1. Zadanie uwierzytelniania musi zostać skonfigurowane na platformie Efecte Service Management (na karcie Łączniki, jako zadanie Uwierzytelnianie) przed skonfigurowaniem komponentu Efecte Secure Access .

• Jak skonfigurować zadanie provisioningu w celu uwierzytelniania?

2. Po utworzeniu zadania uwierzytelniania w ESM, integracja automatycznie tworzy dla Ciebie dostawcę tożsamości o tej samej nazwie w ESA . Po utworzeniu zadania uwierzytelniania w ESM sprawdź, czy konfiguracja jest poprawnie zapisana w Efecte Secure Access ( ESA ) (z tymi samymi informacjami, które zostały ustawione w konfiguracji zadania łącznika), wykonując kroki 3–7 .

Jeśli Twoje zadanie uwierzytelniania nie zostanie znalezione jako dostawca uwierzytelniania w ESA , może to oznaczać problem z łącznością między ESM a ESA . W takim przypadku możesz ręcznie wybrać dostawcę uwierzytelniania w ESA , wykonując również kroki 3-7 poniżej.

Jeśli tworzysz dostawcę ręcznie, użyj OpenID Connect V1.0 zamiast Keycloak OpenID Connect . Użyj punktu końcowego Microsoft Discovery V1: https://login.microsoftonline.com/[TENANT]/.well-known/openid-configuration. Zastąp [TENANT] identyfikatorem dzierżawy usługi Azure AD lub domeną dzierżawy. Jeśli użycie tego łącza bezpośrednio z ESA nie zadziała, pobierz go najpierw jako plik na komputer, a następnie użyj go do skonfigurowania dostawcy tożsamości.

3. Zaloguj się do konsoli administracyjnej ESA (użytkownik main.admin), przechodząc do adresu URL https://<twoja_domena_środowiskowa.com> /auth/admin

4. Wybierz swoje środowisko Realm z rozwijanej listy w lewym górnym rogu (wybierz obszar o nazwie odpowiadającej Twojemu środowisku)

5. Otwórz ustawienia dostawcy Pro z lewego panelu bocznego

6. Na liście powinno zostać wyświetlone to samo zadanie provisioningu uwierzytelniania, które zostało utworzone na platformie Efecte Service Management.

Na przykład nazwa zadania w EPE:

W tym przykładzie w ESA potrzebny jest „Dostawca tożsamości” o tej samej nazwie (i typie dostawcy: OpenID Connect V1.0 ):

7. Sprawdź, czy konfiguracja została poprawnie przeniesiona z platformy Matrix42 Core , Pro lub IGA do komponentu Secure Access . Wprowadź niezbędne zmiany i uzupełnienia zgodnie z instrukcjami z kolejnych rozdziałów.

Jeśli Twoja konfiguracja w ogóle nie została przeniesiona, możesz ręcznie utworzyć dostawcę tożsamości. Aby to zrobić, otwórz „Dostawcy tożsamości Pro z menu po lewej stronie, kliknij „Dodaj dostawcę” i wybierz OpenID Connect V1.0.

Ustaw opcję Użyj punktu końcowego wykrywania na Wł.

Użyj adresu URL punktu końcowego Discovery v1, który używa formatu: https://login.microsoftonline.com/[TENANT]/.well-known/openid-configuration

Ustaw uwierzytelnianie klienta na „Sekret klienta wysłany pocztą” . Do tej konfiguracji potrzebny jest sekret klienta z aplikacji dzierżawcy Entra ID klienta ( instrukcja uid klienta ). Zamiast sekretu klienta, technicznie możliwe jest użycie certyfikatu, ale nie mamy jeszcze uid , jak to skonfigurować.

Ustaw identyfikator dzierżawcy Entra klienta na atrybut ID klienta

Ustaw tajny klucz aplikacji Entra na atrybut tajny klienta

Ważna uwaga! Jeśli Ty/klient skonfigurowałeś aplikację Entra dla wielu domen ( instrukcje klienta ) , musisz ustawić wszystkie dozwolone domeny w atrybucie wystawcy tego dostawcy tożsamości . W przeciwnym razie istnieje ryzyko, że ktoś z niechcianego dzierżawcy zaloguje się do portalu. Możesz dodać wielu dzierżawców do atrybutu wystawcy, rozdzielając ich przecinkami. Nie używaj spacji.
Przykład wartości wystawcy w konfiguracji wielodostępnej, gdy adres URL punktu końcowego Discovery v1 (jeśli z jakiegoś powodu używasz punktu końcowego Discovery v2, ma on nieco inny format adresu URL): https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b33/,https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b52/,https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b44/

Twój dostawca tożsamości OpenID Connect V1.0 powinien wyglądać tak, zanim klikniesz „Dodaj”

Po dodaniu Pro tożsamości nadal musisz skonfigurować następujące ustawienia:

Pro mpt: Zaloguj się

Zaakceptuj monit=brak, przekaż dalej od klienta: Wł.

Zaufaj e-mailowi: Włączone

Pierwsze pominięcie przepływu logowania: pierwsze logowanie do brokera

Przepływ po zalogowaniu: Brak

Nie przechowuj użytkowników: Włączone
Zaleca się włączenie opcji „Nie przechowuj użytkowników”, w przeciwnym razie mogą wystąpić problemy ze zmianą danych użytkowników w Entra ID . Można ją jednak wyłączyć w fazie testowania i debugowania, co ułatwia debugowanie.

8. Zapisz swojego dostawcę tożsamości

9. Utwórz potrzebne mappery dla swojego dostawcy tożsamości

Otwórz dostawcę tożsamości, przejdź do zakładki Mappers

Nazwa użytkownika

To najważniejszy maper, ponieważ jest używany w procesie logowania do Matrix42 Core , Pro and IGA . Jeśli ten maper nie występuje, użytkownik próbuje się zalogować, a jego nazwa użytkownika jest wyświetlana jako dziwny ciąg znaków.

E-mail

To roszczenie (informacja) nie pochodzi domyślnie z Entra , dlatego sprawdź, czy klient skonfigurował to niestandardowe roszczenie e-mailowe do Entra zgodnie ze uid : Instrukcje klienta .

Grupy

To roszczenie (informacja) nie pochodzi domyślnie z Entra , dlatego sprawdź, czy klient skonfigurował to roszczenie grupy w Entra zgodnie ze uid : Instrukcje klienta .

10. Jeśli dodałeś wszystkie 3 mappery, Twoja lista mapperów powinna teraz wyglądać następująco ( pamiętaj, że musisz mieć co najmniej username_mapper, a zdecydowanie zalecane jest również email_mapper ):

11. Otwórz ustawienia klienta z lewego paska narzędzi

• Wybierz wiersz związany z autoryzacją Sibboleth (na przykład: https://Customer.efectecloud-test.com/shibboleth) mający typ SAML
• Otwórz zakładkę „ Zakresy klienta ” na pasku narzędzi
• Otwórz link kończący się na /shibboleth-dedicated
• Sprawdź, czy znaleziono te mappery (jeśli masz więcej mapperów, sprawdź sekcję „Informacje o mapperach na poziomie użytkownika”):

informacje o mapowaniu poziomu użytkownika

Jeżeli na liście mapperów masz także tego mappera userLevel com:efecte:esm:userLevel:

Otwórz klikając

W zależności od projektu architektury możesz chcieć lub nie obliczać poziomu użytkownika w ramach Secure Access .
Jeśli nie chcesz, aby Secure Access obliczał userLevel za Ciebie, możesz usunąć ten maper userLevel lub zmienić jego nazwę atrybutu SAML w taki sposób, aby nie była już rozpoznawana przez platformę, np. dodając na jej końcu tekst _Disabled.
Jeśli chcesz, aby Secure Access obliczył userLevel, nazwa atrybutu SAML musi być com:efecte:esm:userLevel

12. Dodaj certyfikaty https powiązane z Entra ID do komponentu Secure Access

Są one niezbędne do ustanowienia bezpiecznego połączenia między systemami Entra ID i Secure Access .

Postępuj zgodnie ze uid w rozdziale „Dodawanie certyfikatów powiązanych z firmą Microsoft do Secure Access ”: https://docs.efecte.com/configure-authentication/download-and-install-certificates-to-secure-access-esa

13. Cała podstawowa konfiguracja powinna być już ukończona, więc przetestuj uwierzytelnianie do Matrix42 Core , Pro lub IGA Portal oraz do interfejsu Agent . Pamiętaj również o przetestowaniu wylogowania. Po wylogowaniu zaloguj się ponownie, aby potwierdzić, że wylogowanie się powiodło.

Uwaga! Pamiętaj o wysłaniu klientowi adresu URI przekierowania – będzie on potrzebny do konfiguracji aplikacji Microsoft Entra .

Uwaga! Jeśli korzystasz z obliczeń poziomu użytkownika w ESA i masz aktywny maper poziomu użytkownika, pamiętaj o zmianie pliku mappera JavaScript w dockerze ESA . W przeciwnym razie najprawdopodobniej otrzymasz komunikat NoAccess userLevel podczas próby logowania. Tylko Matrix42 ma dostęp do tych plików mappera JavaScript.

Jeśli klient chce przekierować użytkowników do dostawcy SSO (bez konieczności wcześniejszego przeglądania strony logowania Secure Access ), należy wykonać następującą konfigurację w Secure Access .

1. Wybierz odpowiednią dziedzinę z menu rozwijanego w lewym górnym rogu

2. Otwórz Uwierzytelnianie z lewego panelu bocznego

3. W przeglądarce (wbudowanej) wybierz przycisk z trzema kropkami z lewej strony i wybierz opcję duplikowania

4. Podaj nazwę i opis, a następnie kliknij Duplikuj

Uwaga! Jeśli nie utworzysz duplikatu, a zamiast tego zmodyfikujesz wbudowany przepływ przeglądarki, kolejna aktualizacja wersji ESA Keycloak może nadpisać Twoje zmiany.

5. Ustaw opcję Identity Pro Redirector na „Alternatywny”

UWAGA! Jeśli w krokach przeglądarki brakuje opcji Identity Pro Redirector , możesz ją dodać tutaj:

4. Skonfiguruj domyślnego dostawcę tożsamości za pomocą „przycisku konfiguracji koła”. Alias = Nazwa konfiguracji. Domyślny Pro tożsamości = Automatyczne przekierowanie do dostawcy tożsamości ustawionego na alias dostawcy tożsamości.

Sprawdź alias u swojego dostawcy tożsamości

Skonfiguruj ten alias jako atrybut Pro dostawcy tożsamości, wybierając koło i podając mu nową nazwę aliasu, a następnie ustaw alias swojego dostawcy tożsamości na atrybut Domyślnego Pro tożsamości

5. W razie potrzeby zmień ustawienia Pro mpt dostawcy Pro w sekcji Zaawansowane

• Nieokreślony
  Ta opcja pozostawia zadanie decyzyjne Entra ID
• Nic
  Ta opcja zawsze powoduje logowanie Entra ID , nie ma możliwości ręcznego użycia danych uwierzytelniających Entra ID
• Zgoda
  Zwykle nieużywane. Wymaga od użytkownika wyrażenia zgody na żądane uprawnienia. Jeśli użytkownik wyraził już zgodę w przeszłości, interakcja nie zostanie przeprowadzona. Jeśli jednak nie wyraził jeszcze zgody, system wyświetli ekran zgody, pokazujący uprawnienia, o które prosi aplikacja.
• Login
  Domyślne. Wymusza na użytkowniku zalogowanie się, nawet jeśli jest już uwierzytelniony. Zapewnia ponowne uwierzytelnienie użytkownika i nawiązanie nowej sesji.
• Wybierz_konto
  Użytkownik może wybrać konto z sesji w przeglądarce (nie jest wymagane logowanie)
  

6. Sprawdź przepływy ESA : Uwierzytelnianie -> Przepływy. Jeśli logowanie do usługi ESA jest używane przez przepływ przeglądarki lub wbudowana przeglądarka jest używana przez przepływ przeglądarki, zmień nowy przepływ na przepływ przeglądarki w kroku 6.1.

6.1 Wybierz nowy przepływ (w tym przypadku nazwany SSO przeglądarki M42 ) i kliknij trzy kropki, a następnie Powiąż przepływ

6.2 Wybierz przeglądarkę i zapisz zmiany

7. Skonfiguruj portal i adresy URL wylogowania ESM

Jeśli nie skonfigurujesz ich prawidłowo, po wylogowaniu Secure Access spróbuje automatycznie zalogować użytkownika z powrotem do Matrix42 Core , Pro and IGA (użytkownik może wpaść w pętlę wylogowywania-logowania. Adres URL wylogowania może być na przykład adresem intranetu klienta lub dowolną stroną, z której chce skorzystać klient).

Ustawienia adresu URL wylogowania ESM znajdują się w sekcji Konserwacja / Ustawienia systemu / Edytuj ustawienia platformy

Ustawienie: sessionterminator.redirecturl

Format ustawień to <your matrix42 system url>/Shibboleth.sso/Logout?return=https://companyintranet.companyexample.com

ze zrzutu ekranu, podaj adres strony wylogowania po ?return=

Ustawienie adresu URL wylogowania z portalu (SSC) znajduje się w ssc admin <your matrix42 system url>/ssc/admin w Ustawieniach/Ogólne

Ustawienia: Strona wylogowania

Strona wylogowania z portalu jest osobna dla każdego dzierżawcy, dzięki czemu każdy z nich może mieć w razie potrzeby własną stronę wylogowania.

8. Przetestuj automatyczne logowanie i wylogowanie