Samouczek: konfigurowanie zarządzania użytkownikami cisco pod kątem bezpiecznego dostępu na potrzeby automatycznej aprowizacji użytkowników

W tym samouczku opisano kroki, które należy wykonać zarówno w rozwiązaniu Cisco User Management for Secure Access, jak i w usłudze Microsoft Entra ID w celu skonfigurowania automatycznej aprowizacji użytkowników. Po skonfigurowaniu identyfikator Entra firmy Microsoft automatycznie aprowizuje i anuluje aprowizowanie użytkowników i grup w usłudze Cisco User Management for Secure Access przy użyciu usługi aprowizacji firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Obsługiwane możliwości

• Tworzenie użytkowników w usłudze Cisco User Management na potrzeby bezpiecznego dostępu
• Usuwanie użytkowników w rozwiązaniu Cisco User Management for Secure Access, gdy nie wymagają już dostępu
• Zachowaj synchronizację atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i rozwiązaniem Cisco User Management na potrzeby bezpiecznego dostępu
• Aprowizuj grupy i członkostwa w grupach w usłudze Cisco User Management na potrzeby bezpiecznego dostępu

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:

• Dzierżawa firmy Microsoft Entra
• Konto użytkownika w usłudze Microsoft Entra ID z uprawnieniem do konfigurowania aprowizacji (na przykład application Administracja istrator, cloud application Administracja istrator lub właściciel aplikacji).
• Subskrypcja Cisco Umbrella.
• Konto użytkownika w aplikacji Cisco Umbrella z pełnymi uprawnieniami administratora.

Krok 1. Planowanie wdrożenia aprowizacji

1. Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
2. Określ, kto znajdzie się w zakresie aprowizacji.
3. Ustal, jakie dane mają być mapowanie między identyfikatorem Entra firmy Microsoft i rozwiązaniem Cisco User Management na potrzeby bezpiecznego dostępu.

Krok 2. Importowanie atrybutu ObjectGUID za pośrednictwem Połączenie firmy Microsoft (opcjonalnie)

Jeśli punkty końcowe korzystają z programu Any Połączenie lub Cisco Secure Client w wersji 4.10 MR5 lub starszej, należy zsynchronizować atrybut ObjectGUID na potrzeby przypisywania tożsamości użytkownika. Po zaimportowaniu grup z identyfikatora Entra firmy Microsoft należy ponownie skonfigurować wszystkie zasady parasola dla grup.

Uwaga

Lokalne Połączenie or usługi Umbrella AD należy wyłączyć przed zaimportowaniem atrybutu ObjectGUID.

W przypadku korzystania z usługi Microsoft Entra Połączenie atrybut ObjectGUID użytkowników nie jest domyślnie synchronizowany z lokalnej usługi AD do identyfikatora Entra firmy Microsoft. Aby zsynchronizować ten atrybut, włącz opcjonalną synchronizację atrybutów rozszerzenia katalogu i wybierz atrybuty objectGUID dla użytkowników.

Uwaga

Wyszukiwanie w obszarze Dostępne atrybuty uwzględnia wielkość liter.

Uwaga

Ten krok nie jest wymagany, jeśli wszystkie punkty końcowe korzystają z programu Cisco Secure Client lub Any Połączenie w wersji 4.10 MR6 lub nowszej.

Krok 3. Konfigurowanie zarządzania użytkownikami cisco pod kątem bezpiecznego dostępu w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

1. Zaloguj się do pulpitu nawigacyjnego aplikacji Cisco Umbrella. Przejdź do pozycji Wdrożenia>Tożsamości podstawowe>użytkownicy i grupy.

2. Rozwiń kartę Microsoft Entra i kliknij stronę Klucze interfejsu API.

   

3. Rozwiń kartę Microsoft Entra na stronie Klucze interfejsu API i kliknij pozycję Generuj token.

   

4. Wygenerowany token będzie wyświetlany tylko raz. Skopiuj i zapisz adres URL oraz token. Te wartości zostaną wprowadzone odpowiednio w polach Adres URL dzierżawy i Token tajny na karcie Aprowizowanie aplikacji Cisco User Management for Secure Access.

Krok 4. Dodawanie aplikacji Cisco User Management for Secure Access z galerii aplikacji Firmy Microsoft Entra

Dodaj aplikację Cisco User Management for Secure Access z galerii aplikacji Firmy Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze Cisco User Management na potrzeby bezpiecznego dostępu. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.

Krok 5. Definiowanie, kto będzie w zakresie aprowizacji

Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika/grupy. Jeśli zdecydujesz się na określenie zakresu aprowizacji w aplikacji na podstawie przypisania, możesz skorzystać z następujących instrukcji w celu przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się na określenie zakresu aprowizacji wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtra zakresu zgodnie z opisem zamieszczonym tutaj.

• Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. W przypadku ustawienia zakresu aprowizacji na przypisanych użytkowników i grupy możesz w tym celu przypisać do aplikacji jednego czy dwóch użytkowników bądź jedną lub dwie grupy. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.

• Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.

Krok 6. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze Cisco User Management na potrzeby bezpiecznego dostępu

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze Cisco User Management for Secure Access na podstawie przypisań użytkowników i/lub grup w usłudze Microsoft Entra ID.

Aby skonfigurować automatyczną aprowizację użytkowników dla aplikacji Cisco User Management na potrzeby bezpiecznego dostępu w usłudze Microsoft Entra ID:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>>

   

3. Na liście aplikacji wybierz pozycję Cisco User Management dla bezpiecznego dostępu.

   

4. Wybierz kartę Aprowizacja.

   

5. Ustaw Tryb aprowizacji na Automatyczny.

   

6. W sekcji Administracja Credentials (Poświadczenia) wprowadź adres URL dzierżawy rozwiązania Cisco User Management for Secure Access i token tajny. Kliknij pozycję Testuj Połączenie ion, aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą Cisco User Management w celu zapewnienia bezpiecznego dostępu. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi Cisco User Management for Secure Access ma uprawnienia Administracja i spróbuj ponownie.

   

7. W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

   

8. Wybierz pozycję Zapisz.

9. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft Entra z usługą Cisco User Management w celu zapewnienia bezpiecznego dostępu.

10. Przejrzyj atrybuty użytkownika, które są synchronizowane z identyfikatora Entra firmy Microsoft do aplikacji Cisco User Management na potrzeby bezpiecznego dostępu w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Pasujące właściwości są używane do dopasowania kont użytkowników w aplikacji Cisco User Management for Secure Access na potrzeby operacji aktualizacji. Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że interfejs API bezpiecznego dostępu firmy Cisco obsługuje filtrowanie użytkowników na podstawie tego atrybutu. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ	Obsługiwane do filtrowania
    userName	String	✓
    externalId	String
    aktywne	Wartość logiczna
    displayName	String
    name.givenName	String
    name.familyName	String
    name.formatted	String
    urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId	String

Uwaga

Jeśli zaimportowano atrybut objectGUID dla użytkowników za pośrednictwem Połączenie Microsoft Entra (zobacz Krok 2), dodaj mapowanie z objectGUID do urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId.

1. W sekcji Mapowania wybierz pozycję Synchronizuj grupy entra firmy Microsoft z usługą Cisco User Management w celu zapewnienia bezpiecznego dostępu.

2. Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi Cisco User Management w celu bezpiecznego dostępu w sekcji Mapowanie atrybutów. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania grup w usłudze Cisco User Management for Secure Access na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

   Atrybut	Typ	Obsługiwane do filtrowania
   displayName	String	✓
   externalId	String
   członkowie	Odwołanie

3. Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.

4. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi Cisco User Management for Secure Access, zmień stan aprowizacji na Wł. w sekcji Ustawienia.

   

5. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze Cisco User Management for Secure Access, wybierając żądane wartości w sekcji Zakres w sekcji Ustawienia.

   

6. Gdy wszystko będzie gotowe do rozpoczęcia aprowizacji, kliknij pozycję Zapisz.

   

Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.

Krok 7. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji możesz skorzystać z następujących zasobów, aby monitorować wdrożenie:

• Użyj dzienników aprowizacji, aby określić, których użytkowników udało się lub nie udało aprowizować
• Sprawdź pasek postępu, aby zapoznać się ze stanem cyklu aprowizacji i czasem pozostałym do jego zakończenia
• Jeśli konfiguracja aprowizacji jest w złej kondycji, aplikacja przejdzie w stan kwarantanny. Więcej informacji o stanach kwarantanny znajdziesz tutaj.

Ograniczenia Połączenie or

• Aplikacja Cisco User Management for Secure Access obsługuje aprowizację maksymalnie 200 grup. Nie można aprowizować żadnych grup poza tą liczbą, które znajdują się w zakresie, do aplikacji Cisco Umbrella.

Dodatkowe zasoby

• Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
• Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?

Następne kroki

• Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań aprowizacji