Esercitazione: Integrazione dell'accesso Single Sign-On di Azure AD con Kion (in precedenza cloudtamer.io)

Questa esercitazione descrive come integrare Kion con Azure Active Directory (Azure AD). Integrando Kion con Azure AD, è possibile:

  • Controllare in Azure AD chi può accedere a Kion.
  • Abilitare gli utenti per l'accesso automatico a Kion con gli account Azure AD personali.
  • Gestire gli account in un'unica posizione centrale: il portale di Azure.

Prerequisiti

Per iniziare, sono necessari gli elementi seguenti:

  • Una sottoscrizione di Azure AD. Se non si ha una sottoscrizione, è possibile ottenere un account gratuito.
  • Sottoscrizione di Kion abilitata per l'accesso Single Sign-On (SSO).

Descrizione dello scenario

In questa esercitazione vengono eseguiti la configurazione e il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.

  • Kion supporta l'accesso SSO avviato da IDP .
  • Kion supporta il provisioning utenti JIT .

Per configurare l'integrazione di Kion in Azure AD, è necessario aggiungere Kion dalla raccolta all'elenco di app SaaS gestite.

  1. Accedere al portale di Azure con un account aziendale o dell'istituto di istruzione oppure con un account Microsoft personale.
  2. Nel riquadro di spostamento a sinistra selezionare il servizio Azure Active Directory.
  3. Passare ad Applicazioni aziendali e quindi selezionare Tutte le applicazioni.
  4. Per aggiungere una nuova applicazione, selezionare Nuova applicazione.
  5. Nella sezione Aggiungi dalla raccolta digitare Kion nella casella di ricerca.
  6. Selezionare Kion nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.

In alternativa, è anche possibile usare la Creazione guidata Configurazione app organizzazione. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché eseguire la configurazione dell'accesso Single Sign-On. Altre informazioni sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso SSO di Azure AD per Kion (in precedenza cloudtamer.io)

Configurare e testare l'accesso SSO di Azure AD con Kion usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Azure AD e l'utente correlato in Kion.

Per configurare e testare l'accesso SSO di Azure AD con Kion, seguire questa procedura:

  1. Configurare l'accesso Single Sign-On di Azure AD : per consentire agli utenti di usare questa funzionalità.
    1. Creare un utente di test di Azure AD : per testare l'accesso Single Sign-On di Azure AD con l'utente B.Simon.
    2. Assegnare l'utente di test di Azure AD : per abilitare B.Simon all'uso dell'accesso Single Sign-On di Azure AD.
  2. Configurare l'accesso Single Sign-On di Kion: per configurare le impostazioni di Single Sign-On sul lato applicazione.
    1. Creare l'utente di test di Kion : per avere una controparte di B.Simon in Kion collegata alla rappresentazione dell'utente in Azure AD.
  3. Testare l'accesso Single Sign-On : per verificare se la configurazione funziona.
  4. Raggruppare le asserzioni : per impostare le asserzioni di gruppo per Azure AD e Kion.

Begin Kion SSO Configuration

  1. Accedere al sito Web Kion come amministratore.

  2. Fare clic sull'icona + con il segno più nell'angolo in alto a destra e selezionare IDMS.

    Screenshot per la creazione di IDMS.

  3. Selezionare SAML 2.0 come Tipo IDMS.

  4. Lasciare aperta questa schermata e copiare i valori da questa schermata nella configurazione di Azure AD.

Configurare l'accesso SSO di Azure AD

Per abilitare l'accesso Single Sign-On di Azure AD nel portale di Azure, seguire questa procedura.

  1. Nella pagina di integrazione dell'applicazione Kion della portale di Azure individuare la sezione Gestione e selezionare Single Sign-On.

  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  3. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita per modificare le impostazioni di Configurazione SAML di base.

    Modificare la configurazione SAML di base

  4. Nella sezione Configurazione SAML di base seguire questa procedura:

    a. Nella casella di testo Identificatore incollare in questa casella l'autorità di certificazione DEL PROVIDER DI SERVIZI (ID ENTITÀ) da Kion.

    b. Nella casella di testo URL di risposta incollare l'URL ACS DEL PROVIDER DI SERVIZI da Kion in questa casella.

  5. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare il file XML dei metadati della federazione e selezionare Scarica per scaricare il certificato e salvarlo nel computer.

    Collegamento di download del certificato

  6. Nella sezione Configura Kion copiare gli URL appropriati in base alle esigenze.

    Copiare gli URL di configurazione

Creare un utente di test di Azure AD

In questa sezione verrà creato un utente di test di nome B.Simon nel portale di Azure.

  1. Nel riquadro sinistro del portale di Azure selezionare Azure Active Directory, Utenti e quindi Tutti gli utenti.
  2. Selezionare Nuovo utente in alto nella schermata.
  3. In Proprietà utente seguire questa procedura:
    1. Nel campo Nome immettere B.Simon.
    2. Nel campo Nome utente immettere username@companydomain.extension. Ad esempio: B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
    4. Fare clic su Crea.

Assegnare l'utente di test di Azure AD

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On di Azure concedendole l'accesso a Kion.

  1. Nel portale di Azure selezionare Applicazioni aziendali e quindi Tutte le applicazioni.
  2. Nell'elenco delle applicazioni selezionare Kion.
  3. Nella pagina di panoramica dell'app trovare la sezione Gestione e selezionare Utenti e gruppi.
  4. Selezionare Aggiungi utente e quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
  5. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
  6. Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
  7. Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.

Configurare l'accesso Single Sign-On di Kion

  1. Seguire questa procedura nella pagina Aggiungi IDMS :

    Screenshot per l'aggiunta di IDMS.

    a. Nel nome IDMS assegnare un nome che gli utenti riconosceranno dalla schermata Di accesso.

    b. Nella casella di testo IDENTITY PROVIDER ISSUER (ENTITY ID) incollare il valore identificatore copiato dal portale di Azure.

    c. Aprire il file XML metadati federazione scaricato dal portale di Azure nel Blocco note e incollare il contenuto nella casella di testo IDENTITY PROVIDER METADATA (METADATI PROVIDER DI IDENTITÀ).

    d. Copiare il valore SERVICE PROVIDER ISSUER (ENTITY ID), incollare questo valore nella casella di testo Identificatore nella sezione Configurazione SAML di base del portale di Azure.

    e. Copiare il valore di SERVICE PROVIDER ACS URL (URL ACS SERVICE PROVIDER), incollare questo valore nella casella di testo URL di risposta nella sezione Configurazione SAML di base del portale di Azure.

    f. In Mapping asserzione immettere i valori seguenti:

    Campo Valore
    Nome http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    Cognome http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
    E-mail http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
    Username http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  2. Fare clic su Crea IDMS.

Creare l'utente di test di Kion

In questa sezione viene creato un utente di nome Britta Simon in Kion. Kion supporta il provisioning utenti JIT, abilitato per impostazione predefinita. Non è necessario alcun intervento dell'utente in questa sezione. Se un utente non esiste già in Kion, ne viene creato uno nuovo dopo l'autenticazione.

Testare l'accesso SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Azure AD con le opzioni seguenti.

  • Fare clic su Test this application in portale di Azure e si dovrebbe accedere automaticamente all'applicazione Kion per cui si è configurato l'accesso SSO.

  • È possibile usare App personali Microsoft. Quando si fa clic sul riquadro Kion nel App personali, si dovrebbe accedere automaticamente al Kion per cui si è configurato l'accesso SSO. Per altre informazioni su App personali, vedere l'introduzione ad App personali.

Asserzioni di gruppo

Per gestire facilmente le autorizzazioni utente di Kion usando i gruppi di Azure Active Directory esistenti, completare questa procedura:

Configurazione di Azure AD

  1. Nella portale di Azure passare adApplicazioni aziendalidi Azure Active Directory>.
  2. Nell'elenco selezionare l'applicazione aziendale per Kion.
  3. In Panoramica, nel menu a sinistra selezionare Single Sign-On.
  4. In Single Sign-On, in Attestazioni attributi & utente selezionare Modifica.
  5. Selezionare Aggiungi un'attestazione basata su gruppo.

    Nota

    È possibile avere un'unica attestazione di gruppo. Se questa opzione è disabilitata, potrebbe essere già definita un'attestazione di gruppo.

  6. In Attestazioni di gruppo selezionare i gruppi che devono essere restituiti nell'attestazione:
    • Se si avrà sempre ogni gruppo che si intende usare in Kion assegnato a questa applicazione aziendale, selezionare Gruppi assegnati all'applicazione.
    • Se si desidera che vengano visualizzati tutti i gruppi (questa selezione può causare un numero elevato di asserzioni di gruppo e potrebbe essere soggetto a limiti), selezionare Gruppi assegnati all'applicazione.
  7. Per Attributo Source lasciare l'ID gruppo predefinito.
  8. Selezionare la casella di controllo Personalizza il nome dell'attestazione di gruppo .
  9. In Nome immettere memberOf.
  10. Selezionare Salva per completare la configurazione con Azure AD.

Configurazione Kion

  1. In Kion passare a Users>Identity Management Systems.
  2. Selezionare IDMS creato per Azure AD.
  3. Nella pagina di panoramica selezionare la scheda Associazioni gruppo utenti .
  4. Per ogni mapping del gruppo di utenti desiderato, completare questa procedura:
    1. Selezionare Aggiungi>nuovo.
    2. Nella finestra di dialogo visualizzata:
      1. In Nome immettere memberOf.
      2. Per Regex immettere l'ID oggetto (da Azure AD) del gruppo che si desidera corrispondere.
      3. Per Gruppo di utenti selezionare il gruppo interno Kion che si vuole eseguire il mapping al gruppo in Regex.
      4. Selezionare la casella di controllo Aggiorna nell'account di accesso .
    3. Selezionare Aggiungi per aggiungere l'associazione di gruppi.

Passaggi successivi

Dopo aver configurato Kion, è possibile applicare il controllo sessione, che protegge l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione in tempo reale. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Cloud App Security.