paint-brush
Điều hướng Tích hợp Microsoft Entra ID cho Slack, MongoAtlas, Salesforce, v.v.từ tác giả@socialdiscoverygroup
1,002 lượt đọc
1,002 lượt đọc

Điều hướng Tích hợp Microsoft Entra ID cho Slack, MongoAtlas, Salesforce, v.v.

từ tác giả Social Discovery Group9m2023/12/27
Read on Terminal Reader

dài quá đọc không nổi

Microsoft Entra ID là một giải pháp thân thiện với người dùng để quản lý danh tính và quyền truy cập. Tuy nhiên, bất chấp những hướng dẫn tỉ mỉ từ nhà cung cấp, các chuyên gia vẫn thường gặp phải vấn đề khi định cấu hình tích hợp với các nền tảng như Slack, Salesforce hoặc Datadog. Nhóm SDG cũng phải đối mặt với những thách thức này và trong bài viết này, chúng tôi sẽ cung cấp thông tin chi tiết về cách điều hướng và giải quyết chúng.
featured image - Điều hướng Tích hợp Microsoft Entra ID cho Slack, MongoAtlas, Salesforce, v.v.
Social Discovery Group HackerNoon profile picture
0-item


Trong thời đại công nghệ đám mây phát triển nhanh chóng, trong đó Cơ sở hạ tầng dưới dạng Dịch vụ (IaaS) và Nền tảng dưới dạng Dịch vụ (PaaS) không thể thiếu trong nhiều dự án, nhu cầu tích hợp liền mạch các dịch vụ đám mây đa dạng là không thể phủ nhận. Microsoft, một công ty lớn trong lĩnh vực này, đã đầu tư thời gian đáng kể vào việc tạo ra dịch vụ Microsoft Entra ID thân thiện với người dùng. Tuy nhiên, bất chấp những hướng dẫn tỉ mỉ từ nhà cung cấp, các chuyên gia vẫn thường gặp phải vấn đề khi định cấu hình tích hợp với các nền tảng như Slack, Salesforce hoặc Datadog. Tài liệu không cung cấp câu trả lời cho các câu hỏi cụ thể.


Nhóm Nhóm Khám phá Xã hội cũng phải đối mặt với những thách thức này và trong bài viết này, chúng tôi sẽ cung cấp thông tin chi tiết về cách điều hướng và giải quyết chúng.

Trong danh mục hơn 50 nền tảng hẹn hò của mình, Social Discovery Group sử dụng nhiều công nghệ và dịch vụ đám mây khác nhau để đảm bảo tính bảo mật và độ tin cậy của chúng. Chúng tôi có nhiều kinh nghiệm trong việc tích hợp và định cấu hình các hệ thống khác nhau, bao gồm các kết nối ngang hàng giữa các đám mây khác nhau.


Microsoft Entra ID là giải pháp đám mây để quản lý danh tính và quyền truy cập, đóng vai trò là dịch vụ thư mục và xác thực hoạt động trên đám mây. Microsoft Entra ID cung cấp dịch vụ xác thực và ủy quyền cho nhiều dịch vụ khác nhau của Microsoft và không phải của Microsoft. Trong bài viết này, chúng ta sẽ khám phá sự tích hợp của các hệ thống đám mây sau: Slack, MongoAtlas, ElasticCloud, Salesforce và Datadog.


chùng xuống

Do không có hướng dẫn chính xác, chúng tôi quyết định tạo hướng dẫn của riêng mình, trình bày chi tiết tất cả những vấn đề đau đầu nảy sinh trong quá trình thực hiện. Vì vậy, hãy điều hướng đến phần "Ứng dụng doanh nghiệp" trong Azure.

Ứng dụng doanh nghiệp, Azure


Cần phải tạo một ứng dụng công ty mới (việc này có thể được thực hiện chỉ bằng vài cú nhấp chuột). Tiếp theo, truy cập ứng dụng chúng tôi vừa tạo và định cấu hình Đăng nhập một lần – SAML. Thực hiện thay đổi từ trên xuống dưới:


  1. Mã định danh: https://slack.com
  2. URL trả lời: https://<DOMAIN NAME>.slack.com/sso/saml (trong trường hợp bạn có ent Grid – https://<DOMAIN NAME>.enterprise.slack.com/sso/saml )
  3. URL đăng nhập: https://<DOMAIN NAME>.slack.com/sso/saml/start
  4. URL đăng xuất: https:// <DOMAIN NAME>.slack.com/sso/saml/logout

Tạo vai trò "Thành viên" (hoặc chọn tên khác). Tiếp theo, tạo người dùng thử nghiệm trong Microsoft Entra ID và thêm họ vào ứng dụng của chúng tôi. Sau đó, đi tới Trung tâm quản trị trong Slack. Thực hiện theo các bước: Quản trị viên Slack - Xác thực - Cấu hình SAML - Định cấu hình


Trung tâm quản trị ở Slack


Bước tiếp theo là định cấu hình SAML. Chúng tôi khuyên bạn nên chú ý đến cài đặt "Tên hiển thị". Hơn nữa, trong cài đặt, bỏ chọn "Cập nhật hồ sơ khi đăng nhập", không cho phép thay đổi địa chỉ email và Tên hiển thị.

Cấu hình SAML


Ngoài ra còn có tùy chọn tùy chỉnh văn bản trên nút đăng nhập và cấm người dùng đăng nhập bằng bất kỳ phương thức nào khác ngoại trừ SSO. Sau này, bạn sẽ có thể đăng nhập vào Slack bằng tài khoản Microsoft của mình. Nếu cần bất kỳ trường hoặc cài đặt bổ sung nào, việc này có thể được thực hiện thông qua Cung cấp Azure AD.


Cung cấp Azure AD


Cung cấp Azure AD


Để thêm thuộc tính mới, hãy chuyển đến Thuộc tính người dùng và chọn Thêm bản đồ mới. Chọn thuộc tính nguồn mong muốn mà bạn muốn hiển thị trong Slack và liên kết nó với thuộc tính Slack tương ứng.


Thuộc tính người dùng

Thuộc tính người dùng


Sau khi thêm các thuộc tính cần thiết và lưu cài đặt, hãy tiến hành Cung cấp theo yêu cầu để kiểm tra chức năng. Khi có kết quả tích cực, bạn sẽ nhận được những điều sau:


Cung cấp theo yêu cầu, kết quả thành công


Tiếp theo, bạn cần truy cập Slack và chỉ định những thuộc tính nào sẽ hiển thị trong hồ sơ người dùng hoàn chỉnh và nơi lấy chúng. Đi tới Hồ sơ và chọn thông tin sẽ được hiển thị cũng như nơi thông tin sẽ được lấy từ đó. Trong trường hợp này, SCIM tương ứng với Azure AD.


Hồ sơ Slack


Hồ sơ Slack


Tiếp theo, chúng tôi khuyên bạn nên thêm những người dùng cần thiết từ Active Directory vào Slack để trải nghiệm quá trình tích hợp liền mạch. Chúng tôi cũng muốn lưu ý đến một vấn đề gặp phải khi xóa người dùng: nếu người dùng bị xóa thủ công khỏi Slack (thông qua trung tâm quản trị Slack), lỗi sẽ vẫn tồn tại, cho biết rằng người dùng không thể được chuyển sang Slack do không đủ quyền. Điều này xảy ra do Entra ID giữ lại thông tin về người dùng trong phạm vi và gán cho họ một ID duy nhất. Việc xóa và thêm lại người dùng trong Slack được Entra ID coi là người dùng mới, dẫn đến các vấn đề về quyền trong quá trình cập nhật.


Kiểm tra tài liệu ở đây .


MongoAtlas

Đối với MongoAtlas, quá trình này đi theo một lộ trình tương tự. Bạn cũng sẽ cần tạo một ứng dụng công ty mới; để dễ dàng, hãy nhập "MongoDB Atlas — SSO" vào trường tìm kiếm. Hướng dẫn chi tiết hơn có thể được tìm thấy ở đây.


Tiếp theo, tiến hành cài đặt Đăng nhập một lần, tại đây bạn sẽ cần nhập thông tin sau:

  1. Trong trường văn bản "Mã định danh", hãy nhập URL bằng mẫu sau: https://www.okta.com/saml2/service-provider/<Customer_Unique>

  2. Trong trường văn bản "URL phản hồi", hãy nhập URL bằng mẫu:

    https://auth.mongodb.com/sso/saml2/<Customer_Unique>

  3. Trong trường văn bản "URL đăng nhập", hãy nhập URL bằng mẫu: https://cloud.mongodb.com/sso/<Customer_Unique>

Chúng tôi khuyên bạn nên chú ý đến phần Thuộc tính và định cấu hình nó như trong ảnh chụp màn hình bên dưới (điều cần thiết là phải thêm "memberOf").


Phần thuộc tính


Tiếp theo, trên trang "Thiết lập đăng nhập một lần bằng SAML", hãy đi tới phần "Chứng chỉ ký SAML" và tìm siêu dữ liệu XML cho liên kết. Chọn "Tải xuống" để tải xuống chứng chỉ và lưu chứng chỉ cục bộ (XML siêu dữ liệu liên kết). Chúng ta sẽ cần nó sau trong MongoDB Atlas.


Chứng chỉ SAML


Thiết lập MongoDB Atlas - SSO


Trong phần "Thiết lập MongoDB Atlas — SSO", hãy sao chép các URL tương ứng. Tiếp theo, điều hướng đến MongoDB Atlas -> Tổ chức -> Cài đặt -> Cài đặt xác thực liên kết .


Cài đặt xác thực liên kết


Bắt đầu bằng cách thêm nhà cung cấp thông tin xác thực Microsoft Entra ID vào Atlas. Nhập các URL tương ứng được đề cập ở bước trước từ cổng Microsoft (URI nhà phát hành, URL đăng nhập, URL đăng nhập một lần) , tải lên Chứng chỉ chữ ký nhà cung cấp danh tính và định cấu hình các cài đặt còn lại như hiển thị trong ảnh chụp màn hình bên dưới .


Chứng chỉ chữ ký của nhà cung cấp nhận dạng


Nhấp vào "Tiếp theo" và lưu tệp siêu dữ liệu cục bộ vì bạn sẽ cần tải tệp siêu dữ liệu này lên sau trong Azure trên trang cấu hình Đăng nhập một lần.


Xác thực tên miền


Tiếp theo, thêm, ánh xạ và xác thực miền, chẳng hạn như sử dụng bản ghi TXT tương ứng được tạo trong MongoDB Atlas. Sau đó, liên kết miền của bạn với nhà cung cấp thông tin xác thực và chuyển sang phần thú vị nhất: cấu hình vai trò.


Nhà cung cấp nhận dạng


Chúng tôi đã tạo các vai trò sau làm ví dụ, mỗi vai trò có các quyền cụ thể được cấp cho dự án. Sau đó, bạn cần ánh xạ các vai trò này tới các vai trò Azure. Đi tới "Vai trò ứng dụng" cho ứng dụng của bạn, tạo và thêm vai trò có giá trị khớp chính xác với tên bạn vừa gán cho các vai trò này trong MongoAtlas.


Ánh xạ vai trò


Vai trò ứng dụng


Sau đó, thêm người dùng vào ứng dụng trong Ứng dụng Microsoft Entra ID Enterprise và gán cho họ các vai trò thích hợp. Kích hoạt "Đăng nhập bằng Azure SSO" trong phần Quản lý liên kết trong MongoDB Atlas và xác minh hoạt động chính xác của cài đặt đã định cấu hình.

Tham khảo tài liệu tại đây để được hướng dẫn chi tiết hơn.

Đám mây đàn hồi

Hãy chuyển sang phần tích hợp với Elastic Cloud. Các bước cơ bản để tạo ứng dụng trong Enterprise Application Entra ID tương tự như các bước trước. Ở đó, bạn có thể tìm thấy thông tin về nơi lấy URL nhận dạng hoặc URL đăng xuất. Tuy nhiên, chúng tôi gặp phải sự cố với các thuộc tính nên chúng tôi sẽ cung cấp ảnh chụp màn hình về cấu hình hoạt động của chúng tôi.


Đám mây đàn hồi, thuộc tính


Thuộc tính


Chúng tôi đã tạo hai vai trò - người đọc và siêu người dùng.


Vai trò


Tại đây, bạn có thể tạo bao nhiêu vai trò tùy thích. Cài đặt vai trò trong Elaticsearch được định cấu hình trong Ánh xạ vai trò và trông như sau:


Ánh xạ vai trò


Bây giờ đến phần thú vị. Hai việc cần phải làm: thêm cấu hình Azure SSO cho Kibana và Elaticsearch. Để đạt được điều này, hãy làm theo các bước sau:

  1. Điều hướng đến phần chỉnh sửa trong quá trình triển khai Elaticsearch Cloud của bạn để cập nhật cấu hình elasticsearch.yml. Thêm các dòng sau:


“ xpack:

security:

authc:

realms:

saml:

saml-azure-ad:

order: 2

attributes.principal: "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"

attributes.groups: "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role"

attributes.name: "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"

attributes.mail: "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"

idp.metadata.path: "APP Federation metadata URL"

idp.entity_id: "Azure Entra ID Identifier"

sp.entity_id: "Kibana endpoint"

sp.acs: "Kibana endpoint/api/security/v1/saml"

sp.logout: "Kibana endpoint/logout" “

Sau khi thêm và sửa đổi các giá trị được đánh dấu màu đỏ để phù hợp với cấu hình của bạn, hãy nhấp vào "Lưu". Elastic Cloud sẽ xác thực tất cả các thay đổi và bắt đầu cập nhật cụm. Quá trình này có thể mất một vài phút.

  1. Sau khi hoàn thành thành công bước trước, bạn cần chỉnh sửa cấu hình kibana.yml để cho phép đăng nhập từ Microsoft Entra ID ngoài thông tin đăng nhập mặc định. Để thực hiện việc này, hãy thêm các dòng sau vào cài đặt:

“ xpack.security.authc.providers:

saml.saml1:

order: 0

realm: saml-azure-ad

description: "Log in with Azure Entra ID"

basic.basic1:

order: 1 ”

Sau khi hoàn thành hai bước trước, một tùy chọn đăng nhập khác sẽ có sẵn trên trang đăng nhập Kibana của bạn. Tiếp theo, tiến hành thêm người dùng vào ứng dụng trong Ứng dụng Microsoft Entra ID Enterprise và chỉ định cho họ những vai trò cần thiết.


Tham khảo tài liệu ở đây để biết thêm thông tin.



Lực lượng bán hàng

Việc tích hợp với Salesforce phức tạp hơn một chút so với những lần trước. Các bước ban đầu cũng tương tự nhưng cần chú ý đến phần Cung cấp. Có nhiều sắc thái liên quan đến việc chỉ định thông tin xác thực của quản trị viên mà theo đó quá trình đồng bộ hóa tài khoản sẽ diễn ra và việc bật Ánh xạ thuộc tính là cần thiết.


Ánh xạ thuộc tính


Dưới đây là ví dụ về cài đặt cấu hình của chúng tôi trong ảnh chụp màn hình. Chúng tôi không gặp phải bất kỳ vấn đề nghiêm trọng nào với các thuộc tính nhưng chúng tôi cũng sẽ cung cấp ảnh chụp màn hình về những thuộc tính chúng tôi đã sử dụng.


Thuộc tính & Yêu cầu


Bản thân trong Salesforce, không có bất kỳ sắc thái cụ thể nào và chúng tôi đã tiến hành các bước sau như được nêu trong hướng dẫn này.


Cơ quan dữ liệu

Trong quá trình tích hợp với Datadog, chúng tôi cũng gặp phải một số vấn đề. Bạn có thể tìm thấy tài liệu chính hướng dẫn chúng tôi tại đây . Để biết các sắc thái khắc phục sự cố, chúng tôi đã tham khảo hướng dẫn này .


Mọi việc bắt đầu suôn sẻ và ban đầu tưởng chừng như không có vấn đề gì. Như thường lệ, chúng tôi đã tạo Ứng dụng doanh nghiệp mới trong Microsoft Entra ID.


Ứng dụng doanh nghiệp trong Microsoft Entra ID


Trong phần "Thiết lập đăng nhập một lần bằng SAML", hãy chú ý đến vị trí bạn đã chọn cho tài khoản Datadog của mình. Trong trường hợp của chúng tôi, đó là khu vực Châu Âu.


Thiết lập đăng nhập một lần với SAML


Như đã đề cập trước đó, đối với MongoAtlasDB, chúng tôi thêm thuộc tính bổ sung "memberOf" để ánh xạ vai trò.


Thuộc tính bổ sung "memberOf"


Lưu tất cả các cài đặt và tải xuống XML siêu dữ liệu liên kết. Tải tệp này lên cài đặt SAML trong Datadog. Đây là một liên kết thuận tiện để tham khảo. Cài đặt SAML của Datadog (thay thế "EU" bằng vùng miền thích hợp nếu vị trí của bạn khác). Nó sẽ trông giống như ảnh chụp màn hình bên dưới.


Cài đặt SAML của cơ quan dữ liệu


Trong cài đặt Phương thức đăng nhập của tổ chức, chỉ giữ lại những gì cần thiết (trong trường hợp của tôi, tôi đã tắt tính năng đăng nhập bằng mật khẩu và Xác thực Google). Thêm vai trò trong Azure khi đăng ký ứng dụng cho Microsoft Entra ID.


Vai trò trong việc đăng ký ứng dụng


Đây là phần thú vị nhất. Điều hướng đến Ánh xạ nhóm SAML -> Ánh xạ vai trò trong Datadog và thêm khóa, giá trị và vai trò. Nó có vẻ đơn giản. Xem ảnh chụp màn hình bên dưới.


Ánh xạ vai trò trong Datadog


Nhưng nó không hoạt động và liên tục báo lỗi "Không có AuthNMappings cho người dùng này".


Lỗi cơ quan dữ liệu


Trong một thời gian dài, chúng tôi đã cố gắng tìm hiểu xem mình đã làm gì sai, xem xét tất cả tài liệu, nhật ký và các trang khắc phục sự cố. Thật không may, không có đề cập đến điều này ở bất cứ đâu. Cuối cùng, giải pháp rất đơn giản: hãy làm theo cấu hình hiển thị trong ảnh chụp màn hình bên dưới.


Khóa thuộc tính Datadog


Trong trường KEY, nhập chuỗi: http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Sau khi làm điều này, mọi thứ bắt đầu hoạt động thành công.


"Đây chỉ là một phần nhỏ trong các hệ thống mà chúng tôi đã tích hợp với Microsoft Entra ID. Chúng tôi hy vọng rằng những hiểu biết sâu sắc được chia sẻ ở đây sẽ đóng vai trò là tài nguyên hữu ích, hợp lý hóa quy trình tích hợp của bạn và tiết kiệm thời gian quý báu. Tóm lại, những lợi ích sau đây khi sử dụng Microsoft ID Entra có thể được làm nổi bật: Đăng nhập một lần, không yêu cầu nhập mật khẩu nhiều lần; không yêu cầu thành phần bổ sung; dễ cấu hình và quản trị; chính sách nhóm và nhóm; đăng ký thiết bị; và bảo mật cấp cao.