Compartir vía

Integración de SSO de Microsoft Entra con HPE Aruba Networking EdgeConnect Orchestrator

  • Artículo

En este tutorial, aprenderá a integrar HPE Aruba Networking EdgeConnect Orchestrator con Microsoft Entra ID. Cuando integra HPE Aruba Networking EdgeConnect Orchestrator con Microsoft Entra ID, puede:

  • Controlar en Microsoft Entra ID quién tiene acceso a HPE Aruba Networking EdgeConnect Orchestrator.
  • Permitir que sus usuarios inicien sesión automáticamente en HPE Aruba Networking EdgeConnect Orchestrator con sus cuentas de Microsoft Entra.
  • Administre sus cuentas en una ubicación central.

Requisitos previos

Para integrar Microsoft Entra ID con HPE Aruba Networking EdgeConnect Orchestrator, necesita:

  • Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
  • HPE Aruba Networking EdgeConnect Orchestrator versión 9.4.1 o posterior.

Descripción del escenario

En este tutorial va a configurar y probar el inicio de sesión único de Microsoft Entra en un entorno de prueba.

  • HPE Aruba Networking EdgeConnect Orchestrator admite el SSO iniciado tanto por SP como por IDP.

Para configurar la integración de HPE Aruba Networking EdgeConnect Orchestrator en Microsoft Entra ID, debe agregar HPE Aruba Networking EdgeConnect Orchestrator desde la galería a su lista de aplicaciones SaaS administradas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.

  3. En la sección Agregar desde la galería, escriba HPE Aruba Networking EdgeConnect Orchestrator en el cuadro de búsqueda.

  4. Seleccione el icono HPE Aruba Networking EdgeConnect Orchestrator en el panel de resultados. Escriba un nombrey haga clic en Crear para agregar la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

    Captura de pantalla que muestra cómo seleccionar HPE Aruba Networking EdgeConnect Orchestrator.

Si lo desea, puede usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación, asignar roles y recorrer la configuración de inicio de sesión único. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba de Microsoft Entra SSO para HPE Aruba Networking EdgeConnect Orchestrator

Configure y pruebe Microsoft Entra SSO con HPE Aruba Networking EdgeConnect Orchestrator usando un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, necesita establecer una relación de enlace entre un usuario de Microsoft Entra y el usuario relacionado en HPE Aruba Networking EdgeConnect Orchestrator.

Para configurar y probar Microsoft Entra SSO con HPE Aruba Networking EdgeConnect Orchestrator, realice los siguientes pasos:

  1. Configuración del inicio de sesión único de Microsoft Entra: este paso permite a los usuarios usar esta característica.
  2. Creación de un usuario de prueba de Microsoft Entra ID: este paso le permite probar el inicio de sesión único de Microsoft Entra con B.Simon.
  3. Asignación del usuario de prueba a la aplicación HPE Aruba Networking EdgeConnect Orchestrator: este paso le permite habilitar a B.Simon para que use el inicio de sesión único de Microsoft Entra en EdgeConnect Orchestrator
  4. Prueba del inicio de sesión único : para comprobar si la configuración funciona.

Configuración del inicio de sesión único de Microsoft Entra

Siga estos pasos para habilitar el inicio de sesión único de Microsoft Entra en el centro de administración de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales. En la barra de búsqueda, escriba el nombre de la aplicación HPE Aruba Networking EdgeConnect Orchestrator que creó anteriormente. Se abre la página Información general.

  3. En el panel izquierdo, en Administrar, haga clic en inicio de sesión único.

  4. En la página Seleccione un método de inicio de sesión único, elija SAML.

  5. En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.

    Captura de pantalla que muestra cómo editar una configuración básica de SAML.

  6. En la sección Configuración básica de SAML, siga estos pasos:

    a. Debe especificar los valores de los cuadros de texto Identificador (id. de entidad), Dirección URL de respuesta (URL del servicio de consumidor de aserciones) y Dirección URL de cierre de sesión (opcional). Para encontrar estos valores, en primer lugar, inicie sesión en Orchestrator y navegue hasta el cuadro de diálogo Autenticación (Orchestrator > Usuarios y autenticación > Autenticación).

    Captura de pantalla que muestra cómo navegar al cuadro de diálogo Autenticación.

    b. En el cuadro de diálogo Autenticación, haga clic en +Agregar nuevo servidor.

    c. Seleccione SAML en el campo Tipo.

    d. En el campo Nombre, escriba un nombre para la configuración de SAML.

    e. Haga clic en el icono de copia situado junto al campo Dirección URL de ACS.

    f. Vaya a la sección Configuración básica de SAML en la página Configuración del inicio de sesión único con SAML de Microsoft:

    1. En Identificador (id. de entidad), haga clic en el enlace Agregar identificador. Pegue el valor de la dirección URL de ACS en el campo Identificador.

      Nota:

      1. Use el patrón siguiente si va a configurar el inicio de sesión único de SAML en cualquiera de los tres productos de Orchestrator siguientes: "HPE Aruba Networking EdgeConnect Cloud Orchestrator", "HPE Aruba Networking EdgeConnect Service Provider Orchestrator" y "HPE Aruba Networking EdgeConnect Global Enterprise Orchestrator"- https://<SUBDOMAIN>.silverpeak.cloud/gms/rest/authentication/saml2/consume.
      2. Use el patrón siguiente si va a configurar el inicio de sesión único de SAML en un orquestador HPE Aruba Networking EdgeConnect Orchestrator autoimplementado (ya sea implementado localmente o en un entorno de nube pública, como Microsoft Entra)- https://<PUBLIC-IP-ADDRESS-OF-ORCHESTRATOR>/gms/rest/authentication/saml2/consume.

    2. En Dirección URL de respuesta (URL del servicio de consumidor de aserciones), haga clic en el vínculo Agregar dirección URL de respuesta. Pegue el mismo valor de dirección URL de ACS en el campo URL de respuesta.

      Nota:

      1. Use el patrón siguiente si va a configurar el inicio de sesión único de SAML en cualquiera de los tres productos de Orchestrator siguientes: "HPE Aruba Networking EdgeConnect Cloud Orchestrator", "HPE Aruba Networking EdgeConnect Service Provider Orchestrator" y "HPE Aruba Networking EdgeConnect Global Enterprise Orchestrator"- https://<SUBDOMAIN>.silverpeak.cloud/gms/rest/authentication/saml2/consume.
      2. Use el patrón siguiente si va a configurar el inicio de sesión único de SAML en un orquestador HPE Aruba Networking EdgeConnect Orchestrator autoimplementado (ya sea implementado localmente o en un entorno de nube pública, como Microsoft Entra)- https://<PUBLIC-IP-ADDRESS-OF-ORCHESTRATOR>/gms/rest/authentication/saml2/consume.

    3. En dirección URL de cierre de sesión (opcional), pegue el valor del punto de conexión de SLO de EdgeConnect de la página Servidor de autenticación remota de Orchestrator, tal como se muestra en la imagen siguiente:

    Nota:

    En Orchestrators autohospedados, si Orchestrator muestra la dirección IP privada en el campo Dirección URL de ACS y el campo Punto de conexión de SLO de EdgeConnect, actualícelo con la dirección IP pública del Orchestrator. Como se muestra en la siguiente captura de pantalla, los cinco campos deben contener la dirección IP pública del Orchestrator (no la dirección IP privada).

    Captura de pantalla que muestra cómo configurar la sección Configuración básica de SAML.

    g. Haga clic en Guardar para cerrar la sección Configuración básica de SAML

  7. En la página Configurar inicio de sesión único con SAML, en la sección Atributos y notificaciones, haga clic en el icono de edición y copie la entrada resaltada a continuación y pegue la información en el campo Atributo de nombre de usuario de Orchestrator, como se muestra a continuación:

    Captura de pantalla que muestra cómo configurar el atributo username.

  8. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque Certificado (Base64) y seleccione Descargar para descargarlo:

    Captura de pantalla que muestra el vínculo de descarga del certificado.

  9. Abra el certificado mediante un editor de texto como el Bloc de notas. Copie y pegue el contenido del certificado en el campo Certificado de IdP X.509 de Orchestrator, como se muestra a continuación:

    Captura de pantalla que muestra cómo configurar el certificado.

  10. En la página Configurar el inicio de sesión único con SAML, en la sección Configurar HPE Aruba Networking EdgeConnect Orchestrator, copie el Identificador de Microsoft Entra y péguelo en el campo Dirección URL del emisor en Orchestrator:

    Captura de pantalla que muestra cómo configurar la dirección URL del emisor.

  11. Haga clic en la pestaña Propiedades y copie la dirección URL de acceso de usuario y péguela en el campo Punto de conexión de SSO de Orchestrator, como se muestra a continuación:

    Captura de pantalla que muestra cómo configurar el punto de conexión de SSO.

  12. En el cuadro de diálogo Servidor de autenticación remota de Orchestrator, establezca el campo Rol predeterminado. Ejemplo: SuperAdmin. (Este es el último elemento de la lista desplegable). El rol predeterminado es necesario si no ha definido el control de acceso basado en roles (RBAC) en los atributos de usuario de la sección Atributos y notificaciones.

  13. Haga clic en Guardar en el cuadro de diálogo Servidor de autenticación remota.

  14. Ha configurado correctamente la autenticación de inicio de sesión único de SAML en Orchestrator. El siguiente paso consiste en crear un usuario de prueba y asignar la aplicación Orchestrator a ese usuario para comprobar si SAML está configurado correctamente.

Creación de un usuario de prueba de Microsoft Entra ID

En esta sección, creará un usuario de prueba en el centro de administración de Microsoft Entra llamado B.Simon.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
  2. Vaya aIdentidad>Usuarios>Todos los usuarios.
  3. Seleccione Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
  4. En las propiedades del usuario, siga estos pasos:
    1. En el campo Nombre para mostrar, escriba B.Simon.
    2. En el campo Nombre principal de usuario, escriba username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.
    3. Active la casilla Show password (Mostrar contraseña) y, después, anote el valor que se muestra en el cuadro Contraseña.
    4. Seleccione Revisar + crear.
  5. Seleccione Crear.

Asignación del usuario de prueba a la aplicación HPE Aruba Networking EdgeConnect Orchestrator

En esta sección, habilitará a B.Simon para utilizar el inicio de sesión único de Microsoft Entra al conceder acceso a HPE Aruba Networking EdgeConnect Orchestrator.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>HPE Aruba Networking EdgeConnect Orchestrator.
  3. En la página de información general de la aplicación, seleccione Usuarios y grupos.
  4. Seleccione Agregar usuario o grupo. A continuación, en el cuadro de diálogo Agregar asignación, seleccione Usuarios y grupos.
    1. En el cuadro de diálogo Usuarios y grupos, seleccione B.Simon de la lista de usuarios y haga clic en el botón Seleccionar de la parte inferior de la pantalla.
    2. Si espera que se asigne un rol a los usuarios, puede seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verá seleccionado el rol "Acceso predeterminado".
    3. En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.

Prueba de SSO

En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

Iniciado por SP:

  • Haga clic en Probar esta aplicación en el centro de administración de Microsoft Entra. Esto redirigirá a la URL de inicio de sesión de HPE Aruba Networking EdgeConnect Orchestrator donde puede iniciar el flujo de inicio de sesión.

  • Vaya a la URL de inicio de sesión de HPE Aruba Networking EdgeConnect Orchestrator directamente e inicie el flujo de inicio de sesión desde allí.

Iniciado por IDP:

  • Haga clic en Probar esta aplicación en el centro de administración Microsoft Entra y debería iniciar sesión automáticamente en el HPE Aruba Networking EdgeConnect Orchestrator para el que configuró el SSO.

También puede usar Aplicaciones de Microsoft para probar la aplicación en cualquier modo. Cuando haga clic en el icono de HPE Aruba Networking EdgeConnect Orchestrator en Mis aplicaciones, si se configura en modo SP, se le redirigirá a la página de inicio de sesión de la aplicación para iniciar el flujo de inicio de sesión y, si se configura en modo IDP, se iniciará sesión automáticamente en HPE Aruba Networking EdgeConnect Orchestrator para el que configuró el SSO. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.

Pasos siguientes

Una vez configurado HPE Aruba Networking EdgeConnect Orchestrator, puede aplicar el control de sesiones, que protege la exfiltración y la infiltración de los datos confidenciales de su organización en tiempo real. El control de sesión procede del acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.