W tym artykule zamieszczono instrukcje dla klientów dotyczące konfiguracji usługi Microsoft Entra ID (wcześniej Azure AD ) na potrzeby logowania jednokrotnego (SSO) przy użyciu OpenID Connect ( OIDC ) z rozwiązaniami Matrix42 Pro and IGA .

Zazwyczaj tę konfigurację przeprowadza specjalista ds. uwierzytelniania lub Entra ID klienta. Wdrożenie i przetestowanie nie powinno zająć więcej niż pół dnia. Należy pamiętać, że niektóre zrzuty ekranu mogą wyglądać inaczej w Entra ID klienta.

Niniejsze instrukcje dotyczą wszystkich rozwiązań Matrix42 Pro and IGA (np. ITSM, IGA , HR), które wykorzystują komponent Secure Access do uwierzytelniania.

Wszystkie poniższe kroki są wymagane, chyba że oddzielnie określono je jako opcjonalne.

Jak skonfigurować Entra ID dla OpenID Connect ( OIDC )

Rejestracja aplikacji

Klient musi skonfigurować swoją dzierżawę Entra , aby umożliwić komponentowi Matrix42 Security Access pobieranie informacji o kontach użytkowników i grupach. Konfigurację przeprowadza się po zalogowaniu do konsoli Entra ID (wcześniej Azure AD ).

1. Przejdź do https://entra.microsoft.com i po zalogowaniu wybierz opcję App registrations (UWAGA! Nie jest to „ Enterprise Application ”, która jest tworzona inną ścieżką, ale może być z nią mylona).
   
2. Wybierz opcję New registration .
   
3. Wprowadź nazwę aplikacji.
4. Wybierz odpowiednie Supported Account Types w zależności od Twojego przypadku użycia. To bardzo ważny wybór , więc jeśli nie masz pewności, co wybrać, skonsultuj się z kimś bardziej doświadczonym w tej konfiguracji.
   1. Opcja 1 — preferowana w większości przypadków : Jeśli tworzysz podstawową konfigurację, w której wszyscy użytkownicy, którzy mają się logować do systemu Matrix42 , należą do Twojego dzierżawcy, wybierz Accounts in this organizational directory only (<this tenant> only - Single tenant)
   2. Opcja 2 : - W tym przypadku użycia masz pewność, że użytkownicy z innych dzierżawców również będą mogli logować się do Twoich rozwiązań Matrix42 (na przykład masz dostawcę wielu usług (MSP)).
      Wybierz: Accounts in any organizational directory (Any Microsoft Entra ID tenant - Multitenant) .
      1. Należy pamiętać, że w przypadku aplikacji obsługujących wielu dzierżawców Azure nie będzie wysyłać grup jako nazw, lecz zawsze wyłącznie jako identyfikatory.
      2. Uwaga! Jeśli wybierzesz tę opcję wielodostępu, Matrix42 będzie musiał skonfigurować wszystkich dozwolonych najemców w polu Wystawca dostawcy tożsamości jako listę rozdzieloną przecinkami.
         
5. W polu Redirect URI wybierz platformę Web , a następnie wprowadź adres URL odpowiedzi Secure Access (możesz go dodać później, jeśli Matrix42 nie dostarczył jeszcze URI).
   
6. Wybierz opcję Register .

Jak ustawić przekierowanie URI po utworzeniu aplikacji

1. Przejdź do https://entra.microsoft.com i po zalogowaniu wybierz opcję App registrations .
2. Znajdź i otwórz aplikację, którą utworzyłeś.
3. Wybierz opcję Uwierzytelnianie z menu po lewej stronie.
   
4. Dodaj adres URI przekierowania
   Typ platformy: Web
   Redirect URI: adres URL otrzymany od Matrix42 OpenID Connect v1.0 Identity providers Redirect URI -attribute .
   

Certyfikaty i tajemnice

Secure Access obsługuje bezpieczne połączenie z Entra ID przy użyciu Client Secrets .

Instrukcje dotyczące tajnych informacji klienta

1. W centrum administracyjnym Microsoft Entra , w obszarze App registrations wybierz swoją aplikację.
   
2. Wybierz Certificates & secrets > Client secrets > New client secret .
   
3. Dodaj opis swojego tajnego klucza klienta.
4. Wybierz datę wygaśnięcia sekretu lub określ niestandardowy czas jego ważności.
   1. Okres ważności sekretu klienta jest ograniczony do 730 dni / 24 miesięcy (dwóch lat) lub krócej. Nie można określić niestandardowego okresu ważności dłuższego niż 730 dni / 24 miesiące.
   2. Firma Microsoft zaleca ustawienie daty wygaśnięcia przypadającej za mniej niż 365 dni / 12 miesięcy.
5. Wybierz Add .
   
6. Zapisz wartość sekretu, aby wykorzystać ją w kodzie aplikacji klienckiej.
   

   Ta tajna wartość nigdy nie będzie ponownie wyświetlana po opuszczeniu tej strony. Jeśli tajna wartość zostanie utracona lub nie zostanie zapisana, jedynym sposobem na uzyskanie nowej tajnej wartości jest jej ponowna konfiguracja.
   

Konfiguracja tokena

Aby podstawowe logowanie OpenID Connect ( OIDC ) działało, nie trzeba dodawać żadnych Optional claim .

Dodawanie roszczenia e-mailowego

Zdecydowanie zaleca się jednak również przesłanie adresu e-mail użytkownika z Entra do Secure Access . Stamtąd informacje o adresie e-mail użytkownika są przesyłane do Matrix42 Pro and IGA . Jest to niezbędne do działania funkcji czatu.

Aby to zrobić, musisz dodać email-claim:

1. Przejdź do Token configuration , kliknij Add optional claim , aby dodać oświadczenie e-mail.
2. Wybierz typ tokena: ID and Claim: email
   

Dodaj token grupowy

Opcjonalnie, jeśli chcesz również wysłać informacje o grupie użytkownika z Entra do Secure Access , musisz dodać groups-claim.

W Secure Access możesz użyć informacji o roszczeniach grupowych do obliczenia userLevel i ról esm :

1. Przejdź do Token configuration , kliknij Add groups claim .
2. Wybierz odpowiednie typy grup, w zależności od tego, jaki typ grup chcesz wysłać do komponentu Secure Access .
   1. Zwykle wystarczą Security groups , ale zależy to od tego, w jaki sposób zaprojektowano grupy Entra ID klientów.
3. Wybierz opcję Customize token properties by type .
   1. Należy pamiętać, że wartością domyślną jest Group ID , ale w przypadku Matrix42 Professional i rozwiązania IGA , sAMAccountName jest zwykle lepszą opcją, jeśli grupy nie są tworzone bezpośrednio z Entra .
      
   2. Jeśli chcesz wysłać grupy chmurowe w roszczeniu jako groupIDs , wystarczy, że wybierzesz „ group type ”, a następnie IDs .
      

Uprawnienia API

Uprawnienia API są przyznawane jako minimalny zestaw uprawnień. Oznacza to, że do aplikacji Secure Access należy przyznać tylko niezbędny dostęp.

1. Wybierz „Uprawnienia API ” na pasku bocznym.
2. Na tej stronie wybierz „Dodaj uprawnienie”.
   1. Powinieneś już dodać opcję Microsoft Graph > User.Read, możesz pozostawić ją bez zmian.
      
3. Wybierz „Microsoft Graph”.
4. Wybierz Delegated permissions
   
5. Przewiń w dół do Directory i wybierz potrzebne uprawnienia.
   1. Uprawnienie: Odczyt użytkownika, Typ: Delegowany
   2. Uprawnienie: e-mail, Typ: Delegowane
      1. Jest to wymagane wyłącznie w przypadku, gdy skonfigurowano zgłoszenie e-mailowe i jest ono wymagane.
6. Kliknij „ Add permissions ”.
7. Teraz wyświetlane są skonfigurowane uprawnienia.
   

Opcjonalnie: skonfiguruj Entra ID w celu emisji federacyjnej/gościnnej UPN w tokenach identyfikacyjnych OIDC

Zaleca się przeprowadzenie tej konfiguracji, jeśli zezwalasz na logowanie użytkowników gościnnych.

1. Otwórz App Registration .
2. Wybierz aplikację, którą utworzyłeś ( Riku M42 native connectors na zrzucie ekranu).
3. Przejdź do Token configuration
4. Wybierz Add optional claim .
5. Wybierz Token type jako ID i Claim jako upn
6. Kliknij Add , aby dodać token.
   
7. Pojawi się okno dialogowe, zaznacz pole wyboru i kliknij Add .
   
8. Edytuj skonfigurowane przez nas roszczenie, wybierając opcję Edit znajdującą się za trzema kropkami:
   
9. Ustaw opcję Externally authenticated na Yes i Save .

Konfiguracja dla użytkowników federacyjnych/gościnnych została ukończona.

Ich upn będzie wyświetlany w tokenie ID w następującym formacie: < upn >_<homedomain>#EXT#@<resourcedomain> na przykład: john_contoso.com#EXT#@contoso.onmicrosoft.com

To ustawienie nie ma wpływu na format upn użytkowników wewnętrznych, nadal obowiązuje normalny format upn , na przykład: john.doe@contoso.com