Configurare Workplace by Meta per l'accesso Single Sign-On con Microsoft Entra ID

Questo articolo illustra come integrare Workplace by Meta con Microsoft Entra ID. Integrando Workplace by Meta con Microsoft Entra ID, è possibile:

• Controllare in Microsoft Entra ID chi può accedere a Workplace by Meta.
• Abilitare gli utenti per l'accesso automatico a Workplace by Meta con gli account Microsoft Entra personali.
• Gestire gli account in un'unica posizione centrale.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

• Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non è già disponibile, è possibile Creare un account gratuitamente.
• Uno dei ruoli seguenti:
  • Amministratore di applicazioni
  • Amministratore di applicazioni cloud
  • Proprietario dell'applicazione.

• Abbonamento abilitato per l'accesso Single Sign-On (SSO) di Workplace by Meta.

Annotazioni

Meta ha due prodotti, Workplace Standard (gratuito) e Workplace Premium (a pagamento). Qualsiasi tenant di Workplace Premium può configurare l'integrazione SCIM e SSO senza altre implicazioni per i costi o le licenze necessarie. SSO e SCIM non sono disponibili nelle istanze di Workplace Standard.

Descrizione dello scenario

In questo articolo viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

• Workplace by Meta supporta il SSO avviato da SP (fornitore di servizi).
• Workplace by Meta supporta il provisioning just-in-time.
• Workplace by Meta supporta l'automatico provisioning degli utenti.
• L'applicazione Workplace by Meta Mobile può ora essere configurata con Microsoft Entra ID per l'abilitazione dell'accesso SSO. In questo articolo viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

Aggiunta di Workplace by Meta dalla raccolta

Per configurare l'integrazione di Workplace by Meta in Microsoft Entra ID, è necessario aggiungere Workplace by Meta dalla raccolta al proprio elenco di app SaaS gestite.

1. Accedi al Microsoft Entra admin center come almeno un amministratore di applicazioni cloud.
2. Naviga su Entra ID>Applicazioni aziendali>Nuova applicazione.
3. Nella sezione Aggiungi dalla raccolta digitare Workplace by Meta nella casella di ricerca.
4. Selezionare Workplace by Meta nel pannello dei risultati e quindi aggiungere l'app. Pazienta qualche secondo mentre l'app viene aggiunta al tenant del tuo account.

In alternativa, puoi anche utilizzare la Procedura guidata di configurazione delle app aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare i ruoli e procedere alla configurazione dell'accesso SSO. Scopri di più sugli assistenti di Microsoft 365.

Configurare e testare l'SSO di Microsoft Entra per Workplace by Meta

Configurare e testare l'accesso SSO di Microsoft Entra con Workplace by Meta usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in Workplace by Meta.

Per configurare e testare l'accesso SSO di Microsoft Entra con Workplace by Meta, seguire questa procedura:

1. Configura Microsoft Entra SSO - per consentire agli utenti di utilizzare questa funzionalità.
   1. Creare un utente di test per Microsoft Entra - per testare la funzionalità Single Sign-On di Microsoft Entra con B.Simon.
   2. Assegna l'utente di prova di Microsoft Entra - per consentire a B.Simon di utilizzare l'autenticazione unica di Microsoft Entra.
2. Configurare l'accesso Single Sign-On di Workplace by Meta : per configurare le impostazioni di Single Sign-On sul lato applicazione.
   1. Creare l'utente di test di Workplace by Meta : per avere una controparte di B.Simon in Workplace by Meta collegata alla rappresentazione dell'utente in Microsoft Entra.
3. Test SSO - per verificare se la configurazione funziona.

Configurare il Single Sign-On (SSO) per Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

1. Accedi al Microsoft Entra admin center come almeno un amministratore di applicazioni cloud.

2. Passare alla pagina di integrazione dell'applicazione Entra ID>Enterprise>Workplace by Meta , individuare la sezione Gestione e selezionare Single Sign-On.

3. Nella pagina Selezionare un metodo single sign-on selezionare SAML.

4. Nella pagina Configura single Sign-On con SAML selezionare l'icona a forma di matita per Configurazione SAML di base per modificare le impostazioni.

   

5. Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti:

   a) Nella casella di testo URL di accesso (disponibile in WorkPlace come URL destinatario) digitare un URL usando il modello seguente: https://.workplace.com/work/saml.php

   b. Nella casella di testo Identificatore (ID entità) (disponibile in WorkPlace come URL pubblico) digitare un URL usando il modello seguente: https://www.workplace.com/company/

   c. Nella casella di testo URL di risposta (disponibile in WorkPlace come servizio consumer di asserzione) digitare un URL usando il modello seguente: https://.workplace.com/work/saml.php

   Annotazioni

   Questi valori non sono reali. Aggiorna questi valori con l'URL di accesso, l'identificatore e l'URL di risposta effettivi. Per i valori corretti per la community di Workplace, vedere la pagina Autenticazione del dashboard aziendale di Workplace, come illustrato più avanti nell'articolo.

6. Nella pagina Configura Single Sign-On con SAML, nella sezione Certificato di firma SAML, individuate Certificato (Base64) e selezionate Download per scaricare il certificato e salvarlo nel computer.

   

7. Nella sezione Configura Workplace by Meta copiare gli URL appropriati in base alle esigenze.

   

Creare e assegnare un utente di test di Microsoft Entra

Seguire le indicazioni nella guida rapida di creazione e assegnazione di un account utente per creare un account utente di test chiamato B.Simon.

Configurare Workplace by Meta SSO

1. In un'altra finestra del Web browser accedere al sito aziendale workplace by Meta come amministratore

   Annotazioni

   Nell'ambito del processo di autenticazione SAML, Workplace può utilizzare stringhe di query di dimensioni fino a 2,5 kilobyte per passare parametri a Microsoft Entra ID.

2. Navigare al Pannello di amministrazione>, Sicurezza>, scheda Autenticazione.

   

   a) Selezionare l'opzione Single Sign-On(SSO).

   b. Selezionare SSO come predefinito per i nuovi utenti.

   c. Selezionare +Aggiungi nuovo provider SSO.

   Annotazioni

   Assicurarsi di selezionare anche la casella di controllo per l'accesso con password. Gli amministratori potrebbero avere bisogno di questa opzione per l'accesso durante il rollover del certificato, al fine di evitare di rimanere bloccati fuori.

3. Nella finestra popup Single Sign-On (SSO) Setup, seguire questa procedura:

   

   a) In Nome del provider SSO immettere il nome dell'istanza SSO, ad esempio Azureadsso.

   b. Nella casella di testo SAML URL (URL SAML ) incollare il valore di URL di accesso.

   c. Nella casella di testo SAML Issuer URL (URL autorità di certificazione SAML) incollare il valore di Microsoft Entra Identifier (Identificatore Entra Microsoft).

   d. Aprire il certificato ( Base64) scaricato nel Blocco note, copiarne il contenuto negli Appunti e incollarlo nella casella di testo Certificato SAML .

   e. Copiare l'URL del gruppo di destinatari per l'istanza e incollarlo nella casella di testo Identificatore (ID entità) nella sezione Configurazione SAML di base .

   f. Copiare l'URL del destinatario per l'istanza e incollarlo nella casella di testo URL di accesso nella sezione Configurazione SAML di base .

   g. Copiare l'URL ACS (Assertion Consumer Service) per l'istanza e incollarlo nella casella di testo URL di risposta nella sezione Configurazione SAML di base .

   h. Scorrere fino alla fine della sezione e selezionare il pulsante Test SSO . Viene visualizzata una finestra popup con la pagina di accesso di Microsoft Entra presentata. Immettere le credenziali in come di consueto per l'autenticazione.

   Risoluzione dei problemi: Assicurarsi che l'indirizzo di posta elettronica restituito dall'ID Microsoft Entra corrisponda all'account Workplace con cui si è connessi.

   i Al termine del test, scorrere fino alla fine della pagina e selezionare il pulsante Salva .

   j. Tutti gli utenti che usano Workplace verranno ora presentati con la pagina di accesso di Microsoft Entra per l'autenticazione.

4. Reindirizzamento disconnessione SAML (facoltativo) -

   È possibile scegliere di configurare facoltativamente un URL di disconnessione SAML, che può essere usato per puntare alla pagina di disconnessione di Microsoft Entra ID. Quando questa impostazione è abilitata e configurata, l'utente non verrà più indirizzato alla pagina di disconnessione workplace. L'utente viene invece reindirizzato all'URL aggiunto nell'impostazione SAML Logout Redirect.

Configurazione della frequenza di riautenticazione

È possibile configurare Workplace per richiedere un controllo SAML ogni giorno, tre giorni, settimana, due settimane, mese o mai.

Annotazioni

Il valore minimo per il controllo SAML nelle applicazioni per dispositivi mobili è impostato su una settimana.

È anche possibile forzare una reimpostazione SAML per tutti gli utenti usando il pulsante Richiedi l'autenticazione SAML per tutti gli utenti.

Creare l'utente di test di Workplace by Meta

In questa sezione viene creato un utente di nome B.Simon in Workplace by Meta. Workplace by Meta supporta il provisioning just-in-time, che è abilitato per impostazione predefinita.

In questa sezione non è prevista alcuna azione. Se un utente non esiste in Workplace by Meta, ne viene creato uno nuovo quando si tenta di accedere a Workplace by Meta.

Annotazioni

Se è necessario creare un utente manualmente, contattare il team di supporto clienti di Workplace by Meta.

Testare la funzionalità SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

• Selezionare Test this application (Testa questa applicazione), questa opzione reindirizza all'URL di accesso di Workplace by Meta sign-on in cui è possibile avviare il flusso di accesso.

• Passare direttamente all'URL di accesso di Workplace by Meta e avviare il flusso di accesso da questa posizione.

• È possibile usare Microsoft My Apps. Quando si seleziona il riquadro Workplace by Meta in Le mie app, questa opzione reindirizza all'URL di accesso di Workplace by Meta. Per altre informazioni sulle app personali, vedere Introduzione alle app personali.

Testare l'accesso SSO for Workplace by Meta (mobile)

1. Aprire l'applicazione Workplace by Meta Mobile. Nella pagina di accesso selezionare ACCEDI.

   

2. Immettere l'indirizzo di posta elettronica aziendale e selezionare CONTINUA.

   

3. Seleziona SOLO UNA VOLTA.

   

4. Selezionare Consenti.

   

5. Infine, dopo l'accesso, viene visualizzata la home page dell'applicazione.

   

Contenuti correlati

Dopo aver configurato Workplace by Meta, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo della sessione si estende dal controllo di accesso condizionale. Scopri come applicare il controllo delle sessioni con Microsoft Defender for Cloud Apps.