Microsoft SSO

Следующие шаги описывают состояние служб Microsoft на момент создания этой инструкции. Интерфейс платформы идентификации Microsoft может меняться, поэтому для получения наиболее актуальной информации обращайтесь к официальным источникам и их официальному видеоруководству.

Чтобы войти в Security Center через платформу идентификации Microsoft, выполните следующие действия:

  1. Перейдите на сайт Microsoft Entra по ссылке

  2. Перейдите в раздел Application -> App registrations и зарегистрируйте новое приложение

  1. Вы увидите следующее окно, в котором нужно скопировать содержимое строки Application (client) ID:

  1. Создайте клиентский секрет на вкладке "Certificates & secrets":

  1. Скопируйте URL метаданных сервера.

Используйте данные, созданные для вашего приложения, для настройки интеграции SSO ASecurity Center:

  • Домен: login.microsoftonline.com

  • ID клиента: <Application (client) ID>

  • Клиентский секрет: <Значение>

  • URL метаданных сервера: <Документ метаданных OpenID Connect>

Сопоставление ролей Microsoft

Чтобы создать сопоставление ролей на нашем портале, выполните следующие действия:

  1. Создайте пользовательские роли для приложения

Перейдите в раздел Applications -> App registrations -> <Созданное приложение> -> App roles и создайте здесь все необходимые роли

  1. Теперь вы сможете назначать пользователей/группы на роли приложения

Например, выберите группу со всеми коллегами из ИТ-отдела и назначьте их на только что созданную роль

  1. Настройте сопоставление ролей для вашего SSO-соединения. Поле "JSON-ключ в JWT-токене со списком внешних групп" должно быть равно роли для этой интеграции.

Интеграция работает только со значением «роли». Мы знаем, что Microsoft предоставляет руководство с четко отображаемым ключом «groups». Подробнее об этой особенности можно узнать из видео

  1. Если сопоставление не было настроено ранее, то при первом входе в систему с помощью системы единого входа (SSO) в настройках SSO будет отображен список ролей, полученных от Microsoft под именем External Group Name. Вы можете настроить эти роли, создав сопоставления. Для этого добавьте соответствующие роли Security Center для каждой группы из этого списка.

Если на стороне Microsoft появятся новые роли, они также будут отображаться как несопоставленные при первом входе в систему, и их нужно будет сопоставить позже.

Last updated