1. Uppgiften för autentisering måste konfigureras i Efecte Service Management-plattformen (på fliken Anslutningar, som Autentiseringsuppgift) innan Efecte Secure Access komponenten konfigureras.

• Hur konfigurerar man en provisioneringsuppgift för autentisering?

2. När du skapade en autentiseringsuppgift för ESM skapar integrationen automatiskt en identitetsleverantör med samma namn för dig för ESA . När du har skapat en autentiseringsuppgift för ESM, verifiera att konfigurationen är korrekt lagrad i Efecte Secure Access ( ESA ) (med samma information som angetts i konfigurationen av anslutningsuppgiften) genom att följa steg 3–7 .

Om din autentiseringsuppgift inte hittas som autentiseringsleverantör från ESA kan det vara ett anslutningsproblem mellan ESM och ESA . I så fall kan du manuellt göra autentiseringsleverantören till ESA genom att även följa steg 3–7 nedan.

Om du skapar providern manuellt, använd OpenID Connect V1.0 istället för Keycloak OpenID Connect . Och använd Microsoft Discovery Endpoint V1: https://login.microsoftonline.com/[TENANT]/.well-known/openid-configuration. Ersätt [TENANT] med ditt Azure AD klient-ID eller din klientdomän. Om det inte fungerar att använda länken direkt från ESA , ladda ner den först som en fil till din dator och använd sedan filen för att konfigurera identitetsprovidern.

3. Logga in på ESA administratörskonsolen (med användaren: main.admin) genom att gå till url:en https://<din miljödomän.com> /auth/admin

4. Välj din miljö Realm från den övre vänstra rullgardinsmenyn (välj en som heter din miljö)

5. Öppna inställningarna för Identity Pro från den vänstra sidopanelen

6. I listan bör samma provisioneringsuppgift för autentisering visas, som skapades för Efecte Service Management-plattformen.

Till exempel uppgiftsnamn i EPE:

I ESA måste det för det exemplet finnas en "Identitetsleverantör" med samma namn (och med leverantörstyp: OpenID Connect V1.0 ):

7. Kontrollera att konfigurationen överförs korrekt från Matrix42 Core , Pro eller IGA plattformen till Secure Access komponenten. Gör nödvändiga ändringar och tillägg enligt följande kapitel.

Om din konfiguration inte överfördes alls kan du skapa en identitetsleverantör manuellt. För att göra det, öppna Pro från vänstermenyn, klicka på Lägg till leverantör och välj OpenID Connect V1.0.

Ställ in Använd identifieringsslutpunkt till På

Använd URL:en för Discovery endpoint v1, som använder formatet: https://login.microsoftonline.com/[TENANT]/.well-known/openid-configuration

Ställ in klientautentisering till "Klienthemlighet skickad som post" . För den här konfigurationen behöver du klienthemlighet från kundens Entra ID -klientapplikation ( uid ). Istället för klienthemlighet är det tekniskt möjligt att använda certifikat, men vi har ännu ingen uid för hur man konfigurerar det.

Ställ in kundernas Entra hyresgäst-ID till attributet Client ID

Ange Entra applikationshemlighet till attributet Klienthemlighet

Viktig anmärkning! Om du/kunden har konfigurerat Entra applikationen för multidomäner ( kundinstruktioner ) måste du ställa in alla tillåtna domäner till issuer-attributet för denna identitetsleverantör , annars finns det en säkerhetsrisk att någon från en oönskad hyresgäst kan logga in på portalen. Du kan lägga till flera hyresgäster till issuer-attributet, separerade med kommatecken, använd inte mellanslag.
Exempel på utfärdarvärde i multitenant-konfiguration, när Discovery-slutpunktens v1-URL (om du av någon anledning använder v2 Discovery-slutpunkten har den ett något annorlunda URL-format): https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b33/,https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b52/,https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b44/

Din OpenID Connect V1.0- identitetsleverantör bör se ut så här innan du klickar på "Lägg till".

Efter att du har lagt till Pro behöver du fortfarande ställa in dessa inställningar:

Pro mpt: Logga in

Acceptera prompt=none vidarebefordra från klient: På

Betrodda e-postadresser: På

Första inloggningsflödesöverskridning: första mäklarinloggning

Inloggningsflöde efter inlägg: Inget

Lagra inte användare: På
Det rekommenderas att ställa in "Spara inte användare" på På, annars kan det uppstå problem när användardata ändras i Entra ID . Men du kan stänga av detta under test- och felsökningsfasen, det hjälper till att felsöka problem.

8. Spara din identitetsleverantör

9. Skapa nödvändiga mappare till din identitetsleverantör

Öppna identitetsleverantören, gå till fliken Mappers

Användarnamn

Detta är den viktigaste mappern, eftersom den används i inloggningsprocessen till Matrix42 Core , Pro and IGA . Om denna mapper saknas när användaren försöker logga in, ser de en skärm där de ombeds att ange inloggningsinformation och deras användarnamn är en konstig sträng.

E-post

Detta anspråk (denna information) kommer inte som standard från Entra , så kontrollera att kunden har konfigurerat detta anpassade e-postanspråk till Entra enligt uid : Kundinstruktioner ).

Grupper

Detta anspråk (denna information) kommer inte som standard från Entra , så kontrollera att kunden har konfigurerat denna grupps anspråk till Entra enligt uid : Kundinstruktioner ).

10. Om du har lagt till alla 3 mappers bör din mapperlista nu se ut så här ( kom ihåg att du måste ha minst username_mapper, och det rekommenderas starkt att även ha email_mapper ):

11. Öppna klientinställningarna från den vänstra verktygsfältet

• Markera raden relaterad till Sibboleth-autentisering (till exempel: https://Customer.efectecloud-test.com/shibboleth) med typen SAML
• Öppna klientomfång -fliken från verktygsfältet
• Öppna länk som slutar med /shibboleth-dedicated
• Kontrollera att dessa mappare hittas (om du har fler mappare, se avsnittet "information om mappare på användarnivå"):

information om mappning av användarnivå

Om du även har denna userLevel-mapper com:efecte:esm:userLevel: i den mapper-listan

Öppna den genom att klicka på den

Beroende på din arkitekturdesign kanske du vill eller inte vill beräkna userLevel i Secure Access .
Om du inte vill att Secure Access ska beräkna userLevel åt dig kan du antingen ta bort denna userLevel-mappare eller ändra dess SAML attributnamn på ett sätt som gör att den inte längre känns igen av plattformen, till exempel genom att lägga till texten _Disabled i slutet av den.
Om du vill att Secure Access ska beräkna userLevel måste SAML attributnamnet vara com:efecte:esm:userLevel

12. Lägg till Entra ID relaterade https-certifikat till Secure Access -komponenten

Dessa behövs för att upprätta en säker anslutning mellan Entra ID och Secure Access system.

Följ uid i kapitlet ”Lägg till Microsoft-relaterade certifikat i Secure Access ”: https://docs.efecte.com/configure-authentication/download-and-install-certificates-to-secure-access-esa

13. All grundläggande konfiguration borde nu vara klar, så testa autentiseringen till Matrix42 Core , Pro eller IGA Portal och till Agent UI. Kom ihåg att även testa utloggningen. Och logga in igen efter utloggningen för att bekräfta att utloggningen lyckades.

Obs! Kom ihåg att skicka omdirigerings-URI till kunden, de behöver den i Microsoft Entra -applikationskonfigurationen.

Obs! Om du använder userLevel-beräkning i ESA och har userLevel-mapparen aktiv, kom ihåg att ändra javascript-mapparfilen i ESA -dockern. Annars får du troligtvis NoAccess userLevel när du försöker logga in. Endast Matrix42 har åtkomst till dessa javascript-mapparfiler.

Om kunden vill omdirigera användare till SSO-leverantören (du behöver inte se inloggningssidan Secure Access först), gör då följande konfiguration i Secure Access .

1. Välj rätt sfär från den övre vänstra rullgardinsmenyn

2. Öppna Autentisering från den vänstra sidopanelen

3. I webbläsaren (inbyggd) välj knappen med de tre prickarna till vänster och välj sedan duplicera

4. Ge den ett namn och en beskrivning och klicka sedan på Duplicera

Obs! Om du inte skapar en duplikat, utan istället ändrar det inbyggda webbläsarflödet, kan nästa uppgradering av ESA Keycloak -versionen åsidosätta dina ändringar.

5. Ställ in Identity Pro Redirector till "Alternativ"

OBS! Om Identity Pro vider Redirector saknas i webbläsarens steg kan du lägga till den härifrån:

4. Konfigurera standardidentitetsleverantören från "wheel config button". Alias = Namn på konfigurationen. Pro = För att automatiskt omdirigera till en identitetsleverantör som är inställd på identitetsleverantörens alias.

Kontrollera alias från din identitetsleverantör

Konfigurera aliaset till standardattributet Pro identitetsleverantör genom att välja hjulet och ge det ett nytt aliasnamn och ställa in ditt identitetsleverantörsalias till standardattributet Pro identitetsleverantör.

5. Ändra Pro Pro - inställningar från avsnittet Avancerat om det behövs.

• Ospecificerad
  Det här alternativet lämnar beslutsuppgiften till Entra ID
• Ingen
  Det här alternativet gör alltid Entra ID inloggning, det finns ingen möjlighet att använda Entra ID -uppgifter manuellt.
• Samtycke
  Används vanligtvis inte. Kräver att användaren ger samtycke till de begärda behörigheterna. Om användaren redan har samtyckt tidigare kommer ingen interaktion att ske. Men om de inte har samtyckt ännu visar systemet en samtyckesskärm som visar de behörigheter som applikationen begär.
• Inloggning
  Standard. Tvingar användaren att logga in, även om de redan är autentiserade. Det säkerställer att användaren autentiseras på nytt och att en ny session upprättas.
• Välj_konto
  Användaren kan välja konto från sessioner inuti webbläsaren (ingen inloggning krävs)
  

6. Kontrollera ESA -flöden: Autentisering -> Flöden. Om Efecte-inloggning används av webbläsarflödet eller den inbyggda webbläsaren används av webbläsarflödet, ändra ditt nya flöde till webbläsarflödet i steg 6.1.

6.1 Välj ditt nya flöde (i det här fallet kallat M42 browser SSO) och tre punkter och Bind flöde

6.2 Välj webbläsare och spara ändringarna

7. Konfigurera utloggnings-URL:er för portal och ESM

Om du inte konfigurerar dessa korrekt, kommer Secure Access efter utloggning att försöka logga in användaren automatiskt tillbaka till Matrix42 Core , Pro and IGA (användaren kan hamna i en utloggnings-inloggningsloop). Utloggnings-URL:en kan till exempel vara kundens intranätadress eller vilken sida kunden vill använda.

Inställningen för ESM-utloggnings-URL finns under Underhåll / Systeminställningar / Redigera plattformsinställningar

Inställning: sessionterminator.redirecturl

Inställningsformatet är <your matrix42 system url>/Shibboleth.sso/Logout?return=https://companyintranet.companyexample.com

från skärmdumpen, ange din utloggningssidas adress efter ?return=

Inställningen för utloggnings-URL för portalen (ssc) är på ssc admin <your matrix42 system url>/ssc/admin under Inställningar / Allmänt

Inställning: Utloggningssida

Utloggningssidan för portalen är per hyresgäst, så varje hyresgäst kan ha en egen utloggningssida om det behövs.

8. Testa automatisk inloggning och testa även utloggning