Kemp Technologies Blogs

Implementieren Sie Single Sign-On und Vorauthentifizierung für jede Anwendung mit Okta und Progress Kemp LoadMaster

Maurice McMullin | Posted on | ADC | Load Balancer

Unternehmen stehen vor der Herausforderung, Anwendungen jederzeit und überall leicht verfügbar zu machen und gleichzeitig das Gleichgewicht zwischen Zugriffssicherheit und Benutzererfahrung zu wahren. Heutzutage haben sich die Anwendungszugriffsmuster in Richtung der Erwartung entwickelt, dass sie für Heimarbeiter und über mobile Apps jederzeit und überall nahtlos zugänglich sind, und diese Erwartung gilt für Anwendungen, selbst wenn sie vor Ort bereitgestellt werden und traditionell einen Netzwerkzugriff oder eine VPN-Verbindung erfordern.

Durch den Einsatz von Identitäts- und Zugriffsmanagement ist es möglich, den Anwendungszugriff für alle Anwendungen – SaaS, Cloud oder On-Premise – von einem einzigen Ort aus zu verwalten, wobei Richtlinien konfiguriert werden, die den Anforderungen des Unternehmens entsprechen.

Okta, der führende Anbieter von Identitätsmanagement, ermöglicht es Unternehmen, Single Sign-On und Multi-Faktor-Authentifizierung in ihren Anwendungen zu implementieren. Eine Stärke von Okta sind die vielen Integrationen mit Anwendungen. Bei On-Premise- oder Legacy-Anwendungen kann dies jedoch einige Herausforderungen mit sich bringen.

Herausforderungen bei On-Prem-Anwendungen

  • Unterstützung bei der Anwendungsintegration – Viele Legacy- oder benutzerdefinierte Anwendungen unterstützen möglicherweise keine Protokolle, die für die Integration mit Okta erforderlich sind, wie z. B. SAML oder OIDC. Dies macht es schwierig, diese in die allgemeine Single-Sign-On-Richtlinie einer Organisation zu integrieren.
  • Vorauthentifizierung – Noch besorgniserregender für Administratoren ist, dass ein Benutzer beim typischen Ablauf des Zugriffs auf eine Anwendung zunächst auf eine Anwendungs-URL zugreift, bevor er zur Authentifizierung an den Identitätsanbieter umgeleitet wird. Die erste Anforderung muss daher von der Anwendung verarbeitet werden, bevor eine Authentifizierung erfolgt. Während der Zugriff auf die Anwendung geschützt werden kann, müssen die Anwendungsserver dennoch veröffentlicht und der Öffentlichkeit zugänglich gemacht werden, auch für nicht authentifizierte Benutzer. Dies liegt daran, dass vor der Übergabe von Anforderungen an den Anwendungsserver keine Vorauthentifizierung durchgeführt wird.

Eine Lösung

Progress Kemp LoadMaster lässt sich nahtlos in Identitätsanbieter wie Okta integrieren, sodass jede Anwendung überall geschützt werden kann. Durch die Implementierung auf dem LoadMaster am Rand des Netzwerks können Sie:

  • Validieren Sie den Zugriff auf eine Anwendung mit Okta Single Sign-On (mit oder ohne Okta-Integrationsunterstützung)
  • Kann eine Vorauthentifizierung mit Okta anwenden, bevor Anforderungen die Anwendungsserver erreichen können

So integrieren Sie LoadMaster und Okta

Die Konfiguration der Vorauthentifizierung jeder App mit Okta ist einfach. In diesem Beispiel habe ich eine Anwendung, die derzeit über den LoadMaster mit der URL https://testapp.barglee.com veröffentlicht wird

Wenn Sie noch kein Okta-Konto haben, erstellen Sie eine kostenlose Testversion. Melden Sie sich dann beim Okta-Admin-Portal an, klicken Sie auf "App-Integration erstellen" und wählen Sie dann "SAML 2.0" aus.

Sie konfigurieren nun die Anwendung. Beginnen Sie mit der Benennung der Anwendung, und konfigurieren Sie die folgenden Einstellungen:

Klicken Sie nach der Konfiguration auf "Weiter", dann auf "Ich bin Okta-Kunde und füge eine interne App hinzu" und dann auf "Fertig stellen".

Sie können Daten über die Einstellungsseite exportieren. Klicken Sie auf der Einstellungsseite mit der rechten Maustaste auf "Metadaten des Identitätsanbieters" und dann auf "Speichern unter". Dies kann später verwendet werden, um die LoadMaster-Konfiguration zu vereinfachen. Klicken Sie anschließend auf "Einrichtungsanweisungen anzeigen" und "Zertifikat herunterladen", um zu speichern.

Abschließend sollten Sie der Anwendung Benutzer zuweisen. Unter Zuweisungen werden Sie dies tun. Gehen Sie zu "Zuweisungen – Personen zuweisen" und wählen Sie aus, wer Zugriff auf die Anwendung haben soll.

Jetzt können Sie mit der Konfiguration des LoadMasters fortfahren.

So konfigurieren Sie LoadMaster für Okta

Navigieren Sie zu "Virtuelle Dienste – SSO verwalten – Neue clientseitige Konfiguration hinzufügen". Sie müssen diesem einen Namen geben.

Legen Sie das Authentifizierungsprotokoll auf "SAML" und die IDP-Bereitstellung auf "Metadatendatei" fest und laden Sie die von Okta heruntergeladene Datei hoch. Die erforderlichen Felder werden ausgefüllt.

Laden Sie das Okta-Zertifikat in die LoadMaster-Zwischenzertifikate hoch, indem Sie zu "Zertifikate und Sicherheit – Zwischenzertifikate" navigieren und "Datei auswählen" auswählen. Laden Sie die von Okta heruntergeladene Zertifikatsdatei hoch und benennen Sie sie.

Navigieren Sie zu der erstellten SSO-Domain und wählen Sie unter "IDP-Zertifikat" das Zertifikat aus, das Sie gerade hochgeladen haben.

Navigieren Sie als Nächstes zu dem jeweiligen virtuellen Dienst, "Änderungsdienste anzeigen – ESP-Optionen" und wählen Sie "ESP aktivieren". Legen Sie den Clientauthentifizierungsmodus auf "SAML" und den erstellten Modus auf "SSO-Domäne" fest.

Legen Sie "Allowed Virtual Hosts" auf den Hostnamen der App fest und legen Sie die erlaubten Verzeichnisse fest.

Wenn Sie möchten, dass eine bestimmte URL in der Anwendung das Beenden der Benutzersitzung und die Abmeldung von Okta SSO auslöst, können Sie dies tun, indem Sie die Abmelde-URL in der ESP-Konfiguration im virtuellen Dienst unter "Abmeldezeichenfolge" angeben.

Um dies auszulösen, um eine Abmeldung in Okta zu initiieren, können Sie in der SSO-Konfiguration eine Abmeldeumleitung festlegen, an die Clients gesendet werden, wenn sie auf die festgelegte Abmelde-URL zugreifen, die eine vollständige Abmeldung auslöst.

Erste Schritte

Laden Sie die kostenlose 30-Tage-Testversion von LoadMaster herunter, um eine Proof-of-Concept-Integration mit Okta-Authentifizierungsdiensten zu erstellen. Das LoadMaster-Support-Team steht Ihnen bei Fragen zur Verfügung.

Kostenloser Download