Tutorial: integração do SSO do Microsoft Entra com a integração do Microsoft Entra com o Kemp LoadMaster
Nesse tutorial, você aprenderá a integrar a integração do Microsoft Entra com o Kemp LoadMaster com o ID do Microsoft Entra. Ao integrar a integração do Microsoft Entra com o Kemp LoadMaster com o ID do Microsoft Entra, você pode:
- Controlar no ID do Microsoft Entra quem tem acesso à integração do Microsoft Entra no Kemp LoadMaster.
- Permita que os usuários entrem automaticamente na integração do Microsoft Entra no Kemp LoadMaster com suas contas Microsoft Entra.
- Gerencie suas contas em um local central.
Pré-requisitos
Para começar, você precisará dos seguintes itens:
- Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
- Assinatura habilitada para logon único (SSO) de integração do Microsoft Entra no Kemp LoadMaster.
Observação
Essa integração também está disponível para uso no ambiente de Nuvem do Governo dos EUA do Microsoft Entra. Você pode encontrar esse aplicativo na Galeria de Aplicativos de Nuvem do Governo dos EUA do Microsoft Entra e configurá-lo da mesma forma que você faz isso na nuvem pública.
Descrição do cenário
Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.
- A integração do Microsoft Entra no Kemp LoadMaster oferece suporte ao SSO iniciado pelo IDP.
Adicionar integração Microsoft Entra no Kemp LoadMaster da galeria
Para configurar a integração da integração do Microsoft Entra no Kemp LoadMaster com o ID do Microsoft Entra, você precisa adicionar a integração do Microsoft Entra no Kemp LoadMaster da galeria à sua lista de aplicativos SaaS gerenciados.
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
- Na seção Adicionar da galeria digite Integração do Microsoft Entra no Kemp LoadMaster na caixa de pesquisa.
- Selecione Integração do Microsoft Entra no Kemp LoadMaster no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.
Configurar e testar o SSO do Microsoft Entra para integração do Kemp LoadMaster com o Microsoft Entra
Configure e teste o SSO do Microsoft Entra com a integração do Microsoft Entra no Kemp LoadMaster usando um usuário de teste chamado B.Silva. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado na integração do Microsoft Entra no Kemp LoadMaster.
Para configurar e testar o SSO do Microsoft Entra com a integração do Microsoft Entra no Kemp LoadMaster, execute as seguintes etapas:
Configure o SSO do Microsoft Entra - para permitir que os usuários usem esse recurso.
- Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Silva.
- Atribua o usuário de teste do Microsoft Entra - para permitir que B.Silva use o logon único do Microsoft Entra.
Configure o SSO de integração do Microsoft Entra no Kemp LoadMaster - para definir as configurações de logon único no lado do aplicativo.
Como configurar a autenticação baseada em Kerberos
- Crie uma conta de delegação Kerberos para a integração do Kemp LoadMaster com o Microsoft Entra
- Integração do Microsoft Entra no Kemp LoadMaster KCD (contas Kerberos delegadas)
- Integração ESP do Microsoft Entra no Kemp LoadMaster
- Criar usuário de teste de integração do Microsoft Entra no Kemp LoadMaster - para ter um equivalente de B.Silva na integração do Microsoft Entra no Kemp LoadMaster que esteja vinculada à representação do usuário do Microsoft Entra.
Testar o SSO – para verificar se a configuração funciona.
Configurar o SSO do Microsoft Entra
Siga estas etapas para habilitar o SSO do Microsoft Entra.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Aplicativos empresariais>Integração do Microsoft Entra no Kemp LoadMaster>Logon único.
Na página Selecionar um método de logon único, escolha SAML.
Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.
Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:
a. Na caixa de texto Identificador (ID da Entidade) , digite uma URL:
https://<KEMP-CUSTOMER-DOMAIN>.com/b. Na caixa de texto URL de Resposta, insira uma URL:
https://<KEMP-CUSTOMER-DOMAIN>.com/Observação
Esses valores não são reais. Atualize esses valores com o Identificador e a URL de Resposta reais. Entre em contato com a equipe de suporte ao cliente de integração do Microsoft Entra no Kemp LoadMaster para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML.
Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, localize Certificado (Base64) e XML de Metadados de Federação e selecione Baixar para baixar o certificado e os arquivos XML de metadados de federação e salvá-lo no computador.
Na seção Configurar a integração do Microsoft Entra no Kemp LoadMaster copie a(s) URL(s) apropriada(s) com base em sua necessidade.
Criar um usuário de teste do Microsoft Entra
Nesta seção, você criará um usuário de teste chamado B.Fernandes.
- Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
- Navegue até Identidade>Usuários>Todos os usuários.
- Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
- Nas propriedades do Usuário, siga estas etapas:
- No campo Nome de exibição, insira
B.Simon. - No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo,
B.Simon@contoso.com. - Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
- Selecione Examinar + criar.
- No campo Nome de exibição, insira
- Selecione Criar.
Atribuir o usuário de teste do Microsoft Entra
Nessa seção, você permitirá que B.Silva use o logon único concedendo acesso à integração do Microsoft Entra no Kemp LoadMaster.
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais>Integração do Microsoft Entra no Kemp LoadMaster.
- Na página de visão geral do aplicativo, selecione Usuários e grupos.
- Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
- Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
- Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
- Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.
Configurar o SSO de integração do Microsoft Entra no Kemp LoadMaster
Como publicar o servidor Web
Criar um serviço virtual
Vá para UI Web da Integração do Microsoft Entra no Kemp LoadMaster > Serviços virtuais > Adicionar novo.
Clique em Adicionar Novo.
Especifique os parâmetros do serviço virtual.
a. Endereço virtual
b. Porta
c. Nome do serviço (opcional)
d. Protocolo
Navegue até a seção de Servidores Reais.
Clique em Adicionar Novo.
Especifique os parâmetros do Servidor Real.
a. Selecione Permitir Endereços Remotos
b. Digite o endereço do servidor real
c. Porta
d. Método de encaminhamento
e. Peso
f. Limite de conexão
g. Clique em Adicionar este Servidor Real
Certificados e segurança
Importar certificado na integração do Kemp LoadMaster com o Microsoft Entra
Vá para o portal da web de integração do Microsoft Entra no Kemp LoadMaster > Certificados e Segurança > Certificados SSL.
Em Gerenciar Certificados > Configuração de Certificado.
Clique em Importar Certificado.
Especifique o nome do arquivo que contém o certificado. O arquivo também pode reter a chave privada. Se o arquivo não contém a chave privada, o arquivo que contém a chave privada também precisa ser especificado. O certificado pode estar no formato .PEM ou .PFX (IIS).
No Arquivo de Certificado, clique em Escolher arquivo.
Clique no Arquivo de Chaves (opcional).
Clique em Salvar.
Aceleração de SSL
Acesse a IU da Web Kemp LoadMaster > Serviços Virtuais > Exibir/Modificar Serviços.
Em Operação, clique em Modificar.
Clique em Propriedades SSL (que opera na camada 7).
a. Clique em Habilitado em Aceleração de SSL.
b. Em Certificados Disponíveis, selecione o certificado importado e clique no símbolo
>.c. Depois que o certificado SSL desejado aparecer em Certificados Atribuídos, clique em Definir Certificados.
Observação
Verifique se você clicou em Definir Certificados.
Perfil SAML da integração do Microsoft Entra no Kemp LoadMaster
Importar o certificado de IdP
Vá para o console web da integração do Microsoft Entra no Kemp LoadMaster.
Clique em Certificados Intermediários em Certificados e Autoridade.
a. Clique em escolher arquivo em Adicionar um novo Certificado Intermediário.
b. Navegue até o arquivo de certificado baixado anteriormente do aplicativo empresarial do Microsoft Entra.
c. Clique em Abrir.
d. Forneça um Nome em Nome do Certificado.
e. Clique em Adicionar Certificado.
Criar uma política de autenticação
Acesse Gerenciar SSO em Serviços Virtuais.
a. Em Adicionar Nova Configuração do Lado do Cliente, clique em Adicionar após dar um nome a ela.
b. Selecione SAML em Protocolo de Autenticação.
c. Selecione o Arquivo de Metadados em Provisionamento de IdP.
d. Clique em Escolher Arquivo.
e. Navegue até o XML baixado anteriormente no portal do Azure.
f. Clique em Abrir e clique no arquivo Importar Metadados de IdP.
g. Selecione o certificado intermediário no Certificado de IdP.
h. Defina a ID da Entidade do SP que deve corresponder à identidade criada no portal do Azure.
i. Clique em Definir a ID da Entidade do SP.
Definir autenticação
No console web da integração do Microsoft Entra no Kemp LoadMaster.
Clique em Serviços Virtuais.
Clique em Exibir/Modificar Serviços.
Clique em Modificar e navegue até as Opções de ESP.
a. Clique em Habilitar ESP.
b. Selecione o SAML no Modo de Autenticação de Cliente.
c. Selecione a Autenticação do Lado do Cliente criada anteriormente no Domínio de SSO.
d. Digite o nome do host em Hosts Virtuais Permitidos e clique em Definir Hosts Virtuais Permitidos.
e. Digite /* em Diretórios Virtuais Permitidos (com base nos requisitos de acesso) e clique em Definir Diretórios Permitidos.
Verificar as alterações
Procure a URL do aplicativo.
Você deverá ver a página de logon do locatário em vez do acesso não autenticado anteriormente.
Como configurar a autenticação baseada em Kerberos
Crie uma conta de delegação Kerberos para a integração do Microsoft Entra no Kemp LoadMaster
Crie uma Conta de usuário (neste exemplo, AppDelegation).
a. Selecione a guia Editor de Atributo.
b. Navegue até servicePrincipalName.
c. Selecione servicePrincipalName e clique em Editar.
d. Digite http/kcduser no campo Valor para adicionar e clique em Adicionar.
e. Clique em Aplicar e em OK. A janela precisa ser fechada antes de você abri-la novamente (para ver a nova guia Delegação).
Abra a janela Propriedades do usuário novamente e a guia Delegação estará disponível.
Selecione a guia Delegação.
a. Selecione Confiar neste usuário apenas para delegação a serviços especificados.
b. Selecione Usar qualquer protocolo de autenticação.
c. Adicione os Servidores Reais e adicione http como o serviço.
d. Marque a caixa de seleção Expandido.
e. Você pode ver todos os servidores com o nome do host e o FQDN.
f. Clique em OK.
Observação
Defina o SPN no Aplicativo/Site conforme aplicável. para acessar o aplicativo quando a identidade do pool de aplicativos tiver sido definida. Para acessar o aplicativo IIS usando o nome FQDN, acesse o prompt de comando do Real Server e digite SetSpn com os parâmetros necessários. Por exemplo, Setspn –S HTTP/sescoindc.sunehes.co.in suneshes\kdcuser.
Integração KCD (contas Kerberos delegadas) da integração do Microsoft Entra no Kemp LoadMaster
Vá para o console web da integração do Microsoft Entra no Kemp LoadMaster > Serviços virtuais > Gerenciar SSO.
a. Navegue até Configurações de Logon Único no Lado do Servidor.
b. Em Adicionar nova Configuração do Lado do Servidor digite o nome e clique em Adicionar.
c. Selecione a Delegação Restrita de Kerberos no Protocolo de Autenticação.
d. Digite o Nome de Domínio no Realm do Kerberos.
e. Clique em Definir realm do Kerberos.
f. Digite o endereço IP do controlador de domínio no Centro de Distribuição de Chaves do Kerberos.
g. Clique em Definir KDC do Kerberos.
h. Digite o nome de usuário do KCD em Nome de Usuário Confiável do Kerberos.
i. Clique em Definir nome de usuário confiável do KDC.
j. Digite a senha em Senha de Usuário Confiável do Kerberos.
k. Clique em Definir a senha de usuário confiável do KCD.
Integração ESP do Microsoft Entra no Kemp LoadMaster
Acesse Serviços Virtuais > Exibir/Modificar Serviços.
a. Clique em Modificar no Apelido do Serviço Virtual.
b. Clique em Opções de ESP.
c. Em Modo de Autenticação do Servidor, selecione KCD.
d. Em Configuração do Lado do Servidor, selecione o perfil do lado do servidor criado anteriormente.
Criar usuário de teste de integração do Microsoft Entra no Kemp LoadMaster
Nessa seção, você cria um usuário chamado B.Silva na integração do Microsoft Entra no Kemp LoadMaster. Trabalhe com a equipe de suporte ao cliente de integração do Microsoft Entra no Kemp LoadMaster para adicionar os usuários na plataforma de integração Microsoft Entra no Kemp LoadMaster. Os usuários devem ser criados e ativados antes de usar o logon único.
Testar o SSO
Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.
Clique em Testar esse aplicativo e você deverá estar automaticamente conectado à integração do Microsoft Entra no Kemp LoadMaster para a qual você configurou o SSO.
Você pode usar os Meus Aplicativos da Microsoft. Quando você clica no bloco de integração Microsoft Entra no Kemp LoadMaster em Meus aplicativos, você deve estar automaticamente conectado à integração Microsoft Entra no Kemp LoadMaster para a qual você configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.
Próximas etapas
Depois de configurar a integração do Kemp LoadMaster com o Microsoft Entra, você pode impor o controle de sessão, que protege a exfiltração e a infiltração de dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.