Secure Access - Kundinstruktioner för Entra ID -konfiguration SAML
Secure Access - Kundinstruktioner för Entra ID -konfiguration SAML
Den här artikeln innehåller instruktioner för kunden om hur man konfigurerar Microsoft Entra ID (tidigare Azure AD ) för enkel inloggning (SSO) med Matrix42 Pro and IGA lösningar.
Vanligtvis utförs denna konfiguration av kundens Entra ID eller autentiseringsspecialist. Det bör inte ta mer än en halv dag att implementera och testa. Observera att vissa skärmdumpar kan se annorlunda ut i kundens Entra ID .
Dessa instruktioner gäller för alla Matrix42 Pro and IGA lösningar (t.ex. ITSM, IGA , HR) som använder Secure Access komponenten för autentisering.
Hur man konfigurerar Entra ID med SAML
Ansökningsregistrering
Kunden måste konfigurera sitt Entra ID så att Security Access-komponenten kan hämta användarkonton och grupper. Alla konfigurationssteg görs i Entra ID administratörscenter.
- Gå till https://entra.microsoft.com och efter inloggning väljer du Identitet → Program → Företagsprogram .
Detta är INTE en " appregistrering ", som skapas via en annan sökväg, men kan förväxlas med denna.
- Skapa en ny företagsapplikation genom att välja " + Ny applikation " från den översta menyn.
- Välj "Skapa din egen applikation".
- Fyll i namnet under "Vad heter din app?" och välj sedan alternativet "Inte galleri" i slutet. Tryck nu på knappen "Skapa".
- Nu är företagsapplikationen skapad. Nästa steg är att tilldela användare och grupper för applikationen. Från översikten kan du se nästa steg. Välj 1. Tilldela användare och grupper .
- Lägg till nödvändiga grupper som använder SSO i Matrix42 Pro and IGA lösningar genom att välja + Lägg till användare/grupp.
- Klicka på ”Användare och grupper”. Markera sedan alla grupper som din organisation använder för SSO i Matrix42 Pro and IGA lösningar och klicka sedan på ”Välj”.
- Nästa steg är att konfigurera SSO. Från översikten kan du se nästa steg. Välj 2. Konfigurera Single sing on .
En SSO-implementering baserad på federationsprotokoll förbättrar säkerhet, tillförlitlighet och slutanvändarupplevelser samt är enklare att implementera.
- Välj SAML alternativet.
- Ange identifierare (entitets-ID) och svars-URL (påstående konsumenttjänst-URL) :
- Identifieraren (Entitets-ID) måste matcha Secure Access Identity-leverantörens tjänsteleverantörs enhets-ID . (Samma som svars-URL men slutar inte
/broker/<tenant>/endpoint -part). - Svars-URL: en måste matcha omdirigerings-URI:n för Secure Access Identity-leverantören.
- Fyll i med din Matrix42 Pro and IGA -lösningsmiljö-URL.
- Om du har flera miljöer, t.ex. test- eller utvecklingsmiljöer utöver din produktionsmiljö, kan du lägga till URI:n för dessa senare.
- Till exempel.
https://example.m42cloud.com/auth/realms/example/broker/baseline/endpoint
- Identifieraren (Entitets-ID) måste matcha Secure Access Identity-leverantörens tjänsteleverantörs enhets-ID . (Samma som svars-URL men slutar inte
- Kopiera URL:en för metadata för appfederationen och ge den till Matrix42 -konsulten som utför SSO-implementeringen.
2. Certifikat och hemligheter
Secure Access stöder säker anslutning med Entra ID med hjälp av klienthemligheter.
Instruktioner för klienthemligheter
- I Microsoft Entra administrationscenter, i Appregistreringar, välj din applikation.
- Välj Certifikat och hemligheter > Klienthemligheter > Ny klienthemlighet.
- Lägg till en beskrivning för din klienthemlighet.
- Välj ett utgångsdatum för hemligheten eller ange en anpassad livslängd.
- Klienthemlighetens livslängd är begränsad till två år (24 månader) eller mindre. Du kan inte ange en anpassad livslängd som är längre än 24 månader.
- Microsoft rekommenderar att du anger ett förfallovärde på mindre än 12 månader.
- Välj Lägg till.
- Registrera hemlighetens värde för användning i din klientprogramkod. Detta hemliga värde visas aldrig igen efter att du lämnat den här sidan.
Varsel!
Markera i kalendern och lösningens årsmantel att du kommer ihåg att lägga till en ny hemlighet och använda den i Secure Access innan den gamla löper ut.
Planera ändringen av den hemliga nyckeln i förväg, eftersom användare inte kan autentisera sig mot Matrix42 Core , Pro and IGA -lösningar när hemligheten har löpt ut.
Om samma applikation används för att provisionera eller importera data till/från Entra till Matrix42 Core , Pro eller IGA , slutar även det att fungera om hemligheten löper ut.
3. API behörigheter
API behörigheter beviljas som en minimiuppsättning behörigheter, vilket innebär att endast nödvändig åtkomst behöver tillåtas till Efecte Secure Access -applikationen. Dessa behörigheter måste konfigureras så att Efecte Secure Access kan autentisera, ansluta till Entra ID och läsa information om användarkonton och grupper.
1. API behörigheter kan öppnas efter att applikationen har registrerats
2. Välj ” API behörigheter” i sidofältet och välj ”Lägg till en behörighet” på den sidan. Du bör redan ha lagt till Microsoft Graph > User.Read, du kan lämna detta som det är.
3. Välj "Microsoft Graph"
4. Välj API behörigheter
5. Scrolla ner till Katalog och välj ”Directory.Read.All” och klicka på ”Lägg till behörigheter”.
6. Klicka slutligen på ”Ge administratörsmedgivande för <Organisationsnamn>” och klicka på ”Ja”. Efter detta är applikationen redo att användas av Efecte.
7. Konfigurationen bör se ut så här 
Tillstånd används i olika funktioner enligt nedan:
| Tillstånd |
Fungera |
| Katalog.Läs.Allt |
Schemalagd |
| Gruppera.Läs.Alla |
Händelse |
| Användare.Läs |
Inloggning |
| Användare.Läs.Alla |
Händelse |
Det är också möjligt att skicka grupper från Entra ID till ESA , med bara ett ytterligare anspråk konfigurerat i Entra -konsolen: 
4. Konfiguration av omdirigerings-URL
1. Välj Autentisering
2. Nu borde du se omdirigerings-URI:er som vi konfigurerade tidigare. 
3. Scrolla ner och kontrollera att rätt tokens är valda. Åtkomsttokens (används för implicita flöden) 
4. Kontrollera att kontotyper som stöds är inställda på att vara Konton i valfri organisationskatalog (valfri Entra ID katalog - Multitenant)
- Om enskild hyresgäst är vald kan alla användar- och gästkonton i din katalog använda ditt program eller API .
Använd det här alternativet om din målgrupp är intern i din organisation och målkatalogen är Entra ID . - Alla användare och gäster med ett arbets- eller skolkonto från Microsoft kan använda din applikation eller API . Detta inkluderar skolor och företag som använder Microsoft 365. Använd det här alternativet om din målgrupp är företags- eller utbildningskunder eller Entra ID Directory.
