Tutorial: Mengonfigurasi Smallstep SSH untuk provisi pengguna otomatis

Tutorial ini menjelaskan langkah-langkah yang perlu Anda lakukan di Smallstep SSH dan MICROSOFT Entra ID untuk mengonfigurasi provisi pengguna otomatis. Saat dikonfigurasi, MICROSOFT Entra ID secara otomatis memprovisi dan mendeprovisi pengguna dan grup ke Smallstep SSH menggunakan layanan provisi Microsoft Entra. Untuk detail penting tentang apa yang dilakukan layanan ini, cara kerjanya, dan tanya jawab umum, lihat Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan ID Microsoft Entra.

Kapabilitas yang Didukung

• Membuat pengguna di Smallstep SSH
• Menghapus pengguna di Smallstep SSH ketika mereka tidak memerlukan akses lagi
• Menjaga atribut pengguna tetap sinkron antara MICROSOFT Entra ID dan Smallstep SSH
• Grup provisi dan keanggotaan grup di Smallstep SSH
• SSO ke Smallstep SSH (disarankan)

Prasyarat

Skenario yang diuraikan dalam tutorial ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:

• Penyewa Microsoft Entra
• Salah satu peran berikut: Administrator Aplikasi, Administrator Aplikasi Cloud, atau Pemilik Aplikasi.
• Akun Smallstep SSH.

Langkah 1: Merencanakan penyebaran provisi Anda

1. Pelajari tentang Cara kerja layanan provisi .
2. Tentukan siapa yang akan berada dalam cakupan untuk provisi.
3. Tentukan data apa yang akan dipetakan antara ID Microsoft Entra dan Smallstep SSH.

Langkah 2: Mengonfigurasi Smallstep SSH untuk mendukung provisi dengan ID Microsoft Entra

1. Masuk ke akun Smallstep SSH Anda.

2. Navigasikan ke tab Pengguna dan pilih ID Microsoft Entra sebagai Penyedia Identitas Anda.

3. Pada halaman berikutnya, berikan ID penyewa Microsoft Entra Anda dan izinkan daftar untuk mengonfigurasi OIDC.

4. Di bagian Detail SCIM, salin dan simpan URL Penyewa SCIM dan Token Rahasia Anda. Nilai-nilai ini akan dimasukkan di bidang URL Penyewa dan Token Rahasia di tab Provisi aplikasi Smallstep SSH Anda.

Catatan! Anda harus memberikan akses ke host terkelola Smallstep Anda melalui Grup Direktori Aktif. Misalnya, Anda mungkin memiliki grup untuk pengguna ssh Anda dan satu untuk pengguna sudo Anda. Pelajari selengkapnya tentang kontrol akses di Panduan Mulai Cepat microsoft Entra dan Mulai Cepat Host.

Langkah 3: Tambahkan Smallstep SSH dari galeri aplikasi Microsoft Entra

Tambahkan Smallstep SSH dari galeri aplikasi Microsoft Entra untuk mulai mengelola provisi ke Smallstep SSH. Jika sebelumnya Anda telah mengatur Smallstep SSH untuk SSO, Anda dapat menggunakan aplikasi yang sama. Namun, Anda disarankan agar membuat aplikasi terpisah ketika menguji integrasi pada awalnya. Pelajari selengkapnya tentang cara menambahkan aplikasi dari galeri di sini.

Langkah 4 : Tentukan siapa yang akan berada dalam cakupan provisi

Layanan provisi Microsoft Entra memungkinkan Anda untuk mencakup siapa yang akan disediakan berdasarkan penugasan ke aplikasi dan atau berdasarkan atribut pengguna /grup. Jika Anda memilih untuk mencakup siapa saja yang akan diprovisi ke aplikasi berdasarkan penugasan, Anda dapat mengikuti langkah-langkah berikut untuk menetapkan pengguna dan grup ke aplikasi. Jika Anda memilih untuk mencakup siapa saja yang akan diprovisikan hanya berdasarkan pada atribut pengguna atau grup, Anda dapat menggunakan filter cakupan seperti yang dijelaskan di sini.

• Mulai dari yang kecil. Lakukan pengujian pada set kecil pengguna dan grup sebelum meluncurkan ke semua orang. Saat cakupan provisi diatur ke pengguna dan grup yang telah ditetapkan, Anda dapat mengontrolnya dengan menetapkan satu atau dua pengguna atau grup ke aplikasi. Ketika cakupan diatur ke semua pengguna dan grup, Anda dapat menentukan filter cakupan berbasis atribut.

• Jika Anda membutuhkan peran tambahan, Anda dapat memperbarui manifes aplikasi untuk menambahkan peran baru.

Langkah 5: Mengonfigurasi provisi pengguna otomatis ke Smallstep SSH

Bagian ini memandu Anda melalui langkah-langkah untuk mengonfigurasi layanan provisi Microsoft Entra untuk membuat, memperbarui, dan menonaktifkan pengguna dan/atau grup di Smallstep SSH berdasarkan penetapan pengguna dan/atau grup di ID Microsoft Entra.

Untuk mengonfigurasi provisi pengguna otomatis untuk Smallstep SSH di ID Microsoft Entra:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri aplikasi Identity>Applications>Enterprise

   

3. Dalam daftar aplikasi, pilih Smallstep SSH.

   

4. Pilih Provisi tab.

   

5. Atur Mode Provisi ke Otomatis.

   

6. Di bagian Info Masuk Admin, masukkan URL Penyewa Smallstep SSH dan Token Rahasia Anda. Klik Uji Koneksi ion untuk memastikan ID Microsoft Entra dapat tersambung ke Smallstep SSH. Jika sambungan gagal, pastikan akun Smallstep SSH Anda memiliki izin Admin, lalu coba lagi.

   

7. Di bidang Surel Pemberitahuan, masukkan alamat surel seseorang atau grup penerima pemberitahuan kesalahan provisi dan pilih kotak centang Kirim pemberitahuan surel ketika kegagalan terjadi.

   

8. Pilih Simpan.

9. Di bawah bagian Pemetaan , pilih Sinkronkan pengguna Microsoft Entra ke Smallstep SSH.

10. Tinjau atribut pengguna yang disinkronkan dari ID Microsoft Entra ke Smallstep SSH di bagian Pemetaan Atribut. Atribut yang dipilih sebagai properti Pencocokan digunakan untuk mencocokkan akun pengguna di Smallstep SSH untuk operasi pembaruan. Jika Anda memilih untuk mengubah atribut target yang cocok, Anda harus memastikan bahwa API Smallstep SSH mendukung pemfilteran pengguna berdasarkan atribut tersebut. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

    Atribut	Jenis	Didukung untuk pemfilteran
    userName	String	✓
    active	Boolean
    displayName	String
    emails[type eq "work"].value	String
    name.givenName	String
    name.familyName	String

11. Di bawah bagian Pemetaan , pilih Sinkronkan grup Microsoft Entra ke Smallstep SSH.

12. Tinjau atribut grup yang disinkronkan dari ID Microsoft Entra ke Smallstep SSH di bagian Pemetaan Atribut. Atribut yang dipilih sebagai properti Pencocokan digunakan untuk mencocokkan grup di Smallstep SSH untuk operasi pembaruan. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

    Atribut	Jenis	Didukung untuk pemfilteran
    displayName	String	✓
    anggota	Referensi

13. Untuk mengonfigurasi filter cakupan, lihat instruksi berikut yang disediakan dalam Tutorial filter cakupan.

14. Untuk mengaktifkan layanan provisi Microsoft Entra untuk Smallstep SSH, ubah Status Provisi menjadi Aktif di bagian Pengaturan.

    

15. Tentukan pengguna dan/atau grup yang ingin Anda provisikan ke Smallstep SSH dengan memilih nilai yang diinginkan pada Cakupan di bagian Pengaturan.

    

16. Saat Anda siap untuk melakukan provisi, klik Simpan.

    

Operasi ini memulai siklus sinkronisasi awal semua pengguna dan grup yang ditentukan dalam Cakupan di bagian Pengaturan. Siklus awal membutuhkan waktu lebih lama untuk dilakukan daripada siklus berikutnya, yang terjadi sekitar setiap 40 menit selama layanan provisi Microsoft Entra berjalan.

Langkah 6: Memantau penyebaran Anda

Setelah Anda mengonfigurasi provisi, gunakan sumber daya berikut untuk memantau penyebaran Anda:

1. Gunakan log provisi untuk menentukan pengguna mana yang telah berhasil atau gagal diprovisi
2. Periksa bilah kemajuan untuk melihat status siklus provisi dan seberapa dekat dengan penyelesaiannya
3. Jika konfigurasi provisi tampaknya dalam keadaan buruk, aplikasi akan masuk ke karantina. Pelajari selengkapnya status karantina di sini.

Sumber Daya Tambahan:

• Mengelola provisi akun pengguna untuk Aplikasi Perusahaan
• Apa itu akses aplikasi dan akses menyeluruh dengan MICROSOFT Entra ID?

Langkah berikutnya

• Mempelajari cara mengulas log dan mendapatkan laporan tentang aktivitas provisi