Secure Access – instrukcje dla klienta dotyczące konfiguracji Entra ID SAML
Secure Access – instrukcje dla klienta dotyczące konfiguracji Entra ID SAML
W tym artykule zamieszczono instrukcje dla klientów dotyczące konfiguracji usługi Microsoft Entra ID (wcześniej Azure AD ) na potrzeby logowania jednokrotnego (SSO) przy użyciu rozwiązań Matrix42 Pro and IGA .
Zazwyczaj tę konfigurację przeprowadza specjalista ds. uwierzytelniania lub Entra ID klienta. Wdrożenie i przetestowanie nie powinno zająć więcej niż pół dnia. Należy pamiętać, że niektóre zrzuty ekranu mogą wyglądać inaczej w Entra ID klienta.
Niniejsze instrukcje dotyczą wszystkich rozwiązań Matrix42 Pro and IGA (np. ITSM, IGA , HR), które wykorzystują komponent Secure Access do uwierzytelniania.
Jak skonfigurować Entra ID z SAML
Rejestracja aplikacji
Klient musi skonfigurować swoje Entra ID , aby umożliwić komponentowi Security Access pobieranie kont użytkowników i grup. Wszystkie kroki konfiguracji wykonuje się w centrum administracyjnym Entra ID .
- Przejdź do https://entra.microsoft.com i po zalogowaniu wybierz Tożsamość → Aplikacje → Aplikacje korporacyjne .
NIE jest to „ Rejestracja aplikacji ”, którą tworzy się inną ścieżką, ale można ją z nią pomylić.
- Utwórz nową aplikację korporacyjną wybierając „ + Nowa aplikacja ” z górnego menu.
- Wybierz „Utwórz własną aplikację”.
- Wpisz nazwę w polu „Jak nazywa się Twoja aplikacja” a następnie wybierz opcję „Bez galerii” na końcu. Teraz naciśnij przycisk „Utwórz”.
- Aplikacja Enterprise została utworzona. Następnym krokiem jest przypisanie użytkowników i grup do aplikacji. W przeglądzie możesz zobaczyć kolejne kroki. Wybierz 1. Przypisz użytkowników i grupy .
- Dodaj potrzebne grupy korzystające z logowania jednokrotnego (SSO) w rozwiązaniach Matrix42 Pro and IGA wybierając opcję + Dodaj użytkownika/grupę.
- Kliknij „Użytkownicy i grupy”. Następnie wybierz wszystkie grupy, których Twoja organizacja używa do logowania jednokrotnego (SSO) w rozwiązaniach Matrix42 Pro and IGA , a następnie kliknij „Wybierz”.
- Następnym krokiem jest skonfigurowanie logowania jednokrotnego (SSO). W przeglądzie zobaczysz kolejne kroki. Wybierz 2. Skonfiguruj logowanie jednokrotne ( SSO).
Implementacja SSO oparta na protokołach federacyjnych poprawia bezpieczeństwo, niezawodność i doświadczenia użytkowników końcowych, a także jest łatwiejsza do wdrożenia.
- Wybierz opcję SAML .
- Ustaw identyfikator (ID jednostki) i adres URL odpowiedzi (adres URL usługi konsumenckiej potwierdzenia) :
- Identyfikator (identyfikator jednostki) musi odpowiadać identyfikatorowi jednostki dostawcy usługi Secure Access Identity. (Tak samo jak adres URL odpowiedzi, ale nie kończący się
/broker/<tenant>/endpoint -part). - Adres URL odpowiedzi musi być zgodny z adresem URI przekierowania dostawcy Secure Access Identity.
- Wpisz adres URL swojego środowiska rozwiązań Matrix42 Pro and IGA .
- Jeśli oprócz środowiska produkcyjnego posiadasz także kilka środowisk, np. testowe lub deweloperskie, możesz dodać ich adresy URI później.
- Na przykład:
https://example.m42cloud.com/auth/realms/example/broker/baseline/endpoint
- Identyfikator (identyfikator jednostki) musi odpowiadać identyfikatorowi jednostki dostawcy usługi Secure Access Identity. (Tak samo jak adres URL odpowiedzi, ale nie kończący się
- Skopiuj adres URL metadanych federacji aplikacji i przekaż go konsultantowi Matrix42 który zajmie się wdrożeniem logowania jednokrotnego (SSO).
2. Certyfikaty i tajemnice
Secure Access obsługuje bezpieczne połączenie z Entra ID przy użyciu Client Secrets.
Instrukcje dotyczące tajnego klucza klienta
- W centrum administracyjnym Microsoft Entra , w obszarze Rejestracje aplikacji wybierz swoją aplikację.
- Wybierz Certyfikaty i sekrety > Sekrety klienta > Nowy sekret klienta.
- Dodaj opis swojego tajnego klucza klienta.
- Wybierz datę wygaśnięcia sekretu lub określ niestandardowy czas jego ważności.
- Okres ważności sekretu klienta jest ograniczony do dwóch lat (24 miesięcy) lub krócej. Nie można określić niestandardowego okresu ważności dłuższego niż 24 miesiące.
- Firma Microsoft zaleca ustawienie wartości wygaśnięcia krótszej niż 12 miesięcy.
- Wybierz Dodaj.
- Zapisz wartość tajnego klucza do wykorzystania w kodzie aplikacji klienckiej. Ta wartość tajnego klucza nie będzie już wyświetlana po opuszczeniu tej strony.
Ogłoszenie!
Zaznacz w kalendarzu i roku rozwiązania, że musisz pamiętać o dodaniu nowego tajnego hasła i wprowadzeniu go do Secure Access , zanim stare hasło wygaśnie.
Zaplanuj zmianę klucza tajnego z wyprzedzeniem, ponieważ po jego wygaśnięciu użytkownicy nie będą mogli uwierzytelniać się w rozwiązaniach Matrix42 Core , Pro and IGA .
Jeśli ta sama aplikacja jest używana do importowania danych do/z Entra do Matrix42 Core , Pro lub IGA , to przestaje ona również działać po wygaśnięciu klucza tajnego.
3. Uprawnienia API
Uprawnienia API są przyznawane jako minimalny zestaw uprawnień, co oznacza, że do aplikacji Efecte Secure Access należy przyznać tylko niezbędne uprawnienia. Uprawnienia te należy skonfigurować tak, aby Efecte Secure Access mogła uwierzytelniać się, łączyć się z Entra ID oraz odczytywać informacje o kontach użytkowników i grupach.
1. Uprawnienia API można otworzyć po zarejestrowaniu aplikacji
2. Wybierz „Uprawnienia API ” z paska bocznego i na tej stronie wybierz „Dodaj uprawnienie”. Powinieneś mieć już dodaną opcję Microsoft Graph > User.Read, możesz ją pozostawić bez zmian.
3. Wybierz „Microsoft Graph”
4. Wybierz uprawnienia API
5. Przewiń w dół do sekcji „Katalog”, wybierz „Katalog.Odczyt.Wszystko” i kliknij „Dodaj uprawnienia”.
6. Na koniec kliknij „Udziel zgody administratora dla <nazwa organizacji>” i kliknij „Tak”. Po tym aplikacja będzie gotowa do użycia przez Efecte.
7. Konfiguracja powinna wyglądać tak 
Uprawnienia są wykorzystywane w różnych funkcjach wymienionych poniżej:
| Pozwolenie |
Funkcjonować |
| Katalog.Odczyt.Wszystko |
Zaplanowany |
| Grupa.Czytaj.Wszystko |
Wydarzenie |
| Użytkownik.Odczyt |
Login |
| Użytkownik.Odczyt.Wszystko |
Wydarzenie |
Można również wysyłać grupy z Entra ID do ESA , konfigurując tylko jedno dodatkowe żądanie w konsoli Entra : 
4. Konfiguracja adresu URL przekierowania
1. Wybierz Uwierzytelnianie
2. Teraz powinieneś zobaczyć adresy URI przekierowania, które skonfigurowaliśmy wcześniej. 
3. Przewiń w dół i sprawdź, czy wybrano prawidłowe tokeny. Tokeny dostępu (używane w przypadku przepływów niejawnych) 
4. Sprawdź, czy obsługiwane typy kont są ustawione na Konta w dowolnym katalogu organizacyjnym (dowolny katalog Entra ID — Multitenant)
- Jeśli wybrano opcję pojedynczego dzierżawcy, wszystkie konta użytkowników i gości w katalogu będą mogły korzystać z Twojej aplikacji lub API .
Użyj tej opcji, jeśli Twoja grupa docelowa składa się z osób wewnątrz Twojej organizacji, a katalogiem docelowym jest Entra ID . - Wszyscy użytkownicy i goście posiadający konto służbowe lub szkolne firmy Microsoft mogą korzystać z Twojej aplikacji lub API . Dotyczy to również szkół i firm korzystających z pakietu Microsoft 365. Skorzystaj z tej opcji, jeśli Twoją grupą docelową są klienci biznesowi, edukacyjni lub katalog Entra ID .
