Single Sign-On

Glasswall Halo ay maaaring i-configure upang paganahin ang Single Sign-On (SSO) gamit ang OpenID Connect (OIDC).

Ang SSO ay isang paraan ng authentication na nagbibigay-daan sa mga user na mag-sign in gamit ang iisang set ng credentials sa maraming magkakahiwalay na software system. Ang paggamit ng SSO ay nangangahulugang hindi na kailangang mag-sign in ang user sa bawat application na ginagamit nila.

Nasa ibaba ang impormasyon kung paano i-configure ang SSO sa loob ng iyong Glasswall Halo solution gamit ang Microsoft Entra ID bilang provider ng identity and access management (IAM).

Sa prinsipyo, anumang IAM solution na nag-aalok ng OIDC ay maaaring i-configure upang suportahan ang SSO para sa Glasswall Halo.

Mga paunang kinakailangan para sa integrasyon ng Microsoft Entra ID

Kinakailangan ang isang Microsoft enterprise agreement para sa isang Microsoft Entra ID account upang mapagana ang opsyong ito ng SSO.
Dapat i-configure ang isang domain name para sa Halo portal (portal service) upang magamit ang SSO authentication.
Kinakailangan ang Azure App Registrations tuwing kailangang paganahin ang SSO authentication gamit ang Microsoft Entra ID.
Three App Registrations must be created:
- Cdrplatform-API-access
- Cdrplatform-portal-access
- Cdrplatform-portal-client
Ang nakalakip na shell script ay tumutulong sa paggawa ng mga app registration na ito. Ilagay ang domain name na gusto mong gamitin para sa portal bilang argument sa script. Halimbawa:

bash create-azure-app-registrations.sh halo.glasswall.com

Ang enterprise application na ar-Halo-portal-client ay dapat mabigyan ng admin consent.

Configuration

I-enable ang Microsoft Entra ID API authentication

Para i-enable ang authentication na nakabatay sa Microsoft Entra ID, itakda ang configuration.authenticationscheme=bearer. Itakda rin ang mga variable na tenant_id, api_domain at valid_audiences habang dine-deploy ang Helm chart.

Tandaan: Itakda ang valid_audiences sa Application (client) ID ng app registration na cdrplatform-api-access (makikita sa Azure portal sa ilalim ng App registrations > Overview).

tenant_id=""
api_domain=""
valid_audiences=""  # Application (client) ID of the cdrplatform-api-access app registration (copy from Azure portal)

helm upgrade cdrplatform-api-access cdrplatform-api-access \
  --reuse-values \
  --set ingress.tls.enabled=true \
  --set ingress.tls.domain=${api_domain} \
  --set ingress.tls.secretName=tls-secret \
  --set configuration.AuthenticationScheme=Bearer \
  --set configuration.Authentication__Schemes__Bearer__ValidAudiences__0=${valid_audiences} \
  --set configuration.Authentication__Schemes__Bearer__ValidIssuer=https://sts.windows.net/${tenant_id}/ \
  --set configuration.Authentication__Schemes__Bearer__Authority=https://login.microsoftonline.com/${tenant_id}/v2.0/ \
  --atomic

Itakda ang mga variable na portal_domain, portal_client_id, tenant_id sa mga command sa ibaba.
Ang portal_domain ay ang domain na ginagamit para sa TLS sa portal service at ito rin ang domain na ginagamit sa cdrplatform-portal-client App Registration.

Ang portal_client_id ay ang application (client) ID ng cdrplatform-portal-client App Registration.

Kasama sa enabled_pages ang mga karagdagang page batay sa kung aling mga service ang na-deploy:

ICAP Server: idagdag ang IcapSettings,IcapRequests,IcapReporting
Storage Monitor: idagdag ang SharePointMonitoring,OneDriveMonitoring,OutlookMonitoring

portal_domain=""
portal_client_id=""
tenant_id=""
# Add pages based on deployed services:
#   + ICAP Server:     IcapSettings,IcapRequests,IcapReporting
#   + Storage Monitor: SharePointMonitoring,OneDriveMonitoring,OutlookMonitoring
enabled_pages="SystemSettings\,PolicySettings\,ValidationSettings"

helm upgrade cdrplatform-portal cdrplatform-portal \
  --reuse-values \
  --set ingress.tls.enabled=true \
  --set ingress.tls.domain=${portal_domain} \
  --set ingress.tls.secretName=tls-secret \
  --set configuration.BackendUrl="https://${portal_domain}" \
  --set configuration.EnabledPages=${enabled_pages} \
  --set configuration.OIDC.ProviderOptions.Authority="https://login.microsoftonline.com/${tenant_id}/v2.0" \
  --set configuration.OIDC.ProviderOptions.RedirectUri="https://${portal_domain}/authentication/login-callback" \
  --set configuration.OIDC.ProviderOptions.ClientId="${portal_client_id}" \
  --set configuration.OIDC.ProviderOptions.PostLogoutRedirectUri="https://${portal_domain}/authentication/logout-callback" \
  --atomic

Susunod, kailangang paganahin ng serbisyong portal access ang SSO authentication gamit ang Microsoft Entra ID.

Itakda ang mga variable na tenant_id, portal_domain at valid_audiences sa ibaba.

Tandaan: Itakda ang valid_audiences sa Application (client) ID ng app registration na cdrplatform-portal-access (makikita sa Azure portal sa ilalim ng App registrations > Overview).

tenant_id=""
portal_domain=""
valid_audiences=""  # Application (client) ID of the cdrplatform-portal-access app registration (copy from Azure portal)

helm upgrade cdrplatform-portal-access cdrplatform-portal-access \
  --reuse-values \
  --set ingress.tls.enabled=true \
  --set ingress.tls.domain=${portal_domain} \
  --set ingress.tls.secretName=tls-secret \
  --set configuration.AuthenticationScheme=Bearer \
  --set configuration.Authentication__Schemes__Bearer__ValidAudiences__0=${valid_audiences} \
  --set configuration.Authentication__Schemes__Bearer__ValidIssuer=https://sts.windows.net/${tenant_id}/ \
  --set configuration.Authentication__Schemes__Bearer__Authority=https://login.microsoftonline.com/${tenant_id}/v2.0/ \
  --atomic

Mga role ng user

Para magtalaga ng mga role sa mga user ng portal

Pumunta sa enterprise application na may pamagat na ar-cdrplatform-portal-access sa loob ng Microsoft Entra ID.

Tandaan: Ginagamit sa mga screenshot ang ar-cdrplatform-perf-portal-access bilang halimbawa.

Sso_1 Sso_2

Pumunta sa seksyong Users and groups at piliin ang Add user/group.

Sso_3

Piliin ang nais na user o group, pagkatapos ay piliin ang naaangkop na role.

Sso_4 Sso_5

I-click ang Assign.

Sso_6 Sso_7

Para magtalaga ng mga role sa mga user ng API

Pumunta sa enterprise application na may pamagat na ar-cdrplatform-API-access sa Microsoft Entra ID.
Mula sa seksyong Users and groups, i-click ang Add user/group.
Select the desired user or group, then choose the appropriate role.
- Matuto pa sa pamamagitan ng dokumentasyon ng Microsoft application management
I-click ang Assign.

Mga paunang kinakailangan para sa integrasyon ng Microsoft Entra ID​

Configuration​

I-enable ang Microsoft Entra ID API authentication​

I-configure ang SSO login para sa Glasswall Halo​

Mga role ng user​

Para magtalaga ng mga role sa mga user ng portal​

Para magtalaga ng mga role sa mga user ng API​