1. För att aktivera SAML -baserad inloggning måste först en ny applikation skapas i Entra -molnet enligt kundens instruktioner . Kunden har gett dig URL:en för metadata för appfederation från Entra .

2. Pro för autentisering måste konfigureras i Efecte Service Management-plattformen innan Efecte Secure Access komponenten konfigureras.

Hur konfigurerar man en provisioneringsuppgift för autentisering?

3. Kontrollera att konfigurationen är korrekt lagrad i Efecte Secure Access (med samma information som angetts i konfigurationen av provisioneringsuppgiften). Logga in med ESA Admin(main.admin) för att gå till URL: en domain.com/auth/admin.

Välj rätt sfär från det övre hörnet

Välj Identitetsleverantörer från menyn

4. I listan bör samma provisioneringsuppgift för autentisering visas, som skapades för Efecte Service Management-plattformen.

5. Kopiera en URL som anges som omdirigerings-URI från ESA konfigurationsskärmen och ange denna till kunden (behövs i Entra som omdirigerings-URI).

6. Kom ihåg att markera inställningen "Tillåten klockförskjutning" och definiera den till exempel 3 eller 5 sekunder. Standardvärdet är '0' (vilket innebär att eventuella avvikelser mellan ESA :s interna klocka och en Pro klocka orsakar felet: "Påstående har upphört att gälla".

7. När ovanstående konfiguration är klar visas ett nytt inloggningsalternativ på ESA inloggningssida.

8. Lägg till Entra ID relaterade https-certifikat till Secure Access komponenten

Dessa behövs för att upprätta en säker anslutning mellan Entra ID och Secure Access system.

Följ uid i kapitlet ”Lägg till Microsoft-relaterade certifikat i Secure Access ”: https://docs.efecte.com/configure-authentication/download-and-install-certificates-to-secure-access-esa

1. För att aktivera SAML -baserad inloggning måste kunden konfigurera AD med dessa instruktioner .
   
   
2. Pro för autentisering måste konfigureras i Efecte Service Management-plattformen innan Efecte Secure Access komponenten konfigureras.
   • Hur konfigurerar man en provisioneringsuppgift för autentisering?
     
     

Kontrollera att konfigurationen är korrekt lagrad i Efecte Secure Access (med samma information som angetts i konfigurationen av provisioneringsuppgiften). Logga in med ESA Admin(main.admin) för att gå till URL: en domain.com/auth/admin.

1. Välj rätt sfär från det övre hörnet
   
   
   
2. Välj Identitetsleverantörer från menyn
   
   
3. I listan bör samma provisioneringsuppgift för autentisering visas, som skapades för Efecte Service Management-plattformen.
   
   
4. Kontrollera att konfigurationen överförs korrekt från Efecte Service Management-plattformen till Efecte Secure Access komponenten.
   
   
5. Lägg till och aktivera följande inställningar, om det behövs:
   • Utloggning från bakkanalen
     • Backchannel-utloggning är en mekanism som är utformad för att säkerställa att när en användare loggar ut från en identitetsleverantör (IdP/ ESA ), loggas de också ut från alla associerade förlitande parter (RP) eller applikationer.
     • Om "Vill att AuthnRequests ska signeras" är aktiverat i AD FS är utloggning från bakkanalen obligatorisk.
   • HTTP-POST-bindningssvar
   • HTTP-POST-bindning för AuthnRequest
   • Validera signatur
     
     
6. Om autentiseringsförfrågningarna som skickas till AD FS-instansen förväntas vara signerade, aktivera alternativet Vill ha AuthnRequests signerade. Då visas fältet SAML signaturnyckelnamn.
   
   
7. Ange fältalternativet SAML signaturnyckelnamn till CERT_SUBJECT. AD FS förväntar sig att ledtråden till signeringsnyckelnamnet ska vara ämnet för signeringscertifikatet.
   
   
8. Om AD FS är konfigurerat för att svara med namn-ID i formatet Windows Domain Qualified Name, ange fältet NameID-policyformat därefter.
   

Om, av någon anledning, nedanstående skärm visas efter att du använt den nya knappen för att logga in på Entra , betyder det att ESA behöver ytterligare konfiguration.

För att kunna skicka användaren från ESA till andra system (ESM, ESS, IGA ) måste ESA vara medveten om användarens kontext. För detta ändamål lagrar ESA lite metadata som beskriver varje användare som försökte logga in.

Skärmen ovan visas eftersom ESA inte kan hämta all nödvändig data från Pro ( Entra ) och ber användaren att manuellt mata in all nödvändig data.

Vi kan övervinna det och förbereda en automatisering som automatiskt mappar attribut med data som kommer från Entra , till attribut som krävs av ESA användaren.

1. Logga in med ESA admin (main.admin) för att gå till URL: en domain.com/auth
   
   
2. Välj rätt sfär från menyn i det övre hörnet
   
   
3. Öppna inställningarna för Identity Pro från den vänstra sidopanelen.
   
    
4. Gå till avsnittet Kartläggare. Här är ett exempel på hur de ska definieras.
   
   

• För e-post, använd mapper-typen Attribute Importer.
  Mappa användarattributets e-postadress till http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  
• För användarnamn, använd mapper-typen Användarnamn Attribut Importer.
  Mappa användarnamnsattributet användarnamn till http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  
• För efternamn, använd mapper-typen Attribute Importer.
  Mappa användarattributet lastName till http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  
• För förnamn, använd mapper-typen Attribute Importer.

Mappa användarattributet firstName till http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

Om gruppmappare behövs, lägg till gruppmapparen i inställningarna för identitetsleverantörer.
Mappa användarattributgrupperna till http://schemas.xmlsoap.org/ws/200 8/06/identity/claims/groups

Efter dessa steg:

• Se till att ett persondatakort skapas i ESM.
• Se till att Person har rätt värde i uid - det kommer att användas senare som inloggningsnamn.

När ovanstående steg är slutförda, kommer ESM under inloggningsprocessen att skapa ett saknat användarobjekt, länka det till en befintlig person och fortsätta till ITSM:s startsida för den angivna rollen.

OBS! Om det inte finns någon anledning att lagra användare i ESA kan du välja Lagra inte användare i identitetsleverantör. Detta innebär att användare inte sparas i ESA . Om användardata innehåller känslig information kan detta användas, till exempel personnummer. Observera att du efter detta inte längre kan se användaren i ESA , mappers kommer att fungera som vanligt. Som standard lagras användare i ESA .

Det finns två alternativ:

1. Installera SAML meddelandeavkodaren i din webbläsare. SAML avkodarna finns tillgängliga som webbläsartillägg (t.ex. SAML Tracer för Firefox, SAML Chrome Panel för Google Chrome).
   
   ELLER
2. Ställ in ESA -loggen på DEBUG-nivå
   
   
   1. Redigera den här filen inuti ESA behållaren:
      /etc/containerpilot/jobs/esa/start_primary
      
      ändra från detta:
      --log-nivå=INFO
      
      till detta:
      --log-level=FELSÖKNING
      
      
   2. sedan, avsluta Java-processen:
      $ pkill java
      
      
   3. för att återställa ändringarna, ändra tillbaka "--log-level" till INFO, och avsluta sedan Java-processen ($ pkill java)
      
      OBS! om ESA behållaren startas om kommer alla ändringar att återställas - i det här fallet kommer felsökningsnivån att vara tillbaka till INFO)
      
      

ESA loggen kan hittas från ESM UI.

1. Logga in i Efecte som root-användare
2. Välj IGA modul
3. Välj EPE/ ESA konfiguration
4. Välj ESA loggar och keycloak .log
   

Om kunden vill omdirigera användare till SSO-leverantören (du behöver inte se inloggningssidan Secure Access först), gör då följande konfiguration i Secure Access .

1. Välj rätt sfär från den övre vänstra rullgardinsmenyn

2. Öppna Autentisering från den vänstra sidopanelen

3. I webbläsaren (inbyggd) välj knappen med de tre prickarna till vänster och välj sedan duplicera

4. Ge den ett namn och en beskrivning och klicka sedan på Duplicera

Obs! Om du inte skapar en duplikat, utan istället ändrar det inbyggda webbläsarflödet, kan nästa uppgradering av ESA Keycloak -versionen åsidosätta dina ändringar.

5. Ställ in Identity Pro Redirector till "Alternativ"

OBS! Om Identity Pro vider Redirector saknas i webbläsarens steg kan du lägga till den härifrån:

4. Konfigurera standardidentitetsleverantören från "wheel config button". Alias = Namn på konfigurationen. Pro = För att automatiskt omdirigera till en identitetsleverantör som är inställd på identitetsleverantörens alias.

Kontrollera alias från din identitetsleverantör, vilket du har gjort för SAML i tidigare steg i den här uid .

Konfigurera aliaset till standardattributet Pro identitetsleverantör genom att välja hjulet och ge det ett nytt aliasnamn och ställa in ditt identitetsleverantörsalias till standardattributet Pro identitetsleverantör. Krav: Alternativ.

5. Ändra Pro inställningar för meddelanden från avsnittet Avancerat om det behövs. Be kunden om korrekt värde beroende på hur de vill att automatisk inloggning ska fungera.

• Ospecificerad
  Det här alternativet lämnar beslutsuppgiften till Entra ID
• Ingen
  Det här alternativet gör alltid Entra ID inloggning, det finns ingen möjlighet att använda Entra ID -uppgifter manuellt.
• Samtycke
  Används vanligtvis inte. Kräver att användaren ger samtycke till de begärda behörigheterna. Om användaren redan har samtyckt tidigare kommer ingen interaktion att ske. Men om de inte har samtyckt ännu visar systemet en samtyckesskärm som visar de behörigheter som applikationen begär.
• Inloggning
  Standard. Tvingar användaren att logga in, även om de redan är autentiserade. Det säkerställer att användaren autentiseras på nytt och att en ny session upprättas.
• Välj_konto
  Användaren kan välja konto från sessioner inuti webbläsaren (ingen inloggning krävs)
  

6. Kontrollera ESA -flöden: Autentisering -> Flöden. Om Efecte-inloggning används av webbläsarflödet eller den inbyggda webbläsaren används av webbläsarflödet, ändra ditt nya flöde till webbläsarflödet i steg 6.1.

6.1 Välj ditt nya flöde (i det här fallet kallat M42 browser SSO) och tre punkter och Bind flöde

6.2 Välj webbläsare och spara ändringarna

7. Konfigurera utloggnings-URL:er för portal och ESM

Om du inte konfigurerar dessa korrekt, kommer Secure Access efter utloggning att försöka logga in användaren automatiskt tillbaka till Matrix42 Core , Pro and IGA (användaren kan hamna i en utloggnings-inloggningsloop). Utloggnings-URL:en kan till exempel vara kundens intranätadress eller vilken sida kunden vill använda.

Inställningen för ESM-utloggnings-URL finns under Underhåll / Systeminställningar / Redigera plattformsinställningar

Inställning: sessionterminator.redirecturl

Inställningsformatet är <your matrix42 system url>/Shibboleth.sso/Logout?return=https://companyintranet.companyexample.com

från skärmdumpen, ange din utloggningssidas adress efter ?return=

Inställningen för utloggnings-URL för portalen (ssc) är på ssc admin <your matrix42 system url>/ssc/admin under Inställningar / Allmänt

Inställning: Utloggningssida

Utloggningssidan för portalen är per hyresgäst, så varje hyresgäst kan ha en egen utloggningssida om det behövs.

8. Testa automatisk inloggning och testa även utloggning