk + Utwórz własną aplikację.
  2. W prawym oknie dialogowym podaj nazwę swojej aplikacji i wybierz opcję Zarejestruj aplikację, aby zintegrować ją z usługą Microsoft Entra ID (aplikacja, którą opracowujesz).
  3. Kliknij Utwórz.
../../_images/azure-new-app-2.png
  1. Na kolejnej stronie, w sekcji menu Obsługiwane typy kont, wybierz opcję Konta tylko w tym katalogu organizacyjnym (tylko Katalog domyślny — pojedyncza dzierżawa).
  2. W sekcji menu Identyfikator URI przekierowania wybierz Internet z listy rozwijanej platformy i podaj adres do Portalu Użytkownika Fudo Enterprise z przyrostkiem /oidc. Na przykład: https://10.0.58.239/oidc lub https://fudo.example.com/oidc.

Informacja

Adres Portalu Użytkownika można znaleźć w Fudo Enterprise, w menu Ustawienia > Konfiguracja sieci. Więcej informacji znajdziesz w rozdziale menu Konfiguracja sieci.

../../_images/azure-new-app-3.png
  1. Kliknij Rejestruj, aby utworzyć aplikację.
  2. Z lewego menu wybierz Tożsamość > Aplikacje > Rejestracje aplikacji.
  3. Przejdź do zakładki Wszystkie aplikacje, znajdź utworzoną aplikację na liście aplikacji i kliknij na nazwę, aby edytować jej parametry. Zapisz Identyfikator aplikacji (klienta)Identyfikator katalogu (dzierżawcy), ponieważ będziesz ich potrzebować na późniejszym etapie konfiguracji.
../../_images/azure-client-id.png

Konfiguracja ustawień uwierzytelnienia:

  1. Wróć do głównego menu Microsoft Entra ID i z sekcji menu Zarządzaj wybierz Rejestracje aplikacji.
  2. Znajdź utworzoną aplikację na liście aplikacji i kliknij na nazwę, aby edytować jej parametry.
  3. W sekcji menu Zarządzaj wybierz Uwierzytelnianie.
  4. W platformie Internet utworzonej dla Fudo Enterprise dodaj adres przekierowania do Panelu Administracyjnego Fudo, dodając odpowiednio przyrostek /oidc. Na przykład: https://10.0.58.238/oidc lub https://fudo.example.com/oidc.
../../_images/azure-add-url.png
  1. W sekcji menu Przepływy niejawnego przyznania i hybrydowe zaznacz opcje Tokeny dostępuTokeny identyfikatorów.
../../_images/azure-auth.png
  1. W sekcji menu Blokada właściwości wystąpienia aplikacji kliknij Konfiguruj i w prawym oknie dialogowym wyłącz opcję Włącz blokadę właściwości. Kliknij Zapisz, aby zamknąć okno dialogowe.
  2. Kliknij Zapisz, aby zapisać ustawienia uwierzytelnienia.

Generowanie sekretu klienta:

  1. W ustawieniach aplikacji na portalu Azure przejdź do sekcji Certyfikaty i klucze tajne.
  2. W zakładce Wpisy tajne klienta wybierz + Nowy klucz tajny klienta.
  3. Podaj opis, wybierz pożądany okres ważności i kliknij Dodaj.

Ostrzeżenie

Zapisz Identyfikator wpisu tajnego oraz Wartość wygenerowanego sekretu, ponieważ będziesz ich potrzebować do konfiguracji Fudo Enterprise. Po zapisaniu wartość sekretu nie będzie widoczna.

../../_images/azure-cert.png

Pobieranie adresu URL konfiguracji OpenID Connect:

  1. W ustawieniach aplikacji na portalu Azure przejdź do sekcji Przegląd.
  2. Znajdź zakładkę Punkty końcowe i wyszukaj adres URL Dokument metadanych protokołu OpenID Connect. To jest Twój adres URL konfiguracji OpenID Connect. Skopiuj go, ponieważ będziesz go potrzebować do konfiguracji Fudo Enterprise.
../../_images/azure-url.png

Konfiguracja metody uwierzytelniania OpenID Connect w Fudo:

  1. Przejdź do Panelu Administracyjnego Fudo Enterprise.
  1. Wybierz Ustawienia > Uwierzytelnianie.

  2. Wybierz zakładkę Uwierzytelnianie OpenID Connect.

  3. Kliknij Dodaj uwierzytelnienie OpenID Connect.

  4. Zaznacz Włączone, aby włączyć globalnie uwierzytelnianie OpenID Connect.

  5. Podaj nazwę (np. Azure).

  6. Ustaw Adres źródłowy na Dowolny.

  7. Wprowadź URL konfiguracyjny (OpenID Connect metadata document URL z Azure).

  8. Podaj Client ID (Secret ID z Azure).

  9. Wprowadź Client secret (wartość certyfikatu, czyli zawartość pola Value z Azure).

  10. Dodaj Mapowanie nazwy użytkownikaMapowanie email (opcjonalne). Te pola są przydatne, gdy nazwa użytkownika ma przyjętą inną konwencję nazewnictwa.

  11. Kliknij Zapisz.

Informacja

Aby dowiedzieć się więcej o algorytmie używanym do określenia tożsamości użytkownika, odwiedź sekcję Definicja uwierzytelniania OpenID Connect.

Tworzenie użytkownika w Fudo:

  1. Wybierz Zarządzanie > Użytkownicy, a następnie kliknij Dodaj użytkownika.
  1. Wprowadź nazwę użytkownika.
  2. W zakładce Dane użytkownika, w sekcji menu Informacje o użytkowniku, w polu Email wprowadź adres e-mail używany podczas tworzenia użytkownika w Azure - w tym przypadku user1@fudosecurity.com.
../../_images/azure-fudo-email.png
  1. Wypełnij resztę parametrów zgodnie z Twoimi wymaganiami.
  1. Kliknij Zapisz.

Informacja

Podany adres e-mail jest wykorzystywany do powiązania użytkowników Fudo Enterprise z odpowiadającymi im kontami utworzonymi w Azure. Upewnij się, że adresy e-mail nie są zduplikowane wśród użytkowników.

Testowanie:

Możesz teraz przetestować uwierzytelnienie OpenID Connect próbując zalogować się do Panelu Administracyjnego lub Portalu Użytkownika Fudo Enterprise. Zaloguj się, korzystając z metody uwierzytelniania Azure:

../../_images/5-3-azure-okta-login.png

Tematy pokrewne: