Konfigurieren von HPE Aruba Networking EdgeConnect Orchestrator für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie HPE Aruba Networking EdgeConnect Orchestrator mit Microsoft Entra ID integrieren. Wenn Sie HPE Aruba Networking EdgeConnect Orchestrator mit Microsoft Entra ID integrieren, können Sie:

• In Microsoft Entra-ID kontrollieren, wer Zugriff auf HPE Aruba Networking EdgeConnect Orchestrator hat.
• Ermöglichen Sie Ihren Benutzern, sich mit deren Microsoft Entra-Konten automatisch bei HPE Aruba Networking EdgeConnect Orchestrator anzumelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Version 9.4.1 oder neuer von HPE Aruba Networking EdgeConnect Orchestrator

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

• HPE Aruba Networking EdgeConnect Orchestrator unterstützt sowohl SP- als auch IDP-initiiertes SSO.

Hinzufügen von HPE Aruba Networking EdgeConnect Orchestrator aus der Galerie

Um die Integration von HPE Aruba Networking EdgeConnect Orchestrator in Microsoft Entra ID zu konfigurieren, müssen Sie HPE Aruba Networking EdgeConnect Orchestrator aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.

3. Geben Sie im Abschnitt Aus der Galerie hinzufügenHPE Aruba Networking EdgeConnect Orchestrator in das Suchfeld ein.

4. Wählen Sie HPE Aruba Networking EdgeConnect Orchestrator aus dem Ergebnisbereich. Geben Sie einen Namen ein, und wählen Sie "Erstellen" aus, um die App hinzuzufügen. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

   

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra SSO für HPE Aruba Networking EdgeConnect Orchestrator

Konfigurieren und testen Sie Microsoft Entra SSO mit HPE Aruba Networking EdgeConnect Orchestrator mit einem Testbenutzer namens B.Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen Microsoft Entra-Benutzern und den entsprechenden Benutzern in Aruba Networking EdgeConnect Orchestrator eingerichtet werden.

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO mit HPE Aruba Networking EdgeConnect Orchestrator zu konfigurieren und zu testen:

1. Konfigurieren Sie Microsoft Entra SSO – Mit diesem Schritt können Ihre Benutzer dieses Feature verwenden.
2. Erstellen Sie einen Microsoft Entra-Testbenutzer – Mit diesem Schritt können Sie microsoft Entra Single Sign-On mit B.Simon testen.
3. Weisen Sie den Testbenutzer der HPE Aruba Networking EdgeConnect Orchestrator-Anwendung zu – Mit diesem Schritt können Sie B.Simon die Verwendung von Microsoft Entra Single Sign-On auf EdgeConnect Orchestrator aktivieren.
4. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um das einmalige Anmelden von Microsoft Entra im Microsoft Entra Admin Center zu aktivieren.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps. Geben Sie in der Suchleiste den Namen der zuvor erstellten HPE Aruba Networking EdgeConnect Orchestrator-App ein. Die Seite "Übersicht" wird geöffnet.

3. Wählen Sie im linken Bereich unter "Verwalten" die Option "Einmaliges Anmelden" aus.

4. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

5. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

6. Führen Sie im Abschnitt "Grundlegende SAML-Konfiguration " die folgenden Schritte aus:

   a) Sie müssen die Werte des Textfelds Identifier (Entitäts-ID), des Textfelds Reply URL (Assertion Consumer Service URL) und der Logout URL (Optional) eingeben. Um diese Werte zu finden, melden Sie sich zuerst bei Orchestrator an und navigieren Sie zum Dialogfeld Authentifizierung(Orchestrator-Benutzer > und Authentifizierung>).

   

   b. Wählen Sie im Dialogfeld "Authentifizierung " +Neuen Server hinzufügen aus.

   Abschnitt c. Wählen Sie im Feld TypSAML aus.

   d. Geben Sie im Feld "Name " einen Namen für Ihre SAML-Konfiguration ein.

   e. Wählen Sie das Kopiersymbol neben dem ACS-URL-Feld aus.

   f. Wechseln Sie zum Abschnitt " Grundlegende SAML-Konfiguration " auf der Seite "Einmaliges Anmelden mit SAML einrichten ":

   1. Wählen Sie unter Bezeichner (Entitäts-ID) den Link "Bezeichner hinzufügen " aus. Fügen Sie den Wert der ACS-URL in das Feld „Bezeichner“ ein.

      Hinweis

      1. Verwenden Sie das folgende Muster, wenn Sie SAML SSO für eines der folgenden drei Orchestrator-Produkte konfigurieren: "HPE Aruba Networking EdgeConnect Cloud Orchestrator", "HPE Aruba Networking EdgeConnect Service Provider Orchestrator" und "HPE Aruba Networking EdgeConnect Global Enterprise Orchestrator"- https://<SUBDOMAIN>.silverpeak.cloud/gms/rest/authentication/saml2/consume.
      2. Verwenden Sie das folgende Muster, wenn Sie SAML SSO für einen selbst bereitgestellten HPE Aruba Networking EdgeConnect Orchestrator konfigurieren (unabhängig davon, ob es lokal oder in einer öffentlichen Cloudumgebung wie Microsoft Entra https://<PUBLIC-IP-ADDRESS-OF-ORCHESTRATOR>/gms/rest/authentication/saml2/consumebereitgestellt wird).

   2. Wählen Sie unter Antwort-URL (Assertion Consumer Service URL)den Link "Antwort-URL hinzufügen" aus. Fügen Sie denselben ACS-URL-Wert in das Feld „Antwort-URL“ ein.

      Hinweis

      1. Verwenden Sie das folgende Muster, wenn Sie SAML SSO für eines der folgenden drei Orchestrator-Produkte konfigurieren: "HPE Aruba Networking EdgeConnect Cloud Orchestrator", "HPE Aruba Networking EdgeConnect Service Provider Orchestrator" und "HPE Aruba Networking EdgeConnect Global Enterprise Orchestrator"- https://<SUBDOMAIN>.silverpeak.cloud/gms/rest/authentication/saml2/consume.
      2. Verwenden Sie das folgende Muster, wenn Sie SAML SSO für einen selbst bereitgestellten HPE Aruba Networking EdgeConnect Orchestrator konfigurieren (unabhängig davon, ob es lokal oder in einer öffentlichen Cloudumgebung wie Microsoft Entra https://<PUBLIC-IP-ADDRESS-OF-ORCHESTRATOR>/gms/rest/authentication/saml2/consumebereitgestellt wird).

   3. Fügen Sie unter "Abmelde-URL (Optional)" den EdgeConnect SLO-Endpunktwert von der Seite „Remote-Authentifizierungsserver“ des Orchestrators ein, wie in der Abbildung unten dargestellt.

   Hinweis

   Wenn Orchestrator bei selbstgehosteten Orchestrator-Instanzen die private IP-Adresse im Feld „ACS-URL“ und im Feld „EdgeConnect SLO Endpoint“ anzeigt, aktualisieren Sie sie mit der öffentlichen IP-Adresse von Orchestrator. Wie im folgenden Screenshot gezeigt, müssen alle fünf Felder die öffentliche IP-Adresse (nicht die private IP-Adresse) des Orchestrator enthalten.

   

   g. Wählen Sie "Speichern" aus, um den Abschnitt " Grundlegende SAML-Konfiguration" zu schließen.

7. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " im Abschnitt "Attribute & Ansprüche " das Bearbeitungssymbol aus, kopieren Sie den hervorgehobenen Eintrag unten, und fügen Sie die Informationen wie unten dargestellt in das Feld "Benutzername-Attribut " in Orchestrator ein:

   

8. Suchen Sie auf der Seite "Einmaliges Anmelden mit SAML einrichten" im Abschnitt "SAML-Signaturzertifikat" das Zertifikat (Base64) und wählen Sie "Herunterladen" aus, um das Zertifikat herunterzuladen:

   

9. Öffnen Sie das Zertifikat mit einem Text-Editor (beispielsweise mit dem Windows-Editor). Kopieren Und einfügen Sie den Inhalt des Zertifikats im Feld "IdP X.509 Cert " in Orchestrator, wie unten dargestellt:

   

10. Kopieren Sie auf der Seite "Einmaliges Anmelden mit SAML einrichten" im Abschnitt "Einrichten von HPE Aruba Networking EdgeConnect Orchestrator " den Microsoft Entra-Bezeichner , und fügen Sie ihn in das Feld " Aussteller-URL " in Orchestrator ein:

    

11. Wählen Sie die Registerkarte "Eigenschaften" aus, und kopieren Sie die BENUTZERzugriffs-URL , und fügen Sie sie wie unten gezeigt in das Feld "SSO-Endpunkt " in Orchestrator ein:

    

12. Legen Sie im Dialogfeld "Orchestrator-Remoteauthentifizierungsserver" das Feld "Standardrolle" fest. Beispiel: SuperAdmin. (Dies ist das letzte Element in der Dropdownliste.) Die Angabe unter „Default role“ ist erforderlich, wenn Sie nicht die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) in den Benutzerattributen im Abschnitt „Attribute und Ansprüche“ definiert haben.

13. Wählen Sie Speichern im Dialogfeld Remote-Authentifizierungsserver aus.

14. Sie haben die SAML-SSO-Authentifizierung erfolgreich in Orchestrator konfiguriert. Der nächste Schritt besteht darin, einen Testbenutzer zu erstellen und diesem Benutzer die Orchestrator-Anwendung zuzuweisen, um zu überprüfen, ob SAML erfolgreich konfiguriert wurde.

Erstellen eines Microsoft Entra-Testbenutzers

In diesem Abschnitt erstellen Sie einen Testbenutzer im Microsoft Entra Admin Center namens B.Simon.

1. Melden Sie sich mindestens als Benutzeradministrator beim Microsoft Entra Admin Center an.
2. Navigieren Sie zu Entra-ID-Benutzern>.
3. Wählen Sie oben auf dem Bildschirm " Neuen Benutzer>erstellen" aus.
4. Führen Sie in den Benutzereigenschaften die folgenden Schritte aus:
   1. Geben Sie im Feld "Anzeigename " die Zeichenfolge B.Simonein.
   2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension ein. Beispiel: B.Simon@contoso.com.
   3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen , und notieren Sie dann den Wert, der im Feld "Kennwort " angezeigt wird.
   4. Wählen Sie "Überprüfen" und "Erstellen" aus.
5. Wählen Sie "Erstellen" aus.

Zuweisen des Testbenutzers zur HPE Aruba Networking EdgeConnect Orchestrator-Anwendung

In diesem Abschnitt aktivieren Sie B.Simon, microsoft Entra Single Sign-On zu verwenden, indem Sie Zugriff auf HPE Aruba Networking EdgeConnect Orchestrator gewähren.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
2. Navigieren Sie zu entra ID>Enterprise-Apps>HPE Aruba Networking EdgeConnect Orchestrator.
3. Wählen Sie auf der App-Übersichtsseite "Benutzer und Gruppen" aus.
4. Wählen Sie "Benutzer/Gruppe hinzufügen" und dann im Dialogfeld "Zuweisung hinzufügen" die Option "Benutzer und Gruppen" aus.
   1. Wählen Sie im Dialogfeld "Benutzer und Gruppen " in der Liste "Benutzer" die Option "B.Simon " und dann unten auf dem Bildschirm die Schaltfläche " Auswählen " aus.
   2. Wenn Sie davon ausgehen, dass den Benutzern eine Rolle zugewiesen wird, können Sie sie aus der Dropdownliste "Rolle auswählen " auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
   3. Wählen Sie im Dialogfeld " Zuweisung hinzufügen " die Schaltfläche " Zuweisen " aus.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

• Wählen Sie "Diese Anwendung testen " im Microsoft Entra Admin Center aus. Diese Option leitet zu HPE Aruba Networking EdgeConnect Orchestrator Sign on URL um, wo Sie den Anmeldefluss initiieren können.

• Wechseln Sie direkt zur Anmelde-URL von HPE Aruba Networking EdgeConnect Orchestrator und initiieren Sie den Anmeldefluss von dort aus.

IDP-initiiert:

• Wählen Sie "Diese Anwendung testen " im Microsoft Entra Admin Center aus, und Sie sollten automatisch beim HPE Aruba Networking EdgeConnect Orchestrator angemeldet sein, für den Sie das SSO einrichten.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Wenn Sie die Kachel HPE Aruba Networking EdgeConnect Orchestrator in den "Meine Apps" auswählen, werden Sie, wenn sie im SP-Modus konfiguriert sind, zur Anmeldeseite weitergeleitet, um den Anmeldefluss zu initiieren, und wenn sie im IDP-Modus konfiguriert sind, sollten Sie automatisch beim HPE Aruba Networking EdgeConnect Orchestrator angemeldet sein, für den Sie das SSO einrichten. Weitere Informationen zu "Meine Apps" finden Sie in der Einführung in "Meine Apps".

Verwandte Inhalte

Nach dem Konfigurieren von HPE Aruba Networking EdgeConnect Orchestrator können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.