1. SAML -pohjaisen kirjautumisen käyttöönottoa varten asiakkaan on ensin luotava uusi sovellus Entra pilveen asiakkaan ohjeiden mukaisesti. Asiakas on antanut sinulle Entra sovellusten liittämisen metatietojen URL-osoitteen.

2. Todennuksen Pro on määritettävä Efecte Service Management -alustalla ennen Efecte Secure Access -komponentin määrittämistä.

Miten todennuksen valmistelutehtävä määritetään?

3. Varmista, että määritykset on tallennettu Efecte Secure Access oikein (samoilla tiedoilla kuin valmistelutehtävän määrityksissä). Kirjaudu ESA Adminilla (main.admin) osoitteeseen domain.com/auth/admin.

Valitse oikea alue yläkulmasta

Valitse valikosta Tunnistetietojen tarjoajat

4. Luettelossa pitäisi näkyä sama todennuksen provisiointitehtävä, joka luotiin Efecte Service Management -alustalle.

5. Kopioi ESA määritysnäytöltä uudelleenohjaus-URI:na listattu URL-osoite ja anna se asiakkaalle (tarvitaan Entra uudelleenohjaus-URI:na).

6. Muista tarkistaa "Allowed Clock Skew" -asetus ja määrittää se esimerkiksi 3 tai 5 sekunniksi. Oletusarvo on '0' (mikä tarkoittaa, että mikä tahansa ESA :n sisäisen kellon ja Pro kellon välinen ero aiheuttaa virheen: "Assertion expired").

7. Kun yllä oleva määritys on tehty, ESA kirjautumissivulle ilmestyy uusi kirjautumisvaihtoehto.

8. Lisää Entra ID hen liittyvät https-varmenteet Secure Access -komponenttiin

Näitä tarvitaan suojatun yhteyden muodostamiseen Entra ID ja Secure Access -järjestelmien välille.

Noudata uid luvussa ”Lisää Microsoftiin liittyviä varmenteita Secure Access ”: https://docs.efecte.com/configure-authentication/download-and-install-certificates-to-secure-access-esa

1. SAML -pohjaisen kirjautumisen ottamiseksi käyttöön asiakkaan on määritettävä AD näiden ohjeiden mukaisesti.
   
   
2. Todennuksen Pro on määritettävä Efecte Service Management -alustalla ennen Efecte Secure Access -komponentin määrittämistä.
   • Miten todennuksen valmistelutehtävä määritetään?
     
     

Varmista, että määritykset on tallennettu Efecte Secure Access oikein (samoilla tiedoilla kuin valmistelutehtävän määrityksissä). Kirjaudu ESA Adminilla (main.admin) osoitteeseen domain.com/auth/admin.

1. Valitse oikea alue yläkulmasta
   
   
   
2. Valitse valikosta Tunnistetietojen tarjoajat
   
   
3. Listassa pitäisi näkyä sama todennuksen provisiointitehtävä, joka luotiin Efecte Service Management -alustalle.
   
   
4. Tarkista, että konfiguraatio siirretään oikein Efecte Service Management -alustalta Efecte Secure Access -komponenttiin.
   
   
5. Lisää ja ota tarvittaessa käyttöön seuraavat asetukset:
   • Takakanavan uloskirjautuminen
     • Takakanavan uloskirjautuminen on mekanismi, jonka tarkoituksena on varmistaa, että kun käyttäjä kirjautuu ulos identiteetintarjoajalta (IdP/ ESA ), hänet kirjataan ulos myös kaikista siihen liittyvistä luottavista osapuolista (RP) tai sovelluksista.
     • Jos AD FS:ssä on käytössä "Haluan allekirjoitetut todennuspyynnöt", takakanavasta uloskirjautuminen on pakollista.
   • HTTP-POST-sidontavastaus
   • HTTP-POST-sidonta AuthnRequestille
   • Vahvista allekirjoitus
     
     
6. Jos AD FS -instanssiin lähetettävien todennuspyyntöjen odotetaan olevan allekirjoitettuja, ota käyttöön Haluaa allekirjoitetut todennuspyynnöt -vaihtoehto. Tämän jälkeen näkyviin tulee SAML allekirjoitusavaimen nimi -kenttä.
   
   
7. Aseta SAML allekirjoitusavaimen nimi -kentän asetukseksi CERT_SUBJECT. AD FS odottaa allekirjoitusavaimen nimen vihjeen olevan allekirjoitusvarmenteen aihe.
   
   
8. Jos AD FS on määritetty vastaamaan nimitunnuksella Windowsin toimialueen hyväksytyn nimen muodossa, aseta NameID-käytäntömuoto-kenttä vastaavasti.
   

Jos sattumalta alla oleva näyttö tulee näkyviin Entra kirjautumisen jälkeen, kun olet kirjautunut sisään uudella painikkeella, se tarkoittaa, että ESA tarvitsee lisäkonfiguraatiota.

Jotta käyttäjä voidaan siirtää ESA :sta muihin järjestelmiin (ESM, ESS, IGA ), ESA on oltava tietoinen käyttäjän kontekstista. Tätä varten ESA tallentaa hieman metatietoja, jotka kuvaavat kutakin sisäänkirjautumista yrittänyttä käyttäjää.

Yllä oleva näyttö tulee näkyviin, koska ESA ei pysty hakemaan kaikkia tarvittavia tietoja Pro ( Entra ) ja pyytää käyttäjää syöttämään kaikki tarvittavat tiedot manuaalisesti.

Voimme ratkaista tämän ja valmistella automaation, joka automaattisesti yhdistää Entra tulevan datan attribuutit ESA käyttäjän vaatimiin attribuutteihin.

1. Kirjaudu ESA Adminilla (main.admin) osoitteeseen domain.com/auth
   
   
2. Valitse oikea alue yläkulman valikosta
   
   
3. Avaa Identity Pro asetukset vasemmanpuoleisesta paneelista.
   
    
4. Siirry osioon Mappers. Tässä on esimerkki siitä, miten ne tulisi määritellä.
   
   

• Sähköpostia varten käytä kartoitustyyppiä Attribuuttien tuonti.
  Yhdistä käyttäjäattribuutin sähköpostiosoite osoitteeseen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  
• Käyttäjätunnukselle käytä kartoittajan tyyppiä Käyttäjätunnus-attribuutin tuonti.
  Yhdistä käyttäjätunnusattribuutti username osoitteeseen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  
• Sukunimelle käytä attribuuttien tuontia kuvaavaa kartoitustyyppiä.
  Yhdistä käyttäjäattribuutti lastName osoitteeseen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  
• Käytä etunimelle kartoitustyyppiä Attribuuttien tuoja.

Yhdistä käyttäjäattribuutti firstName osoitteeseen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

Jos ryhmäkartoittajaa tarvitaan, lisää ryhmien kartoittaja tunnistetietojen tarjoajien asetuksiin.
Yhdistä käyttäjäattribuuttiryhmät osoitteeseen http://schemas.xmlsoap.org/ws/200 8/06/identity/claims/groups

Näiden vaiheiden jälkeen:

• Varmista, että henkilötietokortti on luotu ESM:ssä.
• Varmista, että Person-arvo on oikea uid -tiedostossa – sitä käytetään myöhemmin kirjautumistunnuksena.

Kun yllä olevat vaiheet on suoritettu, ESM luo kirjautumisprosessin aikana puuttuvan käyttäjäobjektin, linkittää sen jo olemassa olevaan henkilöön ja siirtyy annetun roolin ITSM:n aloitussivulle.

HUOM! Jos käyttäjien tallentamiseen ESA han ei ole mitään syytä, voit valita vaihtoehdon Älä tallenna käyttäjiä identiteetintarjoajaan. Tämä tarkoittaa, että käyttäjiä ei tallenneta ESA . Jos käyttäjätiedot sisältävät arkaluonteisia tietoja, tätä voidaan käyttää, esimerkiksi sosiaaliturvatunnus. Huomaa, että tämän jälkeen et enää näe käyttäjää ESA :ssa ja kartoittimet toimivat normaalisti. Oletusarvoisesti käyttäjät tallennetaan ESA :han.

Vaihtoehtoja on kaksi:

1. Asenna SAML viestidekooderi selaimeesi. SAML -dekooderit ovat saatavilla selainlaajennuksina (esim. SAML Tracer Firefoxille, SAML Chrome Panel Google Chromelle).
   
   TAI
2. Aseta ESA lokin taso DEBUG
   
   
   1. Muokkaa tätä tiedostoa ESA -kontissa:
      /etc/containerpilot/jobs/esa/start_primary
      
      muutos tästä:
      --log-taso=INFO
      
      tähän:
      --log-level=VIERÄHDYS
      
      
   2. sitten, lopeta Java-prosessi:
      $ pkill java
      
      
   3. Muutosten perumiseksi vaihda "--log-level" takaisin arvoon INFO ja lopeta sitten Java-prosessi ($ pkill java)
      
      HUOM! Jos ESA kontti käynnistetään uudelleen, kaikki muutokset peruuntuvat – tässä tapauksessa virheenkorjaustaso palaa takaisin INFO-tasolle.
      
      

ESA loki löytyy ESM-käyttöliittymästä.

1. Kirjaudu Efecteen pääkäyttäjänä
2. Valitse IGA moduuli
3. Valitse EPE/ ESA kokoonpano
4. Valitse ESA lokit ja keycloak .log
   

Jos asiakas haluaa ohjata käyttäjät SSO-palveluntarjoajalle (ei tarvitse nähdä Secure Access kirjautumissivua ensin), tee seuraavat määritykset Secure Access .

1. Valitse oikea alue vasemman yläkulman alasvetovalikosta

2. Avaa vasemmanpuoleisesta paneelista Todennus

3. Selaimessa (sisäänrakennettu) valitse vasemmalta kolmen pisteen painike ja valitse kaksoiskappale

4. Anna sille nimi ja kuvaus ja napsauta sitten Kopioi

Huomautus! Jos et luo kaksoiskappaletta, vaan muokkaat sisäänrakennettua selaintyönkulkua, seuraava ESA Keycloak versiopäivitys saattaa ohittaa tekemäsi muutokset.

5. Aseta Pro uudelleenohjaajaksi 'Vaihtoehtoinen'

HUOM! Jos Identity Pro vider Redirector puuttuu selaimen vaiheista, voit lisätä sen täältä:

4. Määritä oletusarvoinen identiteetintarjoaja "wheel config button" -painikkeella. Alias = Määrityksen nimi. Pro = Ohjaa automaattisesti identiteetintarjoajaan, joka on asetettu identiteetintarjoajan aliakseksi.

Tarkista identiteetintarjoajaltasi saamasi alias, kuten olet tehnyt SAML tämän uid aiemmissa vaiheissa.

Määritä kyseinen alias oletusarvoiseen Pro valitsemalla pyörä ja antamalla sille uusi aliasnimi. Aseta identiteetintarjoajan aliaksesi Pro identiteetintarjoaja. Vaatimus: Vaihtoehto.

5. Muuta tarvittaessa Pro kehoteasetuksia Lisäasetukset-osiossa. Kysy oikea arvo asiakkaalta riippuen siitä, miten he haluavat automaattisen kirjautumisen toimivan.

• Määrittelemätön
  Tämä vaihtoehto jättää päätöksentekotehtävän Entra ID
• Ei mitään
  Tämä vaihtoehto tekee aina Entra ID -kirjautumisen, Entra ID -tunnuksia ei voi käyttää manuaalisesti.
• Suostumus
  Yleensä ei käytetä. Edellyttää käyttäjältä suostumuksen pyydettyihin käyttöoikeuksiin. Jos käyttäjä on jo antanut suostumuksensa aiemmin, vuorovaikutusta ei tapahdu. Jos suostumusta ei kuitenkaan ole vielä annettu, järjestelmä näyttää suostumusnäytön, jossa näkyvät sovelluksen pyytämät käyttöoikeudet.
• Kirjaudu sisään
  Oletus. Pakottaa käyttäjän kirjautumaan sisään, vaikka hänet olisi jo todennettu. Se varmistaa, että käyttäjä todennetaan uudelleen ja uusi istunto muodostetaan.
• Valitse_tili
  Käyttäjä voi valita tilin selaimen istunnoista (kirjautumista ei tarvita)
  

6. Tarkista ESA työnkulut: Todennus -> Työnkulut. Jos Efecte Login on Browser-työnkulun käyttämä tai Sisäänrakennettu selain on Browser-työnkulun käyttämä, vaihda uusi työnkulku Browser-työnkuluksi vaiheessa 6.1.

6.1 Valitse uusi työnkulkusi (tässä tapauksessa nimeltään M42 browser SSO) ja kolme pistettä ja Bind-työkulku

6.2 Valitse selain ja tallenna muutokset

7. Portaalin ja ESM:n uloskirjautumisosoitteiden määrittäminen

Jos et määritä näitä oikein, uloskirjautumisen jälkeen Secure Access yrittää kirjata käyttäjän automaattisesti takaisin Matrix42 Core , Pro and IGA (käyttäjä voi joutua uloskirjautumis-kirjautumissilmukkaan). Uloskirjautumisosoite voi olla esimerkiksi asiakkaan intranet-osoite tai mikä tahansa sivu, jota asiakas haluaa käyttää).

ESM-uloskirjautumisosoitteen asetukset löytyvät kohdasta Ylläpito / Järjestelmäasetukset / Muokkaa alustan asetuksia

Asetus: sessionterminator.redirecturl

Asetuksen muoto on <your matrix42 system url>/Shibboleth.sso/Logout?return=https://companyintranet.companyexample.com

kuvakaappauksesta, anna uloskirjautumissivusi osoite ?return= -merkin jälkeen

Portaalin (ssc) uloskirjautumisosoitteen asetukset löytyvät osoitteesta ssc admin <your matrix42 system url>/ssc/admin kohdasta Asetukset / Yleiset.

Asetus: Uloskirjautumissivu

Portaalin uloskirjautumissivu on vuokraajakohtainen, joten jokaisella vuokralaisella voi olla oma uloskirjautumissivu tarvittaessa.

8. Testaa automaattinen kirjautuminen ja testaa myös uloskirjautuminen