Microsoft Entra SSO-Integration in HPE Aruba Networking EdgeConnect Orchestrator

In diesem Lernprogramm erfahren Sie, wie Sie HPE Aruba Networking EdgeConnect Orchestrator mit Microsoft Entra ID integrieren. Wenn Sie HPE Aruba Networking EdgeConnect Orchestrator mit Microsoft Entra ID integrieren, können Sie:

• In Microsoft Entra-ID kontrollieren, wer Zugriff auf HPE Aruba Networking EdgeConnect Orchestrator hat.
• Ermöglichen Sie Ihren Benutzern, sich mit deren Microsoft Entra-Konten automatisch bei HPE Aruba Networking EdgeConnect Orchestrator anzumelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

Um Microsoft Entra ID in HPE Aruba Networking EdgeConnect Orchestrator zu integrieren, benötigen Sie:

• Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
• Version 9.4.1 oder neuer von HPE Aruba Networking EdgeConnect Orchestrator

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

• HPE Aruba Networking EdgeConnect Orchestrator unterstützt sowohl SP- als auch IDP-initiierte SSO.

Hinzufügen von HPE Aruba Networking EdgeConnect Orchestrator aus der Galerie

Um die Integration von HPE Aruba Networking EdgeConnect Orchestrator in Microsoft Entra ID zu konfigurieren, müssen Sie HPE Aruba Networking EdgeConnect Orchestrator aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.

3. Geben Sie im Abschnitt Vom Katalog hinzufügen den Typ HPE Aruba Networking EdgeConnect Orchestrator in das Suchfeld ein.

4. Wählen Sie im Ergebnisbereich die Kachel HPE Aruba Networking EdgeConnect Orchestrator aus. Geben Sie einen Namen ein, und klicken Sie auf Erstellen, um die App hinzuzufügen. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

   

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra SSO für HPE Aruba Networking EdgeConnect Orchestrator

Konfigurieren und testen Sie Microsoft Entra SSO mit HPE Aruba Networking EdgeConnect Orchestrator mit Hilfe einer Testbenutzerin namens B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen Microsoft Entra-Benutzern und den entsprechenden Benutzern in Aruba Networking EdgeConnect Orchestrator eingerichtet werden.

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO mit HPE Aruba Networking EdgeConnect Orchestrator zu konfigurieren und zu testen:

1. Konfigurieren des einmaligen Anmeldens von Microsoft Entra: In diesem Schritt ermöglichen Sie Ihren Benutzern die Verwendung dieses Features.
2. Erstellen eines Microsoft Entra ID-Testbenutzers: In diesem Schritt können Sie das einmalige Anmelden von Microsoft Entra mit B. Simon testen.
3. Zuweisen des Testbenutzers zur Anwendung „HPE Aruba Networking EdgeConnect Orchestrator“: In diesem Schritt ermöglichen Sie B. Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra in EdgeConnect Orchestrator.
4. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um das einmalige Anmelden von Microsoft Entra im Microsoft Entra Admin Center zu aktivieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen. Geben Sie in der Suchleiste den Namen der App HPE Aruba Networking EdgeConnect Orchestrator ein, die Sie zuvor erstellt haben. Die Seite Übersicht wird angezeigt.

3. Klicken Sie im linken Bereich unter verwalten auf Einmaliges Anmelden.

4. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

5. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

   

6. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:

   a. Sie müssen die Werte für das Textfeld Bezeichner (Entitäts-ID), das Textfeld Antwort-URL (Assertionsverbraucherdienst-URL) und für „Abmelde-URL (Optional)“ eingeben. Diese Werte können Sie wie folgt abrufen: Melden Sie sich zunächst bei Orchestrator an, und navigieren Sie zum Dialogfeld Authentication (Orchestrator > Users & Authentication > Authentication).

   

   b. Klicken Sie im Dialogfeld Authentication auf +Add New Server.

   c. Wählen Sie im Feld Type die Option SAML aus.

   d. Geben Sie im Feld Name einen Namen für Ihre SAML-Konfiguration ein.

   e. Klicken Sie auf das Kopiersymbol neben dem Feld ACS URL.

   f. Navigieren Sie auf der Microsoft-Seite Einmaliges Anmelden mit SAML einrichten zum Abschnitt Grundlegende SAML-Konfiguration:

   1. Klicken Sie unter Bezeichner (Entitäts-ID) auf den Link Bezeichner hinzufügen. Fügen Sie den Wert der ACS-URL in das Feld „Bezeichner“ ein.

      Hinweis

      1. Verwenden Sie das folgende Muster, wenn Sie SAML-SSO für eines der folgenden drei Orchestrator-Produkte konfigurieren: „HPE Aruba Networking EdgeConnect Cloud Orchestrator“, „HPE Aruba Networking EdgeConnect Service Provider Orchestrator“ und „HPE Aruba Networking EdgeConnect Global Enterprise Orchestrator“- https://<SUBDOMAIN>.silverpeak.cloud/gms/rest/authentication/saml2/consume.
      2. Verwenden Sie das folgende Muster, wenn Sie SAML-SSO für eine selbst bereitgestellte Instanz von HPE Aruba Networking EdgeConnect Orchestrator konfigurieren (unabhängig davon, ob sie lokal oder in einer öffentlichen Cloudumgebung wie Microsoft Entra bereitgestellt wird)- https://<PUBLIC-IP-ADDRESS-OF-ORCHESTRATOR>/gms/rest/authentication/saml2/consume.

   2. Klicken Sie unter Antwort-URL (Assertionsverbraucherdienst-URL) auf Link für Antwort-URL hinzufügen. Fügen Sie denselben ACS-URL-Wert in das Feld „Antwort-URL“ ein.

      Hinweis

      1. Verwenden Sie das folgende Muster, wenn Sie SAML-SSO für eines der folgenden drei Orchestrator-Produkte konfigurieren: „HPE Aruba Networking EdgeConnect Cloud Orchestrator“, „HPE Aruba Networking EdgeConnect Service Provider Orchestrator“ und „HPE Aruba Networking EdgeConnect Global Enterprise Orchestrator“- https://<SUBDOMAIN>.silverpeak.cloud/gms/rest/authentication/saml2/consume.
      2. Verwenden Sie das folgende Muster, wenn Sie SAML-SSO für eine selbst bereitgestellte Instanz von HPE Aruba Networking EdgeConnect Orchestrator konfigurieren (unabhängig davon, ob sie lokal oder in einer öffentlichen Cloudumgebung wie Microsoft Entra bereitgestellt wird)- https://<PUBLIC-IP-ADDRESS-OF-ORCHESTRATOR>/gms/rest/authentication/saml2/consume.

   3. Fügen Sie unter Abmelde-URL (Optional) den Wert für EdgeConnect SLO Endpoint von der Seite „Remote Authentication Server“ in Orchestrator ein, wie in der folgenden Abbildung gezeigt:

   Hinweis

   Wenn Orchestrator bei selbstgehosteten Orchestrator-Instanzen die private IP-Adresse im Feld „ACS-URL“ und im Feld „EdgeConnect SLO Endpoint“ anzeigt, aktualisieren Sie sie mit der öffentlichen IP-Adresse von Orchestrator. Wie im folgenden Screenshot gezeigt, müssen alle fünf Felder die öffentliche IP-Adresse (nicht die private IP-Adresse) des Orchestrator enthalten.

   

   g. Klicken Sie auf Speichern, um den Abschnitt Grundlegende SAML-Konfiguration zu schließen.

7. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt Attribute und Ansprüche auf das Bearbeitungssymbol, und kopieren Sie den unten hervorgehobenen Eintrag. Fügen Sie die Informationen wie folgt in Orchestrator in das Feld Username Attribute ein:

   

8. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zum Eintrag Zertifikat (Base64), und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen:

   

9. Öffnen Sie das Zertifikat mit einem Text-Editor (beispielsweise mit dem Windows-Editor). Kopieren Sie den Inhalt des Zertifikats, und fügen Sie ihn in das Feld IdP X.509 Cert in Orchestrator ein, wie unten dargestellt:

   

10. Kopieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt HPE Aruba Networking EdgeConnect Orchestrator einrichten den Wert unter Microsoft Entra-Bezeichner, und fügen Sie ihn in Orchestrator in das Feld Issuer URL ein:

    

11. Klicken Sie auf die Registerkarte „Properties“, kopieren Sie den Wert unter User access URL, und fügen Sie ihn in das Feld SSO Endpoint in Orchestrator ein, wie unten gezeigt:

    

12. Legen Sie in Orchestrator im Dialogfeld „Remote Authentication Server“ das Feld Default role fest. Beispiel: SuperAdmin. (Dies ist das letzte Element in der Dropdownliste.) Die Angabe unter „Default role“ ist erforderlich, wenn Sie nicht die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) in den Benutzerattributen im Abschnitt „Attribute und Ansprüche“ definiert haben.

13. Klicken Sie im Dialogfeld „Remote Authentication Server“ auf Save.

14. Sie haben die SAML-SSO-Authentifizierung erfolgreich in Orchestrator konfiguriert. Der nächste Schritt besteht darin, einen Testbenutzer zu erstellen und diesem Benutzer die Orchestrator-Anwendung zuzuweisen, um zu überprüfen, ob SAML erfolgreich konfiguriert wurde.

Erstellen eines Microsoft Entra-Testbenutzers

In diesem Abschnitt erstellen Sie im Microsoft Entra Admin Center einen Testbenutzer namens B. Simon.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
   1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
   2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
   3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
   4. Klicken Sie auf Überprüfen + erstellen.
5. Klicken Sie auf Erstellen.

Zuweisen des Testbenutzers zur HPE Aruba Networking EdgeConnect Orchestrator-Anwendung

In diesem Abschnitt aktivieren Sie B. Simon für die Verwendung von Microsoft Entra SSO, indem Sie ihr Zugriff auf HPE Aruba Networking EdgeConnect Orchestrator gewähren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>HPE Aruba Networking EdgeConnect Orchestrator.
3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
4. Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
   1. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
   2. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
   3. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

• Klicken Sie im Microsoft Entra Admin Center auf Diese Anwendung testen. Dadurch werden Sie zur Anmelde-URL von HPE Aruba Networking EdgeConnect Orchestrator weitergeleitet, wo Sie den Anmeldefluss initiieren können.

• Wechseln Sie direkt zur Anmelde-URL von HPE Aruba Networking EdgeConnect Orchestrator und initiieren Sie den Anmeldefluss von dort aus.

IDP-initiiert:

• Klicken Sie im Microsoft Entra Admin Center auf Diese Anwendung testen. Dadurch sollten Sie automatisch bei HPE Aruba Networking EdgeConnect Orchestrator angemeldet werden, für das Sie das einmalige Anmelden eingerichtet haben.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Beim Klicken auf die Kachel „HPE Aruba Networking EdgeConnect Orchestrator“ in „Meine Apps“ geschieht Folgendes: Wenn Sie den SP-Modus konfiguriert haben, werden Sie zum Initiieren des Anmeldeflows zur Anmeldeseite der Anwendung weitergeleitet. Wenn Sie den IDP-Modus konfiguriert haben, sollten Sie automatisch bei HPE Aruba Networking EdgeConnect Orchestrator angemeldet werden, für das Sie das einmalige Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von HPE Aruba Networking EdgeConnect Orchestrator können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.