Configurare la gestione utenti di Cisco per il provisioning automatico degli utenti per un accesso sicuro con Microsoft Entra ID.

Questo articolo descrive i passaggi da eseguire sia in Cisco User Management for Secure Access che in Microsoft Entra ID per configurare il provisioning automatico degli utenti. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in Cisco User Management for Secure Access usando il servizio di provisioning Microsoft Entra. Per informazioni importanti sul funzionamento di questo servizio e sulle domande frequenti, vedere Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.

Funzionalità supportate

• Creare utenti in Cisco User Management for Secure Access
• Rimuovere gli utenti in Cisco User Management per l'accesso sicuro quando non richiedono più l'accesso
• Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e Cisco User Management per l'accesso sicuro
• Effettuare il provisioning di gruppi e appartenenze a gruppi in Cisco User Management per l'accesso sicuro

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

- Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non è già disponibile, è possibile creare gratuitamente un account. - Uno dei ruoli seguenti: - Amministratore applicazione - Amministratore applicazioni cloud - Proprietario applicazione..

• Sottoscrizione Cisco Umbrella.
• Un account utente in Cisco Umbrella con autorizzazioni di amministratore complete.

Passaggio 1: Pianificare la distribuzione dell'approvvigionamento

1. Informazioni sul funzionamento del servizio di provisioning.
2. Determinare chi è idoneo per il processo di provisioning.
3. Determinare quali dati mappare tra Microsoft Entra ID e Cisco User Management per l'accesso sicuro.

Passaggio 2: Importare l'attributo ObjectGUID tramite Microsoft Entra Connect (facoltativo)

Se gli endpoint eseguono AnyConnect o Cisco Secure Client versione 4.10 MR5 o precedenti, è necessario sincronizzare l'attributo ObjectGUID per l'attribuzione dell'identità utente. È necessario riconfigurare i criteri Umbrella nei gruppi dopo l'importazione di gruppi da Microsoft Entra ID.

Nota

Il connettore Umbrella AD locale deve essere disattivato prima di importare l'attributo ObjectGUID.

Quando si usa Microsoft Entra Connect, l'attributo ObjectGUID degli utenti non viene sincronizzato da AD locale a Microsoft Entra ID per impostazione predefinita. Per sincronizzare questo attributo, abilitare la sincronizzazione facoltativa dell'attributo estensione directory e selezionare gli attributi objectGUID per gli utenti.

Nota

La ricerca in Attributi disponibili fa distinzione tra maiuscole e minuscole.

Nota

Questo passaggio non è obbligatorio se tutti gli endpoint eseguono Cisco Secure Client o AnyConnect versione 4.10 MR6 o successiva.

Passaggio 3: Configurare Cisco User Management per l'accesso sicuro per supportare il provisioning con Microsoft Entra ID

1. Accedere al dashboard Cisco Umbrella. Passare a Distribuzioni> Identità >Utenti e gruppi.

2. Espandere la scheda Microsoft Entra e selezionare la pagina Chiavi API.

   

3. Espandere la scheda Microsoft Entra nella pagina Chiavi API e selezionare Genera token.

   

4. Il token generato viene visualizzato una sola volta. Copiare e salvare l'URL e il token. Questi valori vengono immessi rispettivamente nei campi URL tenant e Token segreto nella scheda Provisioning dell'applicazione Cisco User Management for Secure Access.

Passaggio 4: Aggiungere Cisco User Management for Secure Access dalla raccolta di applicazioni Microsoft Entra

Aggiungere Cisco User Management for Secure Access dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in Cisco User Management for Secure Access. Altre informazioni sull'aggiunta di un'applicazione dalla raccolta sono disponibili qui.

Passaggio 5: Definire chi è nell'ambito di applicazione per il provisioning

Il servizio di provisioning di Microsoft Entra consente di definire l'ambito di chi viene sottoposto a provisioning in base all'assegnazione all'applicazione e/o agli attributi dell'utente/gruppo. Se si sceglie di limitare chi viene fornito all'app in base all'assegnazione, è possibile usare la procedura seguente per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito di chi ha effettuato il provisioning in base esclusivamente agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito come descritto qui.

• Iniziare con pochi elementi. Eseguire il test con un piccolo insieme di utenti e gruppi prima di distribuirlo a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributo .

• Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.

Passaggio 6: Configurare il provisioning automatico degli utenti in Cisco User Management for Secure Access

Questa sezione illustra la procedura per configurare il servizio di provisioning di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in Cisco User Management for Secure Access in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.

Per configurare il provisioning automatico degli utenti per Cisco User Management for Secure Access in Microsoft Entra ID:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud.

2. Vai a Entra ID>Applicazioni aziendali

   

3. Nell'elenco delle applicazioni, selezionare Cisco User Management for Secure Access.

   

4. Selezionare la scheda Provisioning .

   

5. Impostare Modalità di provisioning su Automatico.

   

6. Nella sezione Credenziali amministratore, immettere l'URL del tenant della gestione utenti Cisco per l'accesso sicuro e il token segreto. Selezionare Test connessione per assicurarsi che Microsoft Entra ID possa connettersi a Cisco User Management per l'accesso sicuro. Se la connessione non riesce, verificare che l'account Cisco User Management for Secure Access disponga delle autorizzazioni di amministratore e riprovare.

   

7. Nel campo Email di Notifica, immettere l'indirizzo di posta elettronica di una persona o di un gruppo che deve ricevere le notifiche di errore di provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica quando si verifica un errore.

   

8. Selezionare Salva.

9. Nella sezione Mapping selezionare Synchronize Microsoft Entra users to Cisco User Management for Secure Access (Sincronizza utenti di Microsoft Entra con Cisco User Management for Secure Access).

10. Esaminare gli attributi utente sincronizzati da Microsoft Entra ID ad Cisco User Management for Secure Access nella sezione Attribute-Mapping. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Cisco User Management per l'accesso sicuro per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente, è necessario assicurarsi che l'API Cisco User Management for Secure Access supporti il filtro degli utenti in base a tale attributo. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo	TIPO	Supportato per il filtraggio
    nome utente	Stringa	✓
    Id esterno	Stringa
    attivo	Booleano
    nome visualizzato	Stringa
    nome.nomeDato	Stringa
    nome.cognome	Stringa
    nome.formattato	Stringa
    urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId	Stringa

Nota

Se è stato importato l'attributo objectGUID per gli utenti tramite Microsoft Entra Connect (fare riferimento al passaggio 2), aggiungere un mapping da objectGUID a urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId.

1. Nella sezione Mapping selezionare Synchronize Microsoft Entra groups to Cisco User Management for Secure Access (Sincronizza gruppi di Microsoft Entra con Cisco User Management for Secure Access).

2. Esaminare gli attributi del gruppo sincronizzati da Microsoft Entra ID a Cisco User Management for Secure Access nella sezione Mapping attributi . Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in Cisco User Management per l'accesso sicuro per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

   Attributo	TIPO	Supportato per il filtraggio
   nome visualizzato	Stringa	✓
   Id esterno	Stringa
   Membri	Riferimento

3. Per configurare i filtri di ambito, vedere le istruzioni seguenti fornite nell'articolo Definizione dell'ambito del filtro.

4. Per attivare il servizio di provisioning Microsoft Entra per Cisco User Management for Secure Access, modificare Stato del provisioning in Attivo nella sezione Impostazioni.

   

5. Definire gli utenti e/o i gruppi di cui si vuole eseguire il provisioning in Cisco User Management for Secure Access scegliendo i valori desiderati in Ambito nella sezione Impostazioni .

   

6. Quando sei pronto per il provisioning, seleziona Salva.

   

Questa operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni . Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.

Passaggio 7: Monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

• Usare i log di provisioning per determinare quali utenti sono stati sottoposti a provisioning correttamente o in modo non riuscito
• Controllare la barra di avanzamento per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento.
• Se la configurazione del provisioning sembra essere in cattive condizioni, l'applicazione verrà messa in quarantena. Altre informazioni sugli stati di quarantena sono disponibili qui.

Limitazioni dei connettori

• Cisco User Management for Secure Access supporta il provisioning di un massimo di 200 gruppi. Non è possibile effettuare il provisioning in Cisco Umbrella per qualsiasi gruppo oltre questo numero che rientri nell'ambito.

Risorse aggiuntive

• Gestione del provisioning degli account utente per le app aziendali
• Che cos'è l'accesso alle applicazioni e l'accesso Single Sign-On con Microsoft Entra ID?

Contenuto correlato

• Scopri come esaminare i log e ottenere rapporti sull'attività di provisioning