Lernprogramm: Konfigurieren von Azure Active Directory B2C mit Datawiza zur Bereitstellung eines sicheren Hybridzugriffs

In diesem Lernprogramm erfahren Sie, wie Sie Azure Active Directory B2C (Azure AD B2C) in Datawiza Access Proxy (DAP) integrieren, das einmaliges Anmelden (Single Sign-On, SSO) und eine granulare Zugriffssteuerung ermöglicht und Azure AD B2C dabei hilft, lokale Legacyanwendungen zu schützen. Mit dieser Lösung können Unternehmen von Legacy zu Azure AD B2C wechseln, ohne Anwendungen neu zu schreiben.

Voraussetzungen

Zunächst benötigen Sie Folgendes:

• Ein Microsoft Entra-Abonnement
  • Wenn Sie kein Konto haben, können Sie ein kostenloses Azure-Konto erhalten.
• Einen Azure AD B2C-Mandanten, der mit Ihrem Azure-Abonnement verknüpft ist
• Docker, eine offene Plattform zum Entwickeln, Versenden und Ausführen von Anwendungen, ist erforderlich, um DAB auszuführen.
  • Ihre Anwendungen können auf Plattformen wie virtueller Computer und Bare Metal ausgeführt werden.
• Eine lokale Anwendung für den Übergang von einem älteren Identitätssystem zu Azure AD B2C
  • In diesem Lernprogramm wird DAB auf demselben Server wie die Anwendung bereitgestellt.
  • Die Anwendung wird auf localhost:3001 ausgeführt und DAP leitet den Datenverkehr zu Anwendungen über localhost:9772 weiter.
  • Der Anwendungsdatenverkehr erreicht zuerst DAB und wird dann an die Anwendung umgeleitet.

Szenariobeschreibung

Die Datawiza-Integration umfasst die folgenden Komponenten:

• Azure AD B2C: Der Autorisierungsserver zum Überprüfen von Benutzeranmeldeinformationen
  • Authentifizierte Benutzer greifen auf lokale Anwendungen mithilfe eines lokalen Kontos zu, das im Azure AD B2C-Verzeichnis gespeichert ist
• Datawiza Access Proxy (DAP):Der Dienst, der die Identität über HTTP-Header an Anwendungen übergibt
• Datawiza Cloud Management Console (DCMC):Eine Verwaltungskonsole für DAB. DCMC-UI und RESTful-APIs helfen beim Verwalten von DAB-Konfigurationen und Zugriffssteuerungsrichtlinien

Das folgende Architekturdiagramm zeigt die Implementierung.

1. Der Benutzer fordert den Zugriff auf eine lokale Anwendung an. DAB leitet die Anfrage an die Anwendung weiter.
2. DAP überprüft den Authentifizierungsstatus des Benutzers. Ohne Sitzungstoken oder ein ungültiges Token wechselt der Benutzer zur Authentifizierung an Azure AD B2C.
3. Azure AD B2C sendet die Benutzeranforderung an den Endpunkt, der während der DAP-Registrierung im Azure AD B2C-Mandanten angegeben wurde.
4. Dap wertet Zugriffsrichtlinien aus und berechnet Attributwerte in HTTP-Headern, die an die Anwendung weitergeleitet werden. Der DAP ruft möglicherweise den Identitätsanbieter (IdP) auf, um Informationen abzurufen und damit die Headerwerte festzulegen. Dap legt die Headerwerte fest und sendet die Anforderung an die Anwendung.
5. Der Benutzer wird mit Zugriff auf die Anwendung authentifiziert.

Integrieren mit Datawiza

Wenn Sie Ihre ältere lokale App in Azure AD B2C integrieren möchten, wenden Sie sich an Datawiza.

Konfigurieren Sie Ihren Azure AD B2C-Mandanten

Besuchen Sie docs.datawiza.com, um:

1. Erfahren Sie, wie Sie Ihre Webanwendung in einem Azure AD B2C-Mandanten registrieren und einen Registrierungs- und Anmeldebenutzerablauf konfigurieren. Weitere Informationen finden Sie unter Azure AD B2C.

2. Konfigurieren Sie einen Benutzerfluss im Azure-Portal.

Erstellen einer Anwendung in DCMC

1. Erstellen Sie in DCMC eine Anwendung, und generieren Sie ein Schlüsselpaar von PROVISIONING_KEY und PROVISIONING_SECRET für diese Anwendung. Siehe Datawiza Cloud Management Console.

2. Konfigurieren sie idP mit Azure AD B2C. Siehe Teil I: Azure AD B2C-Konfiguration.

   

Ausführen von DAB mit einer headerbasierten Anwendung

Sie können Docker oder Kubernetes verwenden, um DAP auszuführen. Verwenden Sie das Docker-Image für Benutzer, um eine Beispielheader-basierte Anwendung zu erstellen.

Weitere Informationen zur Konfiguration der DAP- und SSO-Integration finden Sie unter Deploy Datawiza Access Proxy With Your App

Es wird ein Docker-Beispielimage docker-compose.yml file bereitgestellt. Melden Sie sich bei der Containerregistrierung an, um DAP-Images und die headerbasierte Anwendung herunterzuladen.

1. Stellen Sie den Datawiza-Zugriffsproxy mit Ihrer App bereit.

   version: '3'
   
   services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
     - "9772:9772"
   environment:
     PROVISIONING_KEY: #############################
     PROVISIONING_SECRET: #############################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   container_name: ab-demo-header-app
   restart: always
   environment:
     CONNECTOR: B2C
   ports:
     - "3001:3001"
   

2. Die headerbasierte Anwendung hat SSO mit Azure AD B2C aktiviert.

3. Öffnen Sie einen Browser, und geben Sie ein http://localhost:9772/.

4. Es wird eine Azure AD B2C-Anmeldeseite angezeigt.

Übergeben von Benutzerattributen an die headerbasierte Anwendung

DAB ruft Benutzerattribute von IdP ab und übergibt sie mit Header oder Cookie an die Anwendung. Nachdem Sie Benutzerattribute konfiguriert haben, wird das grüne Häkchen für Benutzerattribute angezeigt.

Weitere Informationen: Übergeben Sie Benutzerattribute wie E-Mail-Adresse, Vorname und Nachname an die kopfzeilenbasierte Anwendung.

Testen des Flows

1. Navigieren Sie zur lokalen Anwendungs-URL.
2. Der DAP leitet zu der Seite um, die Sie in Ihrem Benutzerablauf konfiguriert haben.
3. Wählen Sie in der Liste den Identitätsanbieter aus.
4. Geben Sie an der Eingabeaufforderung Ihre Anmeldeinformationen ein. Schließen Sie bei Bedarf ein mehrstufiges Microsoft Entra-Authentifizierungstoken ein.
5. Sie werden zu Azure AD B2C umgeleitet, das die Anwendungsanforderung an den DAP-Umleitungs-URI weiterleitet.
6. Der DAB wertet Richtlinien aus, berechnet Kopfzeilen und leitet den Benutzer an die Upstream-Anwendung weiter.
7. Die angeforderte Anwendung wird angezeigt.

Nächste Schritte

• Benutzerdefinierte Richtlinien in Azure AD B2C
• Erste Schritte mit benutzerdefinierten Richtlinien in Azure AD B2C