Configurare Vault Platform per il provisioning automatico degli utenti con Microsoft Entra ID

Questo articolo descrive i passaggi da eseguire sia in Vault Platform che in Microsoft Entra ID per configurare l'autoprovisioning degli utenti. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning degli utenti per Vault Platform usando il servizio di provisioning Microsoft Entra. Per dettagli importanti su cosa fa questo servizio, come funziona e domande frequenti, vedere Automatizza il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.

Funzionalità supportate

• Creare utenti in Vault Platform.
• Rimuovere gli utenti in Vault Platform quando non richiedono più l'accesso.
• Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e Vault Platform.
• Accesso singolo a Vault Platform (raccomandato).

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

• A tenant Microsoft Entra
• Uno dei seguenti ruoli: Amministratore dell'applicazione, Amministratore dell'applicazione sul cloud o Proprietario dell'applicazione.
• Un account amministratore con Vault Platform.

Passaggio 1: Pianificare la distribuzione dell'approvvigionamento

1. Scopri come funziona il servizio di provisioning.
2. Determinare chi rientra nell'ambito per la fornitura.
3. Determinare quali dati mappare tra Microsoft Entra ID e Vault Platform.

Passaggio 2: Configurare Vault Platform per supportare il provisioning con Microsoft Entra ID

Contattare il supporto di Vault Platform per configurare Vault Platform per supportare il provisioning con Microsoft Entra ID.

1. Autenticazione

Passare a Vault Platform, accedere con la posta elettronica e la password (metodo di accesso iniziale), quindi passare alla pagina Autenticazione di amministrazione>.

Prima di tutto modificare l'elenco a discesa del metodo di accesso in Identity Provider - Azure - SAML

Usando i dettagli nella pagina delle istruzioni di configurazione SAML, immettere le informazioni seguenti:

1. L'URI dell'autorità di certificazione deve essere impostato su vaultplatform
2. L'URL SSO deve essere impostato sul valore dell'URL di accesso
3. Scaricare il file Certificato (Base64), aprirlo in un editor di testo e copiarne il contenuto (inclusi i -----BEGIN/END CERTIFICATE----- marcatori) nel campo Di testo

2. Integrazione dei dati

Passare quindi ad Administration Data Integration inside Vault Platform (Integrazione dei dati di amministrazione > all'interno della piattaforma vault)

1. Per Data Integration selezionare Azure.
2. Per Metodo di impostazione della posizione del segreto SCIM, impostare bearer.
3. Per Secret, impostare una stringa complessa, simile a una password robusta. Mantenere questa stringa sicura perché viene usata più avanti nel passaggio 5
4. Attiva Imposta come provider SCIM attivo per essere attivo.

Passaggio 3: Aggiungere Vault Platform dalla raccolta di applicazioni Microsoft Entra

Aggiungere Vault Platform dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in Vault Platform. Se in precedenza è stata configurata Vault Platform per l'accesso SSO, è possibile usare la stessa applicazione. Tuttavia, è consigliabile creare un'app separata durante il test iniziale dell'integrazione. Scopri di più sull'aggiunta di un'applicazione dalla galleria qui.

Passaggio 4: Definire chi è incluso nel processo di provisioning

Il servizio di provisioning Microsoft Entra consente di definire l'ambito del provisioning in base all'assegnazione all'applicazione o in base agli attributi dell'utente o del gruppo. Se si sceglie di definire l'ambito dell'app in base all'assegnazione, è possibile utilizzare i passaggi per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito del provisioning in base esclusivamente agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito.

• Iniziare con pochi elementi. Eseguire il test con un piccolo insieme di utenti e gruppi prima di distribuirlo a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'applicazione. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.

• Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.

Passaggio 5: Configurare il provisioning automatico degli utenti in Vault Platform

Questa sezione illustra la procedura per configurare il servizio di provisioning Microsoft Entra per creare, aggiornare e disabilitare gli utenti in TestApp in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.

Configurare il provisioning utenti automatico per Vault Platform in Microsoft Entra ID

1. Accedi al centro amministrativo di Microsoft Entra con almeno il ruolo di Cloud Application Administrator.

2. Passare a Entra ID>App aziendali

   

3. Nell'elenco delle applicazioni selezionare Vault Platform.

   

4. Selezionare la scheda Provisioning.

   

5. Selezionare + Nuova configurazione.

   

6. Nella sezione Credenziali amministratore, inserire l'URL del tenant della piattaforma Vault (URL con struttura https://app.vaultplatform.com/api/scim/${organization-slug}) e il token segreto (dal passaggio 2.2). Selezionare Test Connection per assicurarsi che Microsoft Entra ID possa connettersi a Vault Platform. Se la connessione non riesce, verificare che l'account Vault Platform disponga delle autorizzazioni di amministratore e riprovare.

   

7. Selezionare Crea per creare la configurazione.

8. Selezionare Proprietà nella pagina Panoramica .

9. Selezionare l'icona Modifica per modificare le proprietà. Abilitare i messaggi di posta elettronica di notifica e fornire un messaggio di posta elettronica per ricevere notifiche di quarantena. Abilitare la prevenzione delle eliminazioni accidentali. Seleziona Applica per salvare le modifiche.

   

10. Selezionare Mapping attributi nel pannello sinistro e selezionare utenti.

11. Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a Vault Platform nella sezione Attribute-Mapping. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Vault Platform per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente, è necessario assicurarsi che l'API Vault Platform supporti il filtro degli utenti in base a tale attributo. Selezionare il pulsante Salva per confermare le modifiche.

    Attributo	TIPO	Supportato per il filtraggio	Richiesta dalla piattaforma Vault
    nome utente	Stringa	✓	✓
    Id esterno	Stringa	✓	✓
    attivo	Booleano		✓
    nome visualizzato	Stringa
    titolo	Stringa		✓
    email[type eq "work"].valore	Stringa		✓
    nome.nomeDato	Stringa		✓
    nome.cognome	Stringa		✓
    indirizzi[tipo eq "lavoro"].località	Stringa		✓
    indirizzi[tipo eq "lavoro"].paese	Stringa		✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:numeroDipendente	Stringa		✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:dipartimento	Stringa		✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:Utente:manager	Stringa
    tipo di utente	Stringa
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	Stringa
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	Stringa

    Annotazioni

    L'attributo "externalID" viene inviato a Vault solo durante la creazione dell'oggetto e non verrà aggiornato se viene modificato in Entra ID.

12. Per configurare i filtri di ambito, vedere le istruzioni fornite nell'articolo Filtro di ambito.

13. Usare il provisioning su richiesta per convalidare la sincronizzazione con un numero ridotto di utenti prima di distribuire in modo più ampio nell'organizzazione.

14. Quando si è pronti per procedere al provisioning, selezionare Avvia il provisioning nella pagina Panoramica.

Passaggio 6: Monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

1. Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning correttamente o in modo non riuscito
2. Controlla la barra di progresso per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento.
3. Se la configurazione del provisioning sembra essere in cattivo stato, l'applicazione entra in quarantena. Per saperne di più sugli stati di quarantena, consulta l'articolo relativo al provisioning delle applicazioni con stato di quarantena.

Altre risorse

• Gestione della configurazione degli account utente per le applicazioni aziendali
• Che cos'è l'accesso alle applicazioni e l'accesso Single Sign-On con Microsoft Entra ID?

Contenuto correlato

• Informazioni su come esaminare i log e ottenere i report sull'attività di fornitura