1. Aby umożliwić logowanie oparte na SAML , klient musi najpierw utworzyć nową aplikację w chmurze Entra , zgodnie z instrukcjami klienta . Klient podał adres URL metadanych federacji aplikacji z Entra .

2. Zadanie Pro uwierzytelniania musi zostać skonfigurowane na platformie Efecte Service Management przed skonfigurowaniem komponentu Efecte Secure Access .

Jak skonfigurować zadanie provisioningu w celu uwierzytelniania?

3. Sprawdź, czy konfiguracja jest poprawnie zapisana w Efecte Secure Access (z tymi samymi informacjami, które zostały ustawione w konfiguracji zadania provisioningowego). Zaloguj się jako administrator ESA (main.admin) na adres URL domain.com/auth/admin.

Wybierz właściwy obszar z górnego rogu

Wybierz Dostawców tożsamości z menu

4. Na liście powinno zostać wyświetlone to samo zadanie provisioningowe uwierzytelniania, które zostało utworzone na platformie Efecte Service Management.

5. Skopiuj z ekranu konfiguracji ESA adres URL wymieniony jako Redirect URI i przekaż go klientowi (potrzebny w Entra jako redirect URI).

6. Pamiętaj, aby sprawdzić ustawienie „Allowed Clock Skew” i zdefiniować je na przykład na 3 lub 5 sekund. Wartość domyślna to „0” (co oznacza, że jakakolwiek niezgodność między wewnętrznym zegarem ESA a zegarem Pro tożsamości spowoduje błąd: „Assertion expired” — wygasło potwierdzenie).

7. Po wykonaniu powyższej konfiguracji na stronie logowania ESA pojawi się nowa opcja logowania

8. Dodaj certyfikaty https powiązane z Entra ID do komponentu Secure Access

Są one niezbędne do ustanowienia bezpiecznego połączenia między systemami Entra ID i Secure Access .

Postępuj zgodnie ze uid w rozdziale „Dodawanie certyfikatów powiązanych z firmą Microsoft do Secure Access ”: https://docs.efecte.com/configure-authentication/download-and-install-certificates-to-secure-access-esa

1. Aby umożliwić logowanie w oparciu o protokół SAML Klient musi skonfigurować AD zgodnie z poniższymi instrukcjami .
   
   
2. Zadanie Pro uwierzytelniania musi zostać skonfigurowane na platformie Efecte Service Management przed skonfigurowaniem komponentu Efecte Secure Access .
   • Jak skonfigurować zadanie provisioningu w celu uwierzytelniania?
     
     

Sprawdź, czy konfiguracja jest poprawnie zapisana w Efecte Secure Access (z tymi samymi informacjami, które zostały ustawione w konfiguracji zadania provisioningowego). Zaloguj się jako administrator ESA (main.admin) na adres URL domain.com/auth/admin.

1. Wybierz właściwy obszar z górnego rogu
   
   
   
2. Wybierz Dostawców tożsamości z menu
   
   
3. Na liście powinno zostać pokazane to samo zadanie provisioningowe uwierzytelniania, które zostało utworzone na platformie Efecte Service Management.
   
   
4. Sprawdź, czy konfiguracja została prawidłowo przeniesiona z platformy Efecte Service Management do komponentu Efecte Secure Access .
   
   
5. W razie potrzeby dodaj i włącz następujące ustawienia:
   • Wylogowanie z Backchannel
     • Wylogowanie z kanału tylnego to mechanizm zaprojektowany, aby zapewnić, że gdy użytkownik wylogowuje się z dostawcy tożsamości (IdP/ ESA ), zostanie on również wylogowany ze wszystkich powiązanych stron polegających (RP) lub aplikacji.
     • Jeśli w usłudze AD FS włączono opcję „Chcę podpisać żądania autoryzacji”, wylogowanie za pomocą kanału zwrotnego jest obowiązkowe.
   • Odpowiedź powiązania HTTP-POST
   • Powiązanie HTTP-POST dla AuthnRequest
   • Sprawdź podpis
     
     
6. Jeśli żądania uwierzytelnienia wysyłane do instancji AD FS mają być podpisane, włącz opcję „Chcemy, aby żądania uwierzytelnienia były podpisane”. Następnie zostanie wyświetlone pole „Nazwa klucza podpisu SAML .
   
   
7. Ustaw opcję pola Nazwa klucza podpisu SAML na CERT_SUBJECT. Usługa AD FS oczekuje, że wskazówka dotycząca nazwy klucza podpisu będzie tematem certyfikatu podpisu.
   
   
8. Jeśli usługa AD FS jest skonfigurowana tak, aby odpowiadać identyfikatorem nazwy w formacie kwalifikowanej nazwy domeny systemu Windows, należy odpowiednio ustawić pole Format zasad NameID.
   

Jeżeli po użyciu nowego przycisku do zalogowania się do Entra na ekranie wyświetla się poniższy ekran, oznacza to, że ESA wymaga dalszej konfiguracji.

Aby przekazać dane użytkownika z ESA do innych systemów (ESM, ESS, IGA ), ESA musi znać kontekst użytkownika. W tym celu ESA przechowuje metadane opisujące każdego użytkownika, który próbował się zalogować.

Powyższy ekran pojawia się, ponieważ ESA nie jest w stanie pobrać wszystkich potrzebnych danych z Identity Pro ( Entra ) i prosi użytkownika o ręczne wprowadzenie wszystkich wymaganych danych.

Możemy to przezwyciężyć i przygotować automatyzację, która będzie automatycznie mapować atrybuty zawierające dane pochodzące z Entra na atrybuty wymagane przez użytkownika ESA .

1. Zaloguj się jako administrator ESA (main.admin) do adresu URL domain.com/auth
   
   
2. Wybierz właściwy obszar z menu w górnym rogu
   
   
3. Otwórz ustawienia Identity Pro z lewego panelu bocznego
   
    
4. Przejdź do sekcji Mapery. Oto przykład, jak należy je definiować.
   
   

• W przypadku wiadomości e-mail należy użyć typu mapowania Attribute Importer.
  Przypisz atrybut użytkownika e-mail do http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  
• W przypadku nazwy użytkownika należy użyć typu mapowania Importer atrybutów nazwy użytkownika.
  Przypisz atrybut nazwy użytkownika username do http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  
• W przypadku nazwiska należy użyć typu mapowania Attribute Importer.
  Przypisz atrybut użytkownika lastName do http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  
• Dla podanej nazwy użyj typu mapowania Attribute Importer.

Przypisz atrybut użytkownika firstName do http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

Jeśli potrzebny jest maper grup, dodaj maper grup do ustawień dostawców tożsamości.
Zamapuj grupy atrybutów użytkownika na http://schemas.xmlsoap.org/ws/200 8/06/identity/claims/groups

Po wykonaniu tych kroków:

• Upewnij się, że w ESM utworzono kartę danych osoby.
• Upewnij się, że Person ma prawidłową wartość w uid .attribute.code - zostanie ona później użyta jako nazwa logowania.

Po ukończeniu powyższych kroków, podczas procesu logowania, ESM utworzy brakujący obiekt użytkownika, połączy go z już istniejącą osobą, a następnie przejdzie do strony startowej ITSM dla danej roli.

UWAGA! Jeśli nie ma powodu, aby przechowywać użytkowników w ESA , możesz wybrać opcję „Nie przechowuj użytkowników w dostawcy tożsamości”. Oznacza to, że użytkownicy nie będą zapisywani w ESA . Jeśli dane użytkownika zawierają poufne informacje, mogą one zostać wykorzystane, na przykład numer ubezpieczenia społecznego. Należy pamiętać, że po tej operacji użytkownik nie będzie już widoczny w ESA , a mappery będą działać normalnie. Domyślnie użytkownicy są zapisywani w ESA .

Są dwie opcje:

1. Zainstaluj dekoder wiadomości SAML w swojej przeglądarce. Dekodery SAML są dostępne jako rozszerzenia przeglądarki (np. SAML Tracer dla Firefoksa, SAML Chrome Panel dla Google Chrome).
   
   LUB
2. Ustaw dziennik ESA na poziom DEBUG
   
   
   1. W kontenerze ESA edytuj ten plik:
      /etc/containerpilot/jobs/esa/start_primary
      
      zmiana z tego:
      --log-level=INFO
      
      do tego:
      --log-level=DEBUG
      
      
   2. następnie zabij proces java:
      $ pkill java
      
      
   3. aby przywrócić zmiany, zmień „--log-level” z powrotem na INFO, a następnie zakończ proces Java ($ pkill java)
      
      UWAGA! Jeśli kontener ESA zostanie ponownie uruchomiony, wszystkie zmiany zostaną cofnięte - w takim przypadku poziom debugowania powróci do INFO)
      
      

Dziennik ESA można znaleźć w interfejsie użytkownika ESM.

1. Zaloguj się do Efecte jako użytkownik root
2. Wybierz moduł IGA
3. Wybierz konfigurację EPE/ ESA
4. Wybierz dzienniki ESA i keycloak .log
   

Jeśli klient chce przekierować użytkowników do dostawcy SSO (bez konieczności wcześniejszego przeglądania strony logowania Secure Access ), należy wykonać następującą konfigurację w Secure Access .

1. Wybierz odpowiednią dziedzinę z menu rozwijanego w lewym górnym rogu

2. Otwórz Uwierzytelnianie z lewego panelu bocznego

3. W przeglądarce (wbudowanej) wybierz przycisk z trzema kropkami z lewej strony i wybierz opcję duplikowania

4. Podaj nazwę i opis, a następnie kliknij Duplikuj

Uwaga! Jeśli nie utworzysz duplikatu, a zamiast tego zmodyfikujesz wbudowany przepływ przeglądarki, kolejna aktualizacja wersji ESA Keycloak może nadpisać Twoje zmiany.

5. Ustaw opcję Identity Pro Redirector na „Alternatywny”

UWAGA! Jeśli w krokach przeglądarki brakuje opcji Identity Pro Redirector , możesz ją dodać tutaj:

4. Skonfiguruj domyślnego dostawcę tożsamości za pomocą „przycisku konfiguracji koła”. Alias = Nazwa konfiguracji. Domyślny Pro tożsamości = Automatyczne przekierowanie do dostawcy tożsamości ustawionego na alias dostawcy tożsamości.

Sprawdź alias u swojego dostawcy tożsamości, co zrobiłeś dla SAML w poprzednich krokach tego uid

Skonfiguruj ten alias jako atrybut Domyślnego Pro Tożsamości, wybierając koło i podając mu nową nazwę aliasu, a następnie ustaw alias swojego Dostawcy Tożsamości jako atrybut Domyślnego Pro Tożsamości. Wymaganie: Alternatywa.

5. W razie potrzeby zmień ustawienia monitu Pro tożsamości w sekcji Zaawansowane. Zapytaj klienta o prawidłową wartość, w zależności od tego, jak ma działać automatyczne logowanie.

• Nieokreślony
  Ta opcja pozostawia zadanie decyzyjne Entra ID
• Nic
  Ta opcja zawsze powoduje logowanie Entra ID , nie ma możliwości ręcznego użycia danych logowania Entra ID
• Zgoda
  Zwykle nieużywane. Wymaga od użytkownika wyrażenia zgody na żądane uprawnienia. Jeśli użytkownik wyraził już zgodę w przeszłości, interakcja nie zostanie przeprowadzona. Jeśli jednak nie wyraził jeszcze zgody, system wyświetli ekran zgody, pokazujący uprawnienia, o które prosi aplikacja.
• Login
  Domyślne. Wymusza na użytkowniku zalogowanie się, nawet jeśli jest już uwierzytelniony. Zapewnia ponowne uwierzytelnienie użytkownika i nawiązanie nowej sesji.
• Wybierz_konto
  Użytkownik może wybrać konto z sesji w przeglądarce (nie jest wymagane logowanie)
  

6. Sprawdź przepływy ESA : Uwierzytelnianie -> Przepływy. Jeśli logowanie do usługi ESA jest używane przez przepływ przeglądarki lub wbudowana przeglądarka jest używana przez przepływ przeglądarki, zmień nowy przepływ na przepływ przeglądarki w kroku 6.1.

6.1 Wybierz nowy przepływ (w tym przypadku nazwany SSO przeglądarki M42 ) i kliknij trzy kropki, a następnie Powiąż przepływ

6.2 Wybierz przeglądarkę i zapisz zmiany

7. Skonfiguruj portal i adresy URL wylogowania ESM

Jeśli nie skonfigurujesz ich prawidłowo, po wylogowaniu Secure Access spróbuje automatycznie zalogować użytkownika z powrotem do Matrix42 Core , Pro and IGA (użytkownik może wpaść w pętlę wylogowywania-logowania. Adres URL wylogowania może być na przykład adresem intranetu klienta lub dowolną stroną, z której chce skorzystać klient).

Ustawienia adresu URL wylogowania ESM znajdują się w sekcji Konserwacja / Ustawienia systemu / Edytuj ustawienia platformy

Ustawienie: sessionterminator.redirecturl

Format ustawień to <your matrix42 system url>/Shibboleth.sso/Logout?return=https://companyintranet.companyexample.com

ze zrzutu ekranu, podaj adres strony wylogowania po ?return=

Ustawienie adresu URL wylogowania z portalu (SSC) znajduje się w ssc admin <your matrix42 system url>/ssc/admin w Ustawieniach/Ogólne

Ustawienia: Strona wylogowania

Strona wylogowania z portalu jest osobna dla każdego dzierżawcy, dzięki czemu każdy z nich może mieć w razie potrzeby własną stronę wylogowania.

8. Przetestuj automatyczne logowanie i wylogowanie