Den här artikeln innehåller instruktioner för kunden att konfigurera Microsoft Entra ID (tidigare Azure AD ) för enkel inloggning (SSO) med hjälp av OpenID Connect ( OIDC ) med Matrix42 Pro and IGA lösningar.

Vanligtvis utförs denna konfiguration av kundens Entra ID eller autentiseringsspecialist. Det bör inte ta mer än en halv dag att implementera och testa. Observera att vissa skärmdumpar kan se annorlunda ut i kundens Entra ID .

Dessa instruktioner gäller för alla Matrix42 Pro and IGA lösningar (t.ex. ITSM, IGA , HR) som använder Secure Access komponenten för autentisering.

Alla steg nedan är obligatoriska, om inte separat anges som valfria.

Så här konfigurerar du Entra ID för OpenID Connect ( OIDC )

Ansökningsregistrering

Kunden måste konfigurera sin Entra klient så att Matrix42 Security Access-komponenten kan hämta information om användarkonton och grupper. Konfigurationen görs efter inloggning till Entra ID konsolen (tidigare Azure AD ).

1. Gå till https://entra.microsoft.com och efter inloggning välj App registrations (OBS! Detta är inte en " Enterprise Application ", som skapas via en annan sökväg, men kan förväxlas med denna).
   
2. Välj New registration .
   
3. Ange ett namn för applikationen.
4. Välj rätt Supported Account Types beroende på ditt användningsfall. Detta är ett mycket viktigt val , så om du är osäker på vad du ska välja, rådfråga någon som är mer erfaren med den här konfigurationen.
   1. Alternativ 1 – föredras i de flesta fall : Om du skapar en grundläggande konfiguration där alla användare som du vill ska logga in på Matrix42 -systemet tillhör din hyresgäst, välj Accounts in this organizational directory only (<this tenant> only - Single tenant)
   2. Alternativ 2 : - I det här användningsfallet är du säker på att du vill att användare från den/de andra hyresgästerna också ska kunna logga in på dina Matrix42 -lösningar (du har till exempel en Multi Service Provider (MSP).
      Välj: Accounts in any organizational directory (Any Microsoft Entra ID tenant - Multitenant) .
      1. Observera att när det finns en app med flera innehavare skickar Azure inte grupper som namn, utan alltid bara som ID:n.
      2. Obs! Om du väljer det här alternativet för flera hyresgäster måste Matrix42 konfigurera alla tillåtna hyresgäster till fältet Identitetsleverantörer/Utfärdare som en kommaseparerad lista.
         
5. Under Redirect URI väljer du Web som plattform och anger sedan svars-URL:en för Secure Access (denna kan läggas till senare om Matrix42 ännu inte har angett URI).
   
6. Välj Register .

Så här ställer du in omdirigerings-URI efter att du har skapat en applikation

1. Gå till https://entra.microsoft.com och efter inloggning väljer du App registrations .
2. Hitta och öppna applikationen du skapade.
3. Välj Autentisering från vänstermenyn.
   
4. Lägg till omdirigerings-URI
   Plattformstyp: Web
   Omdirigerings-URI: URL:en du fick från Matrix42 OpenID Connect v1.0 Identitetsleverantörer Redirect URI -attribute .
   

Certifikat och hemligheter

Secure Access stöder säker anslutning med Entra ID med hjälp av Client Secrets .

Klientens hemliga instruktioner

1. I Microsoft Entra administrationscenter, i App registrations , välj din applikation.
   
2. Välj Certificates & secrets > Client secrets > New client secret .
   
3. Lägg till en beskrivning för din klienthemlighet.
4. Välj ett utgångsdatum för hemligheten eller ange en anpassad livslängd.
   1. Klienthemlighetens utgångsdatum är begränsat till 730 dagar / 24 månader (två år) eller mindre. Du kan inte ange ett anpassat utgångsdatum som är längre än 730 dagar / 24 månader.
   2. Microsoft rekommenderar att du anger ett utgångsdatum som är mindre än 365 dagar / 12 månader bort.
5. Välj Add .
   
6. Registrera hemlighetens värde för användning i din klientprogramkod.
   

   Detta hemliga värde visas aldrig igen efter att du lämnat den här sidan. Om det hemliga värdet går förlorat / inte registreras är det enda sättet att få ett nytt hemligt värde att konfigurera om det.
   

Tokenkonfiguration

För att grundläggande OpenID Connect ( OIDC ) -inloggning ska fungera behöver du inte lägga till något Optional claim .

Lägger till e-postanspråk

Men det rekommenderas starkt att även skicka användarens e-postadress från Entra till Secure Access . Därifrån skickas användarens e-postadress till Matrix42 Pro and IGA lösningen. Detta behövs för chattfunktionen.

För att göra detta måste du lägga till email-claim:

1. Gå till Token configuration och klicka på Add optional claim för att lägga till e-postanspråk.
2. Välj tokentyp: ID and Claim: email
   

Lägg till grupptoken

Om du även vill skicka användarens gruppinformation från Entra till Secure Access måste du eventuellt lägga till ett groups-claim.

I Secure Access kan du använda groups-claim-information för att beräkna userLevel och esm -roller:

1. Gå till Token configuration och klicka på Add groups claim .
2. Välj rätt grupptyper, beroende på vilken typ av grupper du vill skicka till Secure Access komponenten.
   1. Vanligtvis räcker det Security groups , men det beror på hur kundernas Entra ID grupper har utformats.
3. Välj Customize token properties by type .
   1. Observera att standardinställningen är Group ID , men med Matrix42 Professional och IGA lösningen är sAMAccountName vanligtvis ett bättre alternativ om grupper inte skapas direkt från Entra .
      
   2. Om du vill skicka molngrupper i anspråket som groupIDs väljer du bara " group type " och väljer IDs .
      

API behörigheter

API behörigheter beviljas som en minimiuppsättning behörigheter. Det betyder att endast nödvändig åtkomst behöver tillåtas till Secure Access applikationen.

1. Välj " API behörigheter" i sidofältet.
2. På den sidan väljer du "Lägg till en behörighet".
   1. Du bör redan ha Microsoft Graph > User.Read tillagd, du kan lämna detta som det är.
      
3. Välj "Microsoft Graph".
4. Välj Delegated permissions
   
5. Scrolla ner till Directory och välj nödvändiga behörigheter.
   1. Tillstånd: Användare.Läs, Typ: Delegerad
   2. Tillstånd: e-post, Typ: Delegerad
      1. Detta krävs endast om ett e-postanspråk har konfigurerats och är obligatoriskt.
6. Klicka på " Add permissions ".
7. Nu visas de konfigurerade behörigheterna.
   

Valfritt: Konfigurera Entra ID för att skicka Federated/Guest UPN i OIDC ID-tokens

Den här konfigurationen föreslås om du tillåter gästanvändare att logga in.

1. Öppna din App Registration .
2. Välj din app som du har skapat ( Riku M42 native connectors på skärmdumpen).
3. Gå till Token configuration
4. Välj Add optional claim .
5. Välj Token type som ID och Claim som upn
6. Klicka på Add för att lägga till den token.
   
7. Ett popup-fönster visas, markera kryssrutan och klicka på Add .
   
8. Redigera anspråket vi just konfigurerade genom att välja alternativet Edit bakom de tre punkterna:
   
9. Ställ in Externally authenticated till Yes och Save .

Konfigurationen för federerade/gästanvändare är nu klar.

Deras upn visas i ID-token i detta format: < upn >_<homedomain>#EXT#@<resourcedomain> till exempel: john_contoso.com#EXT#@contoso.onmicrosoft.com

Den här inställningen påverkar inte interna användares upn format, det är fortfarande i normalt upn -format, till exempel: john.doe@contoso.com