1. Die Aufgabe zur Authentifizierung muss in der Efecte Service Management-Plattform (auf der Registerkarte „Konnektoren“ als Authentifizierungsaufgabe) konfiguriert werden, bevor Efecte Secure Access Komponente konfiguriert wird.

• Wie konfiguriere ich eine Bereitstellungsaufgabe für die Authentifizierung?

2. Wenn Sie die Authentifizierungsaufgabe für ESM erstellt haben, erstellt die Integration automatisch einen gleichnamigen Identitätsanbieter für Sie in ESA . Nachdem Sie die Authentifizierungsaufgabe für ESM erstellt haben, überprüfen Sie, ob die Konfiguration korrekt in Efecte Secure Access ( ESA ) gespeichert ist (mit denselben Informationen wie in der Connector-Aufgabenkonfiguration), indem Sie die Schritte 3 bis 7 ausführen .

Wenn Ihre Authentifizierungsaufgabe nicht als Authentifizierungsanbieter von ESA gefunden wird, liegt möglicherweise ein Verbindungsproblem zwischen ESM und ESA vor. In diesem Fall können Sie den Authentifizierungsanbieter manuell bei ESA einrichten, indem Sie die folgenden Schritte 3 bis 7 ausführen.

Falls Sie den Anbieter manuell erstellen, verwenden Sie OpenID Connect V1.0 anstelle von Keycloak OpenID Connect . Verwenden Sie außerdem Microsoft Discovery Endpoint V1: https://login.microsoftonline.com/[TENANT]/.well-known/openid-configuration. Ersetzen Sie [TENANT] durch Ihre Azure AD Mandanten-ID oder Mandantendomäne. Wenn die Verwendung dieses Links direkt von ESA nicht funktioniert, laden Sie ihn zuerst als Datei auf Ihren Computer herunter und verwenden Sie diese Datei dann zum Konfigurieren des Identitätsanbieters.

3. Melden Sie sich bei ESA Admin-Konsole an (mit dem Benutzer: main.admin), indem Sie zur URL https://<Ihre Umgebungsdomäne.com> /auth/admin gehen

4. Wählen Sie Ihren Umgebungsbereich aus der Dropdown-Liste oben links aus (wählen Sie einen mit dem Namen „Ihre Umgebung“ aus).

5. Öffnen Sie die Einstellungen Pro im linken Bereich

6. In der Liste sollte dieselbe Bereitstellungsaufgabe für die Authentifizierung angezeigt werden, die für die Efecte Service Management-Plattform erstellt wurde.

Beispiel für einen Aufgabennamen in EPE:

In ESA muss für dieses Beispiel ein „Identitätsanbieter“ mit demselben Namen (und mit dem Anbietertyp: OpenID Connect V1.0 ) vorhanden sein:

7. Überprüfen Sie, ob die Konfiguration korrekt von Matrix42 Core , Pro oder IGA Plattform auf die Secure Access Komponente übertragen wurde. Nehmen Sie die erforderlichen Änderungen und Ergänzungen gemäß den folgenden Kapiteln vor.

Wenn Ihre Konfiguration nicht übertragen wurde, können Sie den Identitätsanbieter manuell erstellen. Öffnen Sie dazu im linken Menü „ Pro , klicken Sie auf „Anbieter hinzufügen“ und wählen Sie OpenID Connect V1.0“ aus.

Legen Sie „Erkennungsendpunkt verwenden“ auf „Ein“ fest.

Verwenden Sie die URL des Discovery-Endpunkts v1 im folgenden Format: https://login.microsoftonline.com/[TENANT]/.well-known/openid-configuration

Stellen Sie die Client-Authentifizierung auf „Client-Geheimnis per Post gesendet“ ein. Für diese Konfiguration benötigen Sie das Client-Geheimnis aus Entra ID Tenant-Anwendung des Kunden ( uid ). Anstelle des Client-Geheimnisses ist es technisch möglich, ein Zertifikat zu verwenden, aber wir haben noch keine uid wie dies konfiguriert werden soll.

Legen Sie Entra Mandanten-ID des Kunden auf das Client-ID-Attribut fest

Legen Sie Entra -Anwendungsgeheimnis auf das Client-Geheimnis-Attribut fest

Wichtiger Hinweis! Wenn Sie/der Kunde Entra Anwendung für mehrere Domänen konfiguriert haben ( Kundenanweisungen ) , müssen Sie alle zulässigen Domänen auf das Ausstellerattribut dieses Identitätsanbieters setzen . Andernfalls besteht das Sicherheitsrisiko, dass sich jemand von einem unerwünschten Mandanten beim Portal anmelden kann. Sie können dem Ausstellerattribut mehrere Mandanten hinzufügen, getrennt durch Kommas. Verwenden Sie keine Leerzeichen.
Beispiel für einen Ausstellerwert in einer Multitenant-Konfiguration, wenn die URL des Discovery-Endpunkts v1 verwendet wird (wenn Sie aus irgendeinem Grund den Discovery-Endpunkt v2 verwenden, hat dieser ein etwas anderes URL-Format): https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b33/,https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b52/,https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b44/

Ihr OpenID Connect V1.0- Identitätsanbieter sollte so aussehen, bevor Sie auf „Hinzufügen“ klicken.

Nachdem Sie diesen Pro hinzugefügt haben, müssen Sie noch die folgenden Einstellungen vornehmen:

Pro : Anmelden

Akzeptieren Sie die Eingabeaufforderung = keine Weiterleitung vom Client: Ein

E-Mail vertrauen: Ein

Überschreiben des ersten Anmeldeflusses: erste Anmeldung beim Broker

Ablauf nach der Anmeldung: Keiner

Benutzer nicht speichern: Ein
Es wird empfohlen, „Benutzer nicht speichern“ zu aktivieren, da es sonst zu Problemen kommen kann, wenn sich Benutzerdaten in Entra ID ändern. Sie können diese Option in der Test- und Debugging-Phase deaktivieren, um Probleme zu beheben.

8. Speichern Sie Ihren Identitätsanbieter

9. Erstellen Sie die erforderlichen Mapper für Ihren Identitätsanbieter

Öffnen Sie den Identitätsanbieter und gehen Sie zur Registerkarte Mappers

Benutzername

Dies ist der wichtigste Mapper, da er beim Anmeldevorgang bei Matrix42 Core , Pro and IGA verwendet wird. Wenn dieser Mapper fehlt, wird dem Benutzer beim Anmeldeversuch ein Bildschirm angezeigt, auf dem er zur Eingabe seiner Anmeldeinformationen aufgefordert wird, und sein Benutzername ist eine seltsame Zeichenfolge.

E-Mail

Dieser Anspruch (diese Information) kommt nicht standardmäßig von Entra . Überprüfen Sie daher, ob der Kunde diesen benutzerdefinierten E-Mail-Anspruch an Entra gemäß den uid konfiguriert hat: Kundenanweisungen .

Gruppen

Dieser Anspruch (diese Information) kommt nicht standardmäßig von Entra . Überprüfen Sie daher, ob der Kunde diesen Gruppenanspruch gegenüber Entra gemäß den uid konfiguriert hat: Kundenanweisungen .

10. Wenn Sie alle 3 Mapper hinzugefügt haben, sollte Ihre Mapper-Liste jetzt folgendermaßen aussehen ( denken Sie daran, dass Sie mindestens username_mapper benötigen und dringend empfohlen wird, auch email_mapper zu haben ):

11. Öffnen Sie die Clienteinstellungen in der linken Symbolleiste

• Wählen Sie die Zeile mit der Sibboleth-Authentifizierung (z. B.: https://Customer.efectecloud-test.com/shibboleth) mit dem Typ SAML aus.
• Öffnen Sie die Registerkarte „Clientbereiche“ in der Symbolleiste
• Offener Link, der mit /shibboleth-dedicated endet
• Überprüfen Sie, ob diese Mapper gefunden werden (wenn Sie mehr Mapper haben, prüfen Sie den Abschnitt „Mapper-Informationen auf Benutzerebene“):

UserLevel-Mapper-Informationen

Wenn Sie in dieser Mapper-Liste auch diesen UserLevel-Mapper haben: com:efecte:esm:userLevel:

Öffnen Sie es, indem Sie darauf klicken

Abhängig von Ihrem Architekturdesign möchten Sie möglicherweise userLevel in Secure Access berechnen oder nicht.
Wenn Sie nicht möchten, dass Secure Access den Benutzerlevel für Sie berechnet, können Sie diesen Benutzerlevel-Mapper entweder entfernen oder seinen SAML Attributnamen so ändern, dass er von der Plattform nicht mehr erkannt wird, indem Sie beispielsweise am Ende den Text _Disabled hinzufügen.
Wenn Sie möchten, dass Secure Access die Benutzerebene berechnet, muss SAML Attributname com:efecte:esm:userLevel lauten.

12. Fügen Sie der Secure Access Komponente Entra ID bezogene https-Zertifikate hinzu

Diese werden benötigt, um eine sichere Verbindung zwischen Entra ID und Secure Access -Systemen herzustellen.

Befolgen Sie die uid im Kapitel „Microsoft-bezogene Zertifikate zu Secure Access hinzufügen“: https://docs.efecte.com/configure-authentication/download-and-install-certificates-to-secure-access-esa

13. Die Grundkonfiguration sollte nun abgeschlossen sein. Testen Sie daher die Authentifizierung am Matrix42 Core , Pro oder IGA Portal und an Agent -Benutzeroberfläche. Denken Sie daran, auch die Abmeldung zu testen. Melden Sie sich nach der Abmeldung erneut an, um zu bestätigen, dass die Abmeldung erfolgreich war.

Hinweis! Denken Sie daran, dem Kunden die Umleitungs-URI zu senden. Sie wird für die Konfiguration der Microsoft Entra -Anwendung benötigt.

Hinweis! Wenn Sie die UserLevel-Berechnung in ESA verwenden und den UserLevel-Mapper aktiviert haben, denken Sie daran, die JavaScript-Mapper-Datei im ESA -Docker zu ändern. Andernfalls erhalten Sie beim Anmeldeversuch höchstwahrscheinlich die Meldung „NoAccess userLevel“. Nur Matrix42 hat Zugriff auf diese JavaScript-Mapper-Dateien.

Wenn der Kunde Benutzer zum SSO-Anbieter umleiten möchte (er muss nicht zuerst die Secure Access Anmeldeseite sehen), nehmen Sie die folgende Konfiguration in Secure Access vor.

1. Wählen Sie den richtigen Bereich aus dem Dropdown-Menü oben links

2. Öffnen Sie die Authentifizierung im linken Seitenbereich

3. Wählen Sie im Browser (integriert) die Schaltfläche mit den drei Punkten links und wählen Sie „Duplizieren“

4. Geben Sie ihm einen Namen und eine Beschreibung und klicken Sie dann auf Duplizieren

Hinweis! Wenn Sie kein Duplikat erstellen und stattdessen den integrierten Browserfluss ändern, werden Ihre Änderungen möglicherweise beim nächsten Upgrade ESA Keycloak Version überschrieben.

5. Stellen Sie den Identity Pro Redirector auf „Alternative“ ein.

HINWEIS! Wenn der Identity Pro Redirector in den Browserschritten fehlt, können Sie ihn hier hinzufügen:

4. Konfigurieren Sie den Standardidentitätsanbieter über die Schaltfläche „Radkonfiguration“. Alias = Name der Konfiguration. Pro = Um automatisch zu einem Identitätsanbieter umzuleiten, legen Sie den Alias des Identitätsanbieters fest.

Überprüfen Sie den Alias Ihres Identitätsanbieters

Konfigurieren Sie diesen Alias auf das Attribut „Standard Pro Identitätsanbieter“, indem Sie das Rad auswählen und ihm einen neuen Aliasnamen geben und Ihren Identitätsanbieter-Alias auf das Attribut „Standard Pro Identitätsanbieter“ setzen.

5. Ändern Sie bei Bedarf die Pro des Pro im Abschnitt „Erweitert“.

• Nicht spezifiziert
  Diese Option überlässt die Entscheidungsaufgabe der Entra ID
• Keiner
  Bei dieser Option erfolgt die Anmeldung immer Entra ID . Es besteht keine Möglichkeit, die Anmeldeinformationen Entra ID manuell zu verwenden.
• Zustimmung
  Normalerweise nicht verwendet. R erfordert, dass der Benutzer den angeforderten Berechtigungen zustimmt. Wenn der Benutzer bereits zuvor zugestimmt hat, erfolgt keine Interaktion. Wenn er jedoch noch nicht zugestimmt hat, zeigt das System einen Zustimmungsbildschirm mit den von der Anwendung angeforderten Berechtigungen an.
• Login
  Standard. Zwingt den Benutzer zur Anmeldung, auch wenn er bereits authentifiziert ist. Dadurch wird sichergestellt, dass der Benutzer erneut authentifiziert wird und eine neue Sitzung aufgebaut wird.
• Konto auswählen
  Der Benutzer kann das Konto aus Sitzungen im Browser auswählen (keine Anmeldung erforderlich)
  

6. Überprüfen Sie ESA -Flows: Authentifizierung -> Flows. Wenn Efecte Login vom Browser-Flow verwendet wird oder Built-in Browser vom Browser-Flow verwendet wird, ändern Sie Ihren neuen Flow in Schritt 6.1 in Browser-Flow

6.1 Wählen Sie Ihren neuen Flow (in diesem Fall benannt nach M42 Browser SSO) und drei Punkte und Bind Flow

6.2 Browser auswählen und Änderungen speichern

7. Konfigurieren Sie die Portal- und ESM-Abmelde-URLs

Wenn Sie diese nicht richtig konfigurieren, versucht Secure Access nach der Abmeldung, den Benutzer automatisch wieder bei Matrix42 Core , Pro and IGA (der Benutzer kann in einer Abmelde-Anmelde-Schleife landen. Die Abmelde-URL kann beispielsweise die Intranet-Adresse des Kunden oder eine beliebige Seite sein, die der Kunde verwenden möchte.

Die ESM-Abmelde-URL-Einstellung befindet sich unter Wartung / Systemeinstellungen / Plattformeinstellungen bearbeiten

Einstellung: sessionterminator.redirecturl

Das Einstellungsformat ist <your matrix42 system url>/Shibboleth.sso/Logout?return=https://companyintranet.companyexample.com

Geben Sie im Screenshot nach ?return= die Adresse Ihrer Abmeldeseite ein.

Die Abmelde-URL-Einstellung für das Portal (ssc) befindet sich auf ssc admin <your matrix42 system url>/ssc/admin unter Einstellungen / Allgemein

Einstellung: Abmeldeseite

Die Abmeldeseite des Portals ist pro Mandant, sodass jeder Mandant bei Bedarf eine eigene Abmeldeseite haben kann.

8. Testen Sie die automatische Anmeldung und testen Sie auch die Abmeldung