Deze guide biedt een stapsgewijze handleiding voor het installatieproces van Topicus KeyHub op Azure. De enige vereiste is een Azure-account om KeyHub mee te installeren.
In deze guide wordt ook het koppelen met Azure AD voor single sign on behandeld. Voor andere user directories verwijzen we u graag naar de handleiding.
Deel 1 - Deploy the appliance in Azure
Zoek op de Azure Marketplace naar 'Topicus KeyHub' of gebruik deze directe link.
Stap 1: Klik "Get it now"
Stap 2: Klik "Continue"
Als je nog niet bent aangemeld met een Azure-account met een subscription dan zal Azure je vragen aan te melden.
Stap 3: Klik "Create"
Stap 4: Vul het "Create" formulier in
Subscription
Als u meerdere abonnementen heeft, selecteert u degene waarop u KeyHub wilt installeren.
Resource groep
Selecteer een resourcegroep die al bestaat of maak een nieuwe.
Naam en regio virtuele machine
Selecteer de gewenste instellingen.
Size
De aanbevolen grootte voor de virtuele machine is vooraf geselecteerd, maar u kunt desgewenst een andere grootte kiezen.
Administrator account
Hoewel KeyHub wordt geleverd met een onderhoudsaccount, maakt Azure een account aan in de VM. Het wordt aanbevolen om "Wachtwoord" te kiezen als authenticatietype met een andere gebruikersnaam dan "keyhub" en een sterk gegenereerd wachtwoord.
Als u "SSH public key" kiest, kunt u deze alleen gebruiken om in te loggen op de KeyHub appliance-shell. U kunt de gebruikersnaam "keyhub" niet gebruiken.
Klik op "Review + Create" om door te gaan. Eventueel kunt u de overige configuratieschermen doorlopen. De standaardinstellingen zijn goed voor KeyHub.
Stap 5: Controleer uw virtuele machine en als alles correct is, klikt u op "Create" om de VM te maken.
Het volgende scherm toont de voortgang van het maken. Het volledige proces kan tot 5 minuten duren.
Zodra de implementatie is voltooid, wordt er een melding weergegeven. Klik op "Ga naar bron" om de details te bekijken. De bron zou er ongeveer zo uit moeten zien
Deel 2 - Installeer the Appliance
Aan de rechterkant van het hierboven gepresenteerde bronnenscherm wordt het "Publiek IP-adres" weergegeven. Dit is het IP-adres om in de volgende stap verbinding mee te maken. Blader echter eerst door het menu omlaag naar de sectie "Ondersteuning en probleemoplossing" en selecteer het tabblad "Boot-diagnose".
Als u dit tabblad selecteert, wordt het scherm met de console-uitvoer weergegeven. Het zou er ongeveer zo uit moeten zien.
De console-uitvoer is belangrijk omdat deze het initiële inlogwachtwoord weergeeft. U vindt deze onder het kopje ‘Inloggen met: keyhub / 123456’. Deze zes cijfers zijn vereist voor de eerste aanmelding. Met de ‘Download screenshot’ kun je een screenshot (bitmap) van de screenshot downloaden.
De console-uitvoer toont ook de URL (in dit geval: https://10.0.3.4:50443/admin). Dit privé IP-adres dat hier wordt weergegeven, moet worden vervangen door het openbare IP-adres dat is opgegeven op de pagina "Resource Overview" die eerder is weergegeven.
Door het openbare IP-adres te combineren met de poort (50443) en het pad (/admin) krijgt u de URL waarmee u verbinding kunt maken. In ons geval: https://104.45.43.163:50443/admin.
Bezoek deze URL in een nieuw browservenster om door te gaan met de installatie.
Voer het onderhoudswachtwoord in om in te loggen. De eerste keer dat u zich aanmeldt, is het onderhoudswachtwoord de zescijferige code die wordt weergegeven in de console-uitvoer van Azure (zie bovenstaande sectie).
De volgende stap vereist het instellen van een sterk onderhoudswachtwoord.
Bewaar het onderhoudswachtwoord op een veilige plek!
Na de vereiste wachtwoordwijziging leidt de installatiewizard van Topicus KeyHub u door de benodigde stappen. Deze stappen worden hier niet verder besproken. Raadpleeg voor aanvullende ondersteuning de gebruikershandleiding die toegankelijk is door op het vraagteken-symbool linksonder in de KeyHub-interface te drukken.
Deel 3 - Single sign on instellen met Azure AD
Tijdens de installatie van KeyHub is de laatste stap het instellen van de ‘Directory’. Hier kunt u indien nodig eenmalige aanmelding instellen met uw zakelijke Azure AD.
Externe URL door Azure
Tijdens het instellen van de SSO is de ‘Externe URL’ vereist. Waarschijnlijk gebruikt uw organisatie eigen DNS-entry's, maar u kunt dit ook door Azure laten configureren. Als u uw eigen DNS configureert, kunt u deze paragraaf overslaan.
Om een externe URL in Azure te krijgen, gaat u naar de virtuele machine die zojuist is gemaakt. Daar is rechtsonder de ‘DNS-naam’ zichtbaar en indien niet geconfigureerd, kunt u hiervoor op ‘Configureren’ klikken.
En daar kunt u het DNS-naamlabel configureren en of het een dynamische of statische toegewezen naam is. Na het opslaan kunt u terug navigeren naar het overzicht. het scherm ziet er zo uit
Hier vindt u de volledige DNS-naam van Azure. Dit kan worden gebruikt om de SSO met KeyHub te configureren.
SSO configureren in KeyHub
Tijdens de installatie van KeyHub kunt u SSO instellen. Het scherm om dit te doen ziet er ongeveer zo uit.
Selecteer 'OIDC' als het directorytype, geef uw directory een naam en selecteer 'Microsoft Azure Active Directory' als provider.
Dan zijn de ‘client identifier’ en het ‘client secret’ vereist. Deze zijn te vinden in Azure.
Om ervoor te zorgen dat alleen gebruikers van uw eigen Azure-tenant een account in KeyHub kunnen registreren, moet u de domeinbeperking instellen op uw domein. Dit wordt de domeinnaam na de @ in het e-mailadres van uw gebruiker. U vindt dit domein ook in het Azure AD-overzicht. Navigeer gewoon naar het menu-item Aangepaste domeinnamen.
Bijv. voor gebruiker@topicus-keyhub.com gebruikt u topicus-keyhub.com als domeinbeperking.
Als u dit veld leeg laat, kunt u de single-tenant optie in Azure niet gebruiken. Voor meerdere domeinen heb je een betaald abonnement bij Microsoft nodig. Dit valt buiten het bestek van deze gids.
De client-ID ophalen
Ga naar de Azure Portal en zoek op "app-registraties". Dit toont het overzicht van uw App-registraties
Voor Single Sign-On bij Topicus KeyHub is een nieuwe app-registratie vereist. Klik op het + symbool "Nieuwe registratie" om een nieuwe aanvraag aan te maken. Het volgende scherm wordt getoond
Selecteer bij "Supported account types" de single-tenant optie. De ‘Redirect URI’ bestaat uit je publieke Azure-KeyHub-URL gecombineerd met het pad ‘/login/oidc’. Bij de configuratie in dit document is de ‘Sign-on URL’: ‘https://keyhub-azure.westeurope.cloudapp.azure.com/login/oidc’.
Na het verstrekken van deze informatie kan de ‘App registratie’ aangemaakt worden. Na het aanmaken is de applicatie-ID beschikbaar op het scherm dat er ongeveer zo uitziet
De client-ID toepassen
De applicatie-ID van de 'Azure app-registratie' is vereist bij de overeenkomstige configuratiestap in Topicus KeyHub en moet worden ingevoerd in het veld 'Client identifier'.
Het klantgeheim ophalen
Voor de laatste stap van de SSO-configuratie is het clientgeheim vereist. Dit geheim moet ook worden gegenereerd door Azure AD in de app-registratie. Ga naar de “App registratie” zoals aangemaakt in de vorige stap en ga naar Instellingen, en dan “Certificaten & geheimen”. Het scherm zou er ongeveer zo uit moeten zien.
Hier kan een klantidentificatie worden gegenereerd. Klik hiervoor op "Nieuw klantgeheim".
Geef uw geheim een naam en selecteer een vervalperiode. Klik op "Toevoegen". Kopieer de gegenereerde waarde voor gebruik in KeyHub.
De waarde is niet meer beschikbaar nadat u dit scherm verlaat!
Deze waarde dient ingevuld te worden als “Client secret” in het Directory-configuratiescherm in Topicus KeyHub.
Hiermee is de installatie en configuratie van Topicus KeyHub op Azure afgerond.
Extra ondersteuning
Raadpleeg voor aanvullende ondersteuning de handleiding die toegankelijk is door op het vraagteken-symbool linksonder in Topicus KeyHub te drukken.
Bezoek voor vragen en ondersteuning onze productwebsite.