Esercitazione: integrazione dell'accesso Single Sign-On (SSO) di Microsoft Entra con SignalFx
In questa esercitazione si apprenderà come integrare SignalFx con Microsoft Entra ID. Integrando SignalFx con Microsoft Entra ID è possibile:
- Controllare in Microsoft Entra ID chi può accedere a SignalFx.
- Abilitare gli utenti all'accesso automatico a SignalFx con gli account Microsoft Entra personali.
- Gestire gli account in un'unica posizione: il portale di Azure.
Prerequisiti
Per iniziare, sono necessari gli elementi seguenti:
- Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
- Sottoscrizione di SignalFx abilitata per l'accesso Single Sign-On (SSO).
Descrizione dello scenario
In questa esercitazione vengono eseguiti la configurazione e il test dell'accesso Single Sign-On di Microsoft Entra in un ambiente di testing.
- SignalFx supporta l'accesso SSO avviato da IDP.
- SignalFx supporta il provisioning utenti JIT
Passaggio 1: aggiungere l'applicazione SignalFx in Azure
Usare queste istruzioni per aggiungere l'applicazione SignalFx all'elenco di app SaaS gestite.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.
- Nella sezione Aggiungi dalla raccolta digitare SignalFx nella casella di ricerca.
- Selezionare SignalFx nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.
- Lasciare aperta l'interfaccia di amministrazione di Microsoft Entra e quindi aprire una nuova scheda del browser.
Passaggio 2: avviare la configurazione dell'accesso SSO per SignalFx
Usare queste istruzioni per avviare il processo di configurazione dell'accesso Single Sign-On per SignalFx.
- Nella scheda appena aperta accedere all'interfaccia utente di SignalFx.
- Nel menu in alto fare clic su Integrations (Integrazioni).
- Nel campo di ricerca, immettere e selezionare Microsoft Entra ID.
- Fare clic su Create New Integration (Crea nuova integrazione).
- In Name (Nome) immettere un nome facilmente riconoscibile dagli utenti.
- Contrassegnare Show on login page (Mostra nella pagina di accesso).
- Con questa funzionalità nella pagina di accesso viene visualizzato un pulsante personalizzato su cui gli utenti possono fare clic.
- Sul pulsante vengono visualizzate le informazioni immesse in Name (Nome). Di conseguenza, immettere un nome riconoscibile dagli utenti.
- Questa opzione funziona solo se per l'applicazione SignalFx si usa un sottodominio personalizzato, ad esempio yourcompanyname.signalfx.com. Per ottenere un sottodominio personalizzato, contattare il supporto SignalFx.
- Copiare l'ID integrazione. Queste informazioni saranno necessarie in un passaggio successivo.
- Lasciare aperta l'interfaccia utente di SignalFx.
Passaggio 3: configurare l'accesso SSO per Microsoft Entra
Usare queste istruzioni per abilitare l'accesso SSO per Microsoft Entra.
Tornare all'interfaccia di amministrazione di Microsoft Entra e sulla pagina di integrazione dell'applicazione SignalFx, individuare la sezione Gestione e poi selezionare Single Sign-On.
Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita per modificare le impostazioni di Configurazione SAML di base.
Nella pagina Configura l'accesso Single Sign-On con SAML seguire questa procedura:
a. In Integrazione, immettere l'URL seguente
https://api.<realm>.signalfx.com/v1/saml/metadata
e sostituire<realm>
con l'area di autenticazione di SignalFx, nonché<integration ID>
con l'ID integrazione copiato in precedenza dall'interfaccia utente di SignalFx. (ad eccezione dell'area di autenticazione US0, l'URL deve esserehttps://api.signalfx.com/v1/saml/metadata
).b. In URL di risposta immettere l'URL
https://api.<realm>.signalfx.com/v1/saml/acs/<integration ID>
e sostituire<realm>
con l'area di autenticazione di SignalFx, nonché<integration ID>
con l'ID integrazione copiato in precedenza dall'interfaccia utente di SignalFx. (ad eccezione di US0, l'URL deve esserehttps://api.signalfx.com/v1/saml/acs/<integration ID>
)L'applicazione SignalFx prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione degli attributi del token SAML.
Esaminare e verificare che le attestazioni seguenti siano associate agli attributi di origine popolati in Active Directory.
Nome Attributo di origine User.FirstName user.givenname User.email user.mail PersonImmutableID user.userprincipalname User.LastName user.surname Nota
Per questo processo Active Directory deve essere configurato con almeno un dominio personalizzato verificato e avere accesso agli account di posta elettronica in questo dominio. Se non si è sicuri o si necessita di assistenza per questa configurazione, contattare il supporto di SignalFx.
Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare Certificato (Base64) e quindi selezionare Scarica. Scaricare il certificato e salvarlo nel computer. Copiare quindi il valore dell'URL dei metadati di federazione dell'app. Queste informazioni sono necessarie in un passaggio successivo nell'interfaccia utente di SignalFx.
Nella sezione Configura SignalFx, copiare il valore di Identificatore Microsoft Entra . Queste informazioni saranno necessarie in un passaggio successivo nell'interfaccia utente di SignalFx.
Passaggio 4: creare un utente di test di Microsoft Entra
In questa sezione verrà creato un utente di test di nome B.Simon.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.
- Passare a Identità>Utenti>Tutti gli utenti.
- Selezionare Nuovo utente>Crea nuovo utente nella parte superiore della schermata.
- In Proprietà utente seguire questa procedura:
- Nel campo Nome visualizzato inserire
B.Simon
. - Nel campo Nome entità utente, immettere username@companydomain.extension. Ad esempio:
B.Simon@contoso.com
. - Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
- Selezionare Rivedi e crea.
- Nel campo Nome visualizzato inserire
- Seleziona Crea.
Passaggio 5: assegnare l'utente di test di Microsoft Entra
In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On concedendo l'accesso a SignalFx.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare a Applicazioni>Identità>Applicazioni Enterprise>SignalFx.
- Nella pagina della panoramica dell'app selezionare Utenti e gruppi.
- Selezionare Aggiungi utente/gruppo, quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
- Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
- Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
- Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.
Passaggio 6: completare la configurazione dell'accesso SSO per SignalFx
- Aprire la scheda precedente e tornare all'interfaccia utente di SignalFx per visualizzare la pagina corrente dell'integrazione di Microsoft Entra.
- Accanto a Certificato (Base64), selezionare Carica file e quindi individuare il file del certificato con codifica Base64 scaricato in precedenza.
- Accanto a Identificatore Microsoft Entra, incollare il valore dell'Identificatore Microsoft Entra copiato in precedenza.
- Accanto a URL dei metadati della federazione, incollare il valore di URL dei metadati di federazione dell'app copiato in precedenza.
- Fare clic su Salva.
Passaggio 7: testare l'accesso SSO
Esaminare le informazioni seguenti relative a come testare l'accesso Single Sign-On, nonché le aspettative di accesso a SignalFx per la prima volta.
Testare gli account di accesso
Per testare l'accesso, è necessario usare una finestra privata/in incognito oppure disconnettersi. In caso contrario, i cookie per l'utente che ha configurato l'applicazione interferiscono e impediscono un accesso corretto con l'utente di test.
Quando un nuovo utente di test si connette per la prima volta, Azure richiede forzatamente la modifica della password. In tal caso, il processo di accesso SSO non verrà completato e l'utente di test verrà indirizzato al portale di Azure. Per risolvere i problemi, l'utente di test deve modificare la password e passare alla pagina di accesso di SignalFx o a MyApps e riprovare.
- Quando si seleziona il riquadro di SignalFx in MyApps, si dovrebbe accedere automaticamente a SignalFx.
- Per altre informazioni su MyApps, vedere introduzione a MyApps.
- Quando si seleziona il riquadro di SignalFx in MyApps, si dovrebbe accedere automaticamente a SignalFx.
È possibile accedere all'applicazione SignalFx da MyApps o tramite una pagina di accesso personalizzata assegnata all'organizzazione. L'utente di test deve testare l'integrazione a partire da una di queste posizioni.
- L'utente di test può usare le credenziali create in precedenza in questo processo per b.simon@contoso.com.
Primo accesso
Quando un utente accede a SignalFx dall'accesso SSO SAML per la prima volta, riceve un messaggio di posta elettronica di SignalFx contenente un collegamento. L'utente deve fare clic sul collegamento per completare l'autenticazione. Questa convalida della posta elettronica viene eseguita solo per gli utenti che accedono per la prima volta.
SignalFx supporta la creazione di utenti JIT, di conseguenza se un utente non esiste in SignalFx, l'account dell'utente verrà creato dopo il primo tentativo di accesso.
Passaggi successivi
Dopo aver configurato SignalFx, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo della sessione con Microsoft Defender for Cloud Apps.