Azure SSO SAML

使用Azure配置单点登录(SSO),以验证和控制用户对Insight Platform的访问。dota2必威联赛您可以为注册到Insight Platform的新用户创建具有指定权限级别的默认配置文件模板。dota2必威联赛

在你开始之前

为了配置Azure SSO SAML,您必须拥有Azure管理员权限和Rapid7 Platform管理员权限。

配置Azure SSO SAML

步骤1:在Azure中添加应用程序并管理用户

  1. 在Azure中,导航到企业应用程序>新的应用程序>创建自己的应用程序
  2. 在屏幕右侧的应用程序向导中,为应用程序指定一个可识别的名称,例如“Rapid7”。选择选项“集成你在图库中找不到的任何其他应用程序”,然后点击创建
  3. 通过导航到添加用户用户和组在左边的菜单中点击添加用户/组.按照向导的说明将用户添加到应用程序中。Azure要求添加一个用户,以便您的组织成员登录到Rapid7。你还应该注意:
    • 您可以添加系统中已经存在的用户,或者使用默认配置文件创建新用户。
    • 任何能够访问Azure实例的人也能够访问Insight平台,即使他们在平台中没有现有的配置文件。dota2必威联赛用户将被创建并分配给默认策略。

步骤2:在Azure中添加证书

  1. 在Azure中,导航到单点登录在左边的菜单中选择SAML
  2. 在Azure SAML配置的第3节中,单击添加一个证书.您需要生成一个可以导入到Rapid7 Insight Platform的证书。dota2必威联赛选择这些设置:
    • 签名选项:设置为签名SAML响应和断言
    • 签名算法:leave assha - 256
    • 点击+新的证书>保存Azure SSO证书
  3. 点击证书拇指指纹旁边的省略号,下载“Base64证书”。

步骤3:在Insight Platform中开启单点dota2必威联赛登录

  1. 在洞察平台,导dota2必威联赛航到设置>身份验证设置>SSO的设置
  2. 通过单击启用切换。
  3. 添加证书.拖放从Azure下载的证书,或者单击浏览查找文件并上传。

您将看到绿色的复选标记,以确认上传已完成。如果您看到红色的错误消息,请按照中说明操作步骤2:在Azure中添加证书生成新的证书,然后将其上传到Insight Platform。dota2必威联赛

步骤4:配置Azure SSO设置

  1. 导航回Azure SAML配置。
  2. 在第1节中,单击编辑设置这些设置:
    • 标识符(实体ID):复制并粘贴在Rapid7平台单点登录设置页面上的“受众URL”。
    • 回复URL (Assertion Consumer Service URL):从Rapid7平台单点登录设置页面复制粘贴“ACS URL”。
    • 中继状态:从Rapid7平台单点登录设置页面复制粘贴“默认中继状态URL”。
    • 新闻保存Azure SSO设置
  3. 在第2节(用户属性和声明)中,单击编辑设置这些设置:
    • 要求(唯一用户标识符-名称ID):这些设置可以保持不变。
    • 用户。邮件:删除名称空间值,使其为空。将名字从"Email address"改为"Email"。新闻保存
    • 用户。Givenname:删除命名空间值,使其为空。将名字从“given name”改为“FirstName”。新闻保存
    • 用户。姓氏:删除名称空间值,使其为空。把名字从“姓氏”改为“姓氏”。新闻保存
  4. 返回到SAML配置。

步骤5:在Insight平台上建立Azure SSOdota2必威联赛

  1. 返回Insight Platform,进入dota2必威联赛“SSO设置”界面。
  2. 在Azure SAML配置的第4节中,复制“Azure AD Identifier”。在Insighdota2必威联赛t Platform中,将此值粘贴到“发行者URL”字段。
  3. 在Azure企业应用程序中,导航到属性,复制“用户访问URL”。在Insighdota2必威联赛t Platform中,将此值粘贴到“Single Sign-On URL”字段中。Azure SSO属性
  4. 通过Rapid7平台单点登录配置页面的步骤5,您可以为登录平台的新用户创建默认配置文件模板。新用户将根据您在此处指定的权限级别自动分配对产品的访问权限。
  5. 点击提交

验证您的配置

通过从Rapid7应用程序登录来测试Azure的登录流,以验证连接是否成功。

禁用SSO

在Insight Platform上禁用SSdota2必威联赛O,请按照以下步骤操作:

  1. 在洞察平台,导dota2必威联赛航到我的账户>SSO的设置
  2. 将按钮切换为“禁用SSO”。Azure SSO禁用按钮

进行故障排除

下面是一些可能的错误以及如何排除它们。

令牌错误

  1. 再次从SAML页面上的Azure下载“base64证书”。按照中说明将该文件重新加载到Insight平台dota2必威联赛步骤3:在Insight Platform中开启单点dota2必威联赛登录
  2. 尝试测试其他用户。

400请求错误

  1. 确保您已经删除了Azure SAML配置的“User Attribute and Claims”部分中的名称空间值步骤4:配置Azure SSO设置Azure SSO 400错误
  2. 检查您是否选择了“SAML响应和断言”签名选项步骤2:在Azure中添加证书.如果没有选择此选项,请按照以下步骤生成具有正确设置的新证书。
  3. 如果所有数据看起来都是正确的,尝试登录到你在应用程序库中创建的Rapid7应用程序。

其他错误

如果你不能识别问题,创建一个新的应用程序,并遵循以下步骤Azure SSO配置一次。