Single Sign-On
Glasswall Halo can be configured to enable Single Sign-On (SSO) with OpenID Connect (OIDC).
SSO एक प्रमाणीकरण विधि है जो उपयोगकर्ताओं को एक ही क्रेडेंशियल सेट का उपयोग करके कई स्वतंत्र सॉफ़्टवेयर सिस्टम में साइन इन करने की अनुमति देती है। SSO का उपयोग करने का अर्थ है कि उपयोगकर्ता को अपने उपयोग की हर एप्लिकेशन में अलग-अलग साइन इन नहीं करना पड़ता।
नीचे यह जानकारी दी गई है कि पहचान और अभिगम प्रबंधन (IAM) प्रदाता के रूप में Microsoft Entra ID का उपयोग करते हुए अपने Glasswall Halo समाधान में SSO को कैसे कॉन्फ़िगर करें।
सिद्धांततः, OIDC प्रदान करने वाला कोई भी IAM समाधान Glasswall Halo के लिए SSO समर्थन हेतु कॉन्फ़िगर किया जा सकता है।
Microsoft Entra ID एकीकरण के लिए पूर्वापेक्षाएँ
- इस SSO विकल्प को सक्षम करने के लिए Microsoft Entra ID खाते हेतु Microsoft enterprise agreement आवश्यक है।
- SSO प्रमाणीकरण का उपयोग करने के लिए Halo portal (portal service) के लिए एक डोमेन नाम कॉन्फ़िगर किया जाना चाहिए।
- जब भी Microsoft Entra ID का उपयोग करके SSO प्रमाणीकरण सक्षम करना हो, Azure App Registrations आवश्यक होते हैं।
- Three App Registrations must be created:
Cdrplatform-API-accessCdrplatform-portal-accessCdrplatform-portal-client
- संलग्न shell script इन app registrations को बनाने में मदद करती है। script के लिए argument के रूप में वह domain name दर्ज करें जिसे आप portal के लिए उपयोग करना चाहते हैं। उदाहरण:
bash create-azure-app-registrations.sh halo.glasswall.com
- enterprise application
ar-Halo-portal-clientको admin consent दिया जाना चाहिए।
कॉन्फ़िगरेशन
Microsoft Entra ID API authentication सक्षम करें
Microsoft Entra ID आधारित authentication सक्षम करने के लिए, configuration.authenticationscheme=bearer सेट करें। Helm chart deploy करते समय tenant_id, api_domain और valid_audiences variables भी सेट करें।
Note: Set valid_audiences to the Application (client) ID of the cdrplatform-api-access app registration (found in the Azure portal under App registrations > Overview).
tenant_id=""
api_domain=""
valid_audiences="" # Application (client) ID of the cdrplatform-api-access app registration (copy from Azure portal)
helm upgrade cdrplatform-api-access cdrplatform-api-access \
--reuse-values \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=${api_domain} \
--set ingress.tls.secretName=tls-secret \
--set configuration.AuthenticationScheme=Bearer \
--set configuration.Authentication__Schemes__Bearer__ValidAudiences__0=${valid_audiences} \
--set configuration.Authentication__Schemes__Bearer__ValidIssuer=https://sts.windows.net/${tenant_id}/ \
--set configuration.Authentication__Schemes__Bearer__Authority=https://login.microsoftonline.com/${tenant_id}/v2.0/ \
--atomic
Glasswall Halo के लिए SSO लॉगिन कॉन्फ़िगर करें
नीचे दिए गए commands में portal_domain, portal_client_id, tenant_id variables सेट करें।
portal_domain वह domain है जो portal service पर TLS के लिए उपयोग होता है, और यही domain cdrplatform-portal-client App Registration में भी उपयोग होता है।
portal_client_id, cdrplatform-portal-client App Registration का application (client) ID है।
enabled_pages में deploy की गई services के आधार पर अतिरिक्त pages शामिल होते हैं:
- ICAP Server:
IcapSettings,IcapRequests,IcapReportingजोड़ें - Storage Monitor:
SharePointMonitoring,OneDriveMonitoring,OutlookMonitoringजोड़ें
portal_domain=""
portal_client_id=""
tenant_id=""
# Add pages based on deployed services:
# + ICAP Server: IcapSettings,IcapRequests,IcapReporting
# + Storage Monitor: SharePointMonitoring,OneDriveMonitoring,OutlookMonitoring
enabled_pages="SystemSettings\,PolicySettings\,ValidationSettings"
helm upgrade cdrplatform-portal cdrplatform-portal \
--reuse-values \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=${portal_domain} \
--set ingress.tls.secretName=tls-secret \
--set configuration.BackendUrl="https://${portal_domain}" \
--set configuration.EnabledPages=${enabled_pages} \
--set configuration.OIDC.ProviderOptions.Authority="https://login.microsoftonline.com/${tenant_id}/v2.0" \
--set configuration.OIDC.ProviderOptions.RedirectUri="https://${portal_domain}/authentication/login-callback" \
--set configuration.OIDC.ProviderOptions.ClientId="${portal_client_id}" \
--set configuration.OIDC.ProviderOptions.PostLogoutRedirectUri="https://${portal_domain}/authentication/logout-callback" \
--atomic
इसके बाद, portal access सेवा को Microsoft Entra ID का उपयोग करके SSO प्रमाणीकरण सक्षम करना होगा।
नीचे tenant_id, portal_domain और valid_audiences वेरिएबल सेट करें।
Note: Set valid_audiences to the Application (client) ID of the cdrplatform-portal-access app registration (found in the Azure portal under App registrations > Overview).
tenant_id=""
portal_domain=""
valid_audiences="" # Application (client) ID of the cdrplatform-portal-access app registration (copy from Azure portal)
helm upgrade cdrplatform-portal-access cdrplatform-portal-access \
--reuse-values \
--set ingress.tls.enabled=true \
--set ingress.tls.domain=${portal_domain} \
--set ingress.tls.secretName=tls-secret \
--set configuration.AuthenticationScheme=Bearer \
--set configuration.Authentication__Schemes__Bearer__ValidAudiences__0=${valid_audiences} \
--set configuration.Authentication__Schemes__Bearer__ValidIssuer=https://sts.windows.net/${tenant_id}/ \
--set configuration.Authentication__Schemes__Bearer__Authority=https://login.microsoftonline.com/${tenant_id}/v2.0/ \
--atomic
उपयोगकर्ता भूमिकाएँ
पोर्टल उपयोगकर्ताओं को भूमिकाएँ असाइन करने के लिए
- Microsoft Entra ID में
ar-cdrplatform-portal-accessशीर्षक वाले enterprise application पर जाएँ।
नोट: स्क्रीनशॉट में उदाहरण के रूप में ar-cdrplatform-perf-portal-access का उपयोग किया गया है।
- Users and groups सेक्शन पर जाएँ और Add user/group चुनें।
- वांछित उपयोगकर्ता या समूह चुनें, फिर उपयुक्त भूमिका चुनें।
- Assign पर क्लिक करें।
API उपयोगकर्ताओं को भूमिकाएँ असाइन करने के लिए
- Microsoft Entra ID में
ar-cdrplatform-API-accessशीर्षक वाले enterprise application पर जाएँ। - Users and groups सेक्शन से, Add user/group पर क्लिक करें।
- Select the desired user or group, then choose the appropriate role.
- Assign पर क्लिक करें।