Samouczek: konfigurowanie usługi Azure Active Directory B2C z usługą Datawiza w celu zapewnienia bezpiecznego dostępu hybrydowego

Z tego samouczka dowiesz się, jak zintegrować Azure Active Directory B2C (Azure AD B2C) z Datawiza Access Proxy (DAP), co umożliwia SSO oraz szczegółową kontrolę dostępu, pomagając Azure AD B2C chronić lokalne aplikacje starszej generacji. Dzięki temu rozwiązaniu przedsiębiorstwa mogą przejść ze starszej wersji do usługi Azure AD B2C bez ponownego pisania aplikacji.

Wymagania wstępne

Aby rozpocząć pracę, potrzebne są następujące elementy:

• Subskrypcja firmy Microsoft Entra
  • Jeśli go nie masz, możesz uzyskać bezpłatne konto platformy Azure
• dzierżawa usługi Azure AD B2C połączona z subskrypcją platformy Azure
• Platforma Docker, otwarta platforma do tworzenia, wysyłania i uruchamiania aplikacji, jest wymagana do uruchamiania języka DAB
  • Aplikacje mogą działać na platformach, takich jak maszyna wirtualna i bez systemu operacyjnego
• Aplikacja lokalna do przejścia ze starszego systemu tożsamości do usługi Azure AD B2C
  • W tym samouczku język DAB jest wdrażany na tym samym serwerze co aplikacja
  • Aplikacja działa na hoście lokalnym: 3001, a serwery proxy DAP kierują ruch do aplikacji za pośrednictwem hosta lokalnego: 9772
  • Ruch aplikacji najpierw dociera do DAB, a następnie jest kierowany do aplikacji

Opis scenariusza

Integracja z usługą Datawiza obejmuje następujące składniki:

• Azure AD B2C: serwer autoryzacji do weryfikowania poświadczeń użytkownika
  • Uwierzytelnieni użytkownicy uzyskują dostęp do aplikacji lokalnych przy użyciu konta lokalnego przechowywanego w katalogu usługi Azure AD B2C
• Datawiza Access Proxy (DAP): usługa przekazująca tożsamość do aplikacji za pośrednictwem nagłówków HTTP
• Datawiza Cloud Management Console (DCMC): konsola zarządzania dla DAB. Interfejs użytkownika DCMC i interfejsy API RESTful pomagają w zarządzaniu konfiguracjami DAB i zasadami kontroli dostępu.

Poniższy diagram architektury przedstawia implementację.

1. Użytkownik żąda dostępu do aplikacji lokalnej. Serwer proxy DAB przekazuje żądanie do aplikacji.
2. DaP sprawdza stan uwierzytelniania użytkownika. Bez tokenu sesji lub nieprawidłowego tokenu użytkownik przechodzi do usługi Azure AD B2C na potrzeby uwierzytelniania.
3. Usługa Azure AD B2C wysyła żądanie użytkownika do punktu końcowego określonego podczas rejestracji DAP w dzierżawie usługi Azure AD B2C.
4. DaP ocenia zasady dostępu i oblicza wartości atrybutów w nagłówkach HTTP przekazywanych do aplikacji. DAP może wywołać dostawcę tożsamości (IdP), aby pobrać informacje w celu ustawienia wartości nagłówka. DaP ustawia wartości nagłówka i wysyła żądanie do aplikacji.
5. Użytkownik jest uwierzytelniany przy użyciu dostępu do aplikacji.

Dołączanie za pomocą usługi Datawiza

Aby zintegrować starszą aplikację lokalną z usługą Azure AD B2C, skontaktuj się z usługą Datawiza.

Konfigurowanie dzierżawy usługi Azure AD B2C

Przejdź do docs.datawiza.com, aby:

1. Dowiedz się, jak zarejestrować swoją aplikację internetową w koncie Azure AD B2C i skonfigurować przepływ użytkownika dla rejestracji i logowania. Aby uzyskać więcej informacji, zobacz Azure AD B2C.

2. Konfigurowanie przepływu użytkownika w witrynie Azure Portal.

Utwórz aplikację w DCMC

1. W DCMC utwórz aplikację i wygeneruj parę kluczy PROVISIONING_KEY i PROVISIONING_SECRET dla tej aplikacji. Zobacz Datawiza Cloud Management Console.

2. Konfigurowanie dostawcy tożsamości przy użyciu usługi Azure AD B2C. Zobacz Część I: Konfiguracja usługi Azure AD B2C.

   

Uruchom DAB z aplikacją wykorzystującą nagłówki

Do uruchamiania języka DAP można użyć platformy Docker lub Kubernetes. Użyj obrazu platformy Docker dla użytkowników, aby utworzyć przykładową aplikację opartą na nagłówkach.

Dowiedz się więcej: Aby skonfigurować integrację DAP i logowania jednokrotnego, zobacz Wdróż serwer proxy dostępu Datawiza za pomocą swojej aplikacji

Przykładowy obraz dockera docker-compose.yml file jest dostępny. Zaloguj się do rejestru kontenerów, aby pobrać obrazy DAP i aplikację opartą na nagłówkach.

1. Wdróż serwer proxy dostępu do usługi Datawiza za pomocą aplikacji.

   version: '3'
   
   services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
     - "9772:9772"
   environment:
     PROVISIONING_KEY: #############################
     PROVISIONING_SECRET: #############################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   container_name: ab-demo-header-app
   restart: always
   environment:
     CONNECTOR: B2C
   ports:
     - "3001:3001"
   

2. Aplikacja oparta na nagłówkach ma włączone logowanie jednokrotne w usłudze Azure AD B2C.

3. Otwórz przeglądarkę i wprowadź ciąg http://localhost:9772/.

4. Pojawi się strona logowania usługi Azure AD B2C.

Przekazywanie atrybutów użytkownika do aplikacji opartej na nagłówkach

DAB pobiera atrybuty użytkownika z dostawcy tożsamości i przekazuje je do aplikacji za pomocą nagłówka lub pliku cookie. Po skonfigurowaniu atrybutów użytkownika pojawi się zielony znacznik potwierdzenia.

Dowiedz się więcej: Przekaż atrybuty użytkownika , takie jak adres e-mail, imię i nazwisko, do aplikacji korzystającej z nagłówków.

Testowanie przepływu

1. Przejdź do adresu URL aplikacji lokalnej.
2. DaP przekierowuje do strony skonfigurowanej w przepływie użytkownika.
3. Z listy wybierz IdP (dostawcę tożsamości).
4. Po wyświetleniu komunikatu wprowadź swoje poświadczenia. W razie potrzeby dołącz token uwierzytelniania wieloskładnikowego firmy Microsoft.
5. Nastąpi przekierowanie do usługi Azure AD B2C, która przekazuje żądanie aplikacji do identyfikatora URI przekierowania DAP.
6. DaB ocenia zasady, oblicza nagłówki i wysyła użytkownika do aplikacji nadrzędnej.
7. Zostanie wyświetlona żądana aplikacja.

Dalsze kroki

• Niestandardowe zasady w usłudze Azure AD B2C
• Rozpocznij pracę z niestandardowymi politykami w usłudze Azure AD B2C