1. Todennustehtävä on määritettävä Efecte Service Management -alustalla (Yhdistimet-välilehdellä, todennustehtävänä) ennen Efecte Secure Access -komponentin määrittämistä.

• Miten todennuksen valmistelutehtävä määritetään?

2. Kun loit todennustehtävän ESM:lle, integraatio luo sinulle automaattisesti samalla tavalla nimetyn identiteetintarjoajan ESA :lle. Kun olet luonut todennustehtävän ESM:lle, varmista, että määritykset on tallennettu oikein Efecte Secure Access ( ESA ) (samoilla tiedoilla kuin Connector Task -määrityksissä) noudattamalla vaiheita 3–7 .

Jos todennustehtävääsi ei löydy todennuspalveluntarjoajana ESA :sta, ESM:n ja ESA välillä saattaa olla yhteysongelma. Tässä tapauksessa voit määrittää todennuspalveluntarjoajan ESA :han manuaalisesti noudattamalla alla olevia vaiheita 3–7.

Jos luot palveluntarjoajan manuaalisesti, käytä OpenID Connect V1.0: Keycloak OpenID Connect sijaan. Käytä myös Microsoft Discovery Endpoint V1:tä: https://login.microsoftonline.com/[TENANT]/.well-known/openid-configuration Korvaa [TENANT] Azure AD -vuokraajan tunnuksellasi tai toimialueellasi. Jos linkin käyttäminen suoraan ESA sta ei toimi, lataa se ensin tiedostona tietokoneellesi ja käytä sitten tiedostoa identiteettipalveluntarjoajan määrittämiseen.

3. Kirjaudu ESA hallintakonsoliin (käyttäjätunnuksella main.admin) siirtymällä osoitteeseen https://<yourenvdomain.com> /auth/admin

4. Valitse ympäristösi Realm vasemman yläkulman alasvetovalikosta (valitse yksi, jonka nimeksi se on ympäristösi).

5. Avaa Pro asetukset vasemmanpuoleisesta paneelista

6. Luettelossa pitäisi näkyä sama todennuksen provisiointitehtävä, joka luotiin Efecte Service Management -alustalle.

Esimerkiksi tehtävän nimi EPE:ssä:

ESA :ssa kyseistä esimerkkiä varten tarvitaan "Identity provider" samalla nimellä (ja toimittajan tyypillä: OpenID Connect V1.0 ):

7. Tarkista, että konfiguraatio on siirretty oikein Matrix42 Core , Pro tai IGA alustalta Secure Access -komponenttiin. Tee tarvittavat muutokset ja lisäykset seuraavien lukujen mukaisesti.

Jos konfiguraatiotasi ei siirretty lainkaan, voit luoda identiteetintarjoajan manuaalisesti. Voit tehdä sen avaamalla vasemmanpuoleisesta valikosta Identity Pro , napsauttamalla Lisää tarjoaja ja valitsemalla OpenID Connect V1.0.

Aseta Käytä etsintäpäätepistettä -asetukseksi Käytössä

Käytä Discovery Endpoint v1 -URL-osoitetta, joka on muodossa https://login.microsoftonline.com/[TENANT]/.well-known/openid-configuration

Aseta asiakastunnistuksen asetukseksi ”Asiakkaan salaisuus lähetetty postitse” . Tätä konfigurointia varten tarvitset asiakkaan Entra ID -vuokraajasovelluksen asiakassalaisuuden ( uid ). Asiakassalaisuuden sijaan on teknisesti mahdollista käyttää varmennetta, mutta meillä ei ole vielä uid sen konfigurointiin.

Aseta asiakkaan Entra vuokraajan tunnukseksi asiakastunnusattribuutti

Aseta Entra -sovelluksen salaisuus Asiakkaan salaisuus -attribuutiksi

Tärkeä huomautus! Jos sinä/asiakas on määrittänyt Entra -sovelluksen usealle verkkotunnukselle ( asiakkaan ohjeet ) , sinun on asetettava kaikki sallitut verkkotunnukset tämän identiteetintarjoajan issuer-attribuuttiin . Muuten on olemassa tietoturvariski, että joku ei-toivotusta vuokraajasta voi kirjautua portaaliin. Voit lisätä useita vuokraajia issuer-attribuuttiin pilkulla erotettuna. Älä käytä välilyöntejä.
Esimerkki myöntäjän arvosta monivuokraajakokoonpanossa, kun Discovery-päätepisteen v1 URL-osoite (jos jostain syystä käytät v2 Discovery-päätepistettä, sillä on hieman erilainen URL-osoitteen muoto): https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b33/,https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b52/,https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b44/

OpenID Connect V1.0 -identiteetintarjoajasi pitäisi näyttää tältä ennen kuin napsautat "Lisää"-painiketta.

Kun olet lisännyt kyseisen Pro , sinun on vielä määritettävä seuraavat asetukset:

Pro mpt: Kirjaudu sisään

Hyväksy kehote=ei mitään eteenpäin asiakkaalta: Päällä

Luotettava sähköposti: Päällä

Ensimmäisen kirjautumisprosessin ohitus: ensimmäisen välittäjän kirjautuminen

Kirjautumisen jälkeinen prosessi: Ei mitään

Älä tallenna käyttäjiä: Päällä
On suositeltavaa asettaa ”Älä tallenna käyttäjiä” päälle, muuten käyttäjätietojen muuttuessa Entra ID :ssä voi ilmetä ongelmia. Voit kuitenkin poistaa tämän käytöstä testaus- ja virheenkorjausvaiheessa, se auttaa ongelmien korjaamisessa.

8. Tallenna tunnistetietojen tarjoajasi

9. Luo tarvittavat kartoittimet identiteetintarjoajaasi

Avaa identiteetintarjoaja, siirry Mappers-välilehdelle

Käyttäjätunnus

Tämä on tärkein mapper, koska sitä käytetään kirjautumisessa Matrix42 Core , Pro and IGA han. Jos tämä mapper puuttuu käyttäjän yrittäessä kirjautua sisään, hän näkee näytön, jossa häntä pyydetään antamaan kirjautumistiedot ja hänen käyttäjätunnuksensa on outo merkkijono.

Sähköposti

Tämä vaatimus (tiedot) ei tule Entra oletuksena, joten tarkista, että asiakas on määrittänyt tämän mukautetun sähköpostivaatimuksen Entra uid mukaisesti: Asiakkaan ohjeet .

Ryhmät

Tämä vaatimus (tiedot) ei tule oletuksena Entra , joten tarkista, että asiakas on määrittänyt tämän ryhmävaatimuksen Entra uid mukaisesti: Asiakkaan ohjeet .

10. Jos lisäsit kaikki 3 kartoittajaa, kartoittajaluettelosi pitäisi nyt näyttää tältä ( muista, että sinulla on oltava vähintään username_mapper, ja erittäin suositeltavaa on myös email_mapper ):

11. Avaa Asiakkaan asetukset vasemmalta työkalupalkista

• Valitse Sibboleth-todennusta koskeva rivi (esimerkiksi: https://Customer.efectecloud-test.com/shibboleth), jonka tyyppi on SAML
• Avaa Asiakkaan laajuusalueet -välilehti työkalupalkista
• Avaa linkki, joka päättyy /shibboleth-dedicated- merkintään
• Tarkista, että nämä kartoittajat löytyvät (jos sinulla on useampia kartoittajia, tarkista osio ”käyttäjätason kartoittajan tiedot”):

käyttäjätason kartoittajan tiedot

Jos tuossa kartoittajien luettelossa on myös tämä käyttäjätason kartoittaja com:efecte:esm:userLevel:

Avaa se napsauttamalla sitä

Arkkitehtuurisuunnitelmastasi riippuen saatat haluta laskea userLevel-arvoa Secure Access tai olla laskematta sitä.
Jos et halua Secure Access laskevan userLevel-arvoa puolestasi, voit joko poistaa tämän userLevel-kartoittimen tai muuttaa sen SAML attribuutin nimeä siten, että alusta ei enää tunnista sitä, esimerkiksi lisäämällä tekstin _Disabled sen loppuun.
Jos haluat Secure Access laskevan userLevel-arvon, SAML attribuutin nimen on oltava com:efecte:esm:userLevel.

12. Lisää Entra ID :hen liittyvät https-varmenteet Secure Access -komponenttiin

Näitä tarvitaan suojatun yhteyden muodostamiseen Entra ID ja Secure Access -järjestelmien välille.

Noudata uid luvussa ”Lisää Microsoftiin liittyviä varmenteita Secure Access ”: https://docs.efecte.com/configure-authentication/download-and-install-certificates-to-secure-access-esa

13. Kaikkien perusmääritysten pitäisi nyt olla tehty, joten testaa todennusta Matrix42 Core , Pro tai IGA portaaliin ja Agent käyttöliittymään. Muista testata myös uloskirjautuminen. Ja kirjaudu uudelleen sisään uloskirjautumisen jälkeen varmistaaksesi, että uloskirjautuminen onnistui.

Huom! Muista lähettää uudelleenohjauksen URI asiakkaalle, he tarvitsevat sen Microsoft Entra -sovelluksen konfiguroinnissa.

Huom! Jos otat käyttöön userLevel-laskennan ESA ssa ja kyseinen userLevel-kartoitin on aktiivinen, muista muuttaa JavaScript-kartoitintiedostoa ESA Dockerissa. Muuten saat todennäköisesti NoAccess userLevel -virheen, kun yrität kirjautua sisään. Vain Matrix42 on pääsy näihin JavaScript-kartoitintiedostoihin.

Jos asiakas haluaa ohjata käyttäjät SSO-palveluntarjoajalle (ei tarvitse nähdä Secure Access kirjautumissivua ensin), tee seuraavat määritykset Secure Access .

1. Valitse oikea alue vasemman yläkulman alasvetovalikosta

2. Avaa vasemmanpuoleisesta paneelista Todennus

3. Selaimessa (sisäänrakennettu) valitse vasemmalta kolmen pisteen painike ja valitse kaksoiskappale

4. Anna sille nimi ja kuvaus ja napsauta sitten Kopioi

Huomautus! Jos et luo kaksoiskappaletta, vaan muokkaat sisäänrakennettua selaintyönkulkua, seuraava ESA Keycloak versiopäivitys saattaa ohittaa tekemäsi muutokset.

5. Aseta Pro uudelleenohjaajaksi vaihtoehto ”Vaihtoehtoinen”

HUOM! Jos Identity Pro vider Redirector puuttuu selaimen vaiheista, voit lisätä sen täältä:

4. Määritä oletusarvoinen identiteetintarjoaja "wheel config button" -painikkeella. Alias = Määrityksen nimi. Pro = Ohjaa automaattisesti identiteetintarjoajaan, joka on asetettu identiteetintarjoajan aliakseksi.

Tarkista alias henkilöllisyydentarjoajaltasi

Määritä kyseinen alias oletusarvoiseen Pro valitsemalla pyörä ja antamalla sille uusi aliasnimi. Aseta identiteetintarjoajan aliaksesi Pro identiteetintarjoaja.

5. Muuta tarvittaessa Pro Pro Lisäasetukset-osiossa.

• Määrittelemätön
  Tämä vaihtoehto jättää päätöksentekotehtävän Entra ID
• Ei mitään
  Tämä vaihtoehto tekee aina Entra ID -kirjautumisen, Entra ID -tunnuksia ei voi käyttää manuaalisesti.
• Suostumus
  Yleensä ei käytetä. Edellyttää käyttäjältä suostumuksen pyydettyihin käyttöoikeuksiin. Jos käyttäjä on jo antanut suostumuksensa aiemmin, vuorovaikutusta ei tapahdu. Jos suostumusta ei kuitenkaan ole vielä annettu, järjestelmä näyttää suostumusnäytön, jossa näkyvät sovelluksen pyytämät käyttöoikeudet.
• Kirjaudu sisään
  Oletus. Pakottaa käyttäjän kirjautumaan sisään, vaikka hänet olisi jo todennettu. Se varmistaa, että käyttäjä todennetaan uudelleen ja uusi istunto muodostetaan.
• Valitse_tili
  Käyttäjä voi valita tilin selaimen istunnoista (kirjautumista ei tarvita)
  

6. Tarkista ESA työnkulut: Todennus -> Työnkulut. Jos Efecte Login on Browser-työnkulun käyttämä tai Sisäänrakennettu selain on Browser-työnkulun käyttämä, vaihda uusi työnkulku Browser-työnkuluksi vaiheessa 6.1.

6.1 Valitse uusi työnkulkusi (tässä tapauksessa nimeltään M42 browser SSO) ja kolme pistettä ja Bind-työkulku

6.2 Valitse selain ja tallenna muutokset

7. Portaalin ja ESM:n uloskirjautumisosoitteiden määrittäminen

Jos et määritä näitä oikein, uloskirjautumisen jälkeen Secure Access yrittää kirjata käyttäjän automaattisesti takaisin Matrix42 Core , Pro and IGA (käyttäjä voi joutua uloskirjautumis-kirjautumissilmukkaan). Uloskirjautumisosoite voi olla esimerkiksi asiakkaan intranet-osoite tai mikä tahansa sivu, jota asiakas haluaa käyttää).

ESM-uloskirjautumisosoitteen asetukset löytyvät kohdasta Ylläpito / Järjestelmäasetukset / Muokkaa alustan asetuksia

Asetus: sessionterminator.redirecturl

Asetuksen muoto on <your matrix42 system url>/Shibboleth.sso/Logout?return=https://companyintranet.companyexample.com

kuvakaappauksesta, anna uloskirjautumissivusi osoite ?return= -merkin jälkeen

Portaalin (ssc) uloskirjautumisosoitteen asetukset löytyvät osoitteesta ssc admin <your matrix42 system url>/ssc/admin kohdasta Asetukset / Yleiset.

Asetus: Uloskirjautumissivu

Portaalin uloskirjautumissivu on vuokraajakohtainen, joten jokaisella vuokralaisella voi olla oma uloskirjautumissivu tarvittaessa.

8. Testaa automaattinen kirjautuminen ja testaa myös uloskirjautuminen