Integrace jednotného přihlašování Microsoftu s HPE Aruba Networking EdgeConnect Orchestratorem

V tomto kurzu se dozvíte, jak integrovat orchestrator HPE Aruba Networking EdgeConnect s Microsoft Entra ID. Při integraci nástroje HPE Aruba Networking EdgeConnect Orchestrator s Microsoft Entra ID můžete:

• Řízení v Microsoft Entra ID, který má přístup k HPE Aruba Networking EdgeConnect Orchestrator.
• Povolte uživatelům, aby se pomocí svých účtů Microsoft Entra automaticky přihlásili k nástroji HPE Aruba Networking EdgeConnect Orchestrator.
• Spravujte účty v jednom centrálním umístění.

Požadavky

K integraci Microsoft Entra ID s HPE Aruba Networking EdgeConnect Orchestrator potřebujete:

• Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
• HPE Aruba Networking EdgeConnect Orchestrator verze 9.4.1 nebo novější.

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

• Orchestrator HPE Aruba Networking EdgeConnect podporuje jednotné přihlašování iniciované sp i IDP .

Přidání orchestratoru HPE Aruba Networking EdgeConnect z galerie

Pokud chcete nakonfigurovat integraci nástroje HPE Aruba Networking EdgeConnect Orchestrator do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat orchestrator HPE Aruba Networking EdgeConnect Orchestrator z galerie.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.

3. V části Přidat z galerie zadejte do vyhledávacího pole orchestrator HPE Aruba Networking EdgeConnect Orchestrator.

4. Na panelu výsledků vyberte dlaždici Orchestratoru HPE Aruba Networking EdgeConnect. Zadejte název a kliknutím na Vytvořit přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

   

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro orchestrator HPE Aruba Networking EdgeConnect Orchestrator

Nakonfigurujte a otestujte microsoft Entra SSO s HPE Aruba Networking EdgeConnect Orchestrator pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v nástroji HPE Aruba Networking EdgeConnect Orchestrator.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování microsoftu Entra pomocí nástroje HPE Aruba Networking EdgeConnect Orchestrator, proveďte následující kroky:

1. Nakonfigurujte jednotné přihlašování Microsoft Entra – Tento krok umožní uživatelům používat tuto funkci.
2. Vytvoření testovacího uživatele Microsoft Entra ID – tento krok umožňuje otestovat jednotné přihlašování Microsoft Entra pomocí B.Simon.
3. Přiřazení testovacího uživatele k aplikaci HPE Aruba Networking EdgeConnect Orchestrator – Tento krok vám umožní povolit B.Simonu používat jednotné přihlašování k Microsoft Entra on EdgeConnect Orchestrator.
4. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování Microsoft Entra v Centru pro správu Microsoft Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte k podnikovým aplikacím> identit.> Na panelu hledání zadejte název aplikace HPE Aruba Networking EdgeConnect Orchestrator , kterou jste vytvořili dříve. Otevře se stránka Přehled .

3. V levém podokně v části Spravovat klikněte na Jednotné přihlašování.

4. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

5. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

   

6. V části Základní konfigurace SAML proveďte následující kroky:

   a. Je nutné zadat hodnoty textového pole Identifikátor (ID entity), textového pole Adresa URL odpovědi (adresa URL služby Assertion Consumer Service) a odhlásit adresu URL (volitelné). Pokud chcete tyto hodnoty najít, nejprve se přihlaste k nástroji Orchestrator a přejděte do dialogového okna Ověřování (Ověřování uživatelů a ověřování > orchestrátoru).>

   

   b. V dialogovém okně Ověřování klikněte na +Přidat nový server.

   c. V poli Typ vyberte SAML.

   d. Do pole Název zadejte název konfigurace SAML.

   e. Klikněte na ikonu kopírování vedle pole adresy URL služby ACS.

   f. Přejděte do části Základní konfigurace SAML na stránce Microsoft Set up single sign-on with SAML page:

   1. V části Identifikátor (ID entity) klikněte na přidat odkaz identifikátoru . Vložte hodnotu ADRESY URL služby ACS do pole Identifikátor.

      Poznámka:

      1. Pokud konfigurujete jednotné přihlašování SAML na některém z následujících tří produktů Orchestratoru: "HPE Aruba Networking EdgeConnect Cloud Orchestrator", "HPE Aruba Networking EdgeConnect Service Provider Orchestrator" a "HPE Aruba Networking EdgeConnect Global Enterprise Orchestrator"- https://<SUBDOMAIN>.silverpeak.cloud/gms/rest/authentication/saml2/consume.
      2. Pokud konfigurujete jednotné přihlašování SAML v místním prostředí HPE Aruba Networking EdgeConnect Orchestrator (ať už je nasazený místně nebo ve veřejném cloudovém prostředí, jako je Microsoft Entra), https://<PUBLIC-IP-ADDRESS-OF-ORCHESTRATOR>/gms/rest/authentication/saml2/consumepoužijte následující vzor.

   2. V části Adresa URL odpovědi (adresa URL služby Assertion Consumer Service) klikněte na přidat odkaz na adresu URL odpovědi. Do pole Adresa URL odpovědi vložte stejnou hodnotu adresy URL služby ACS.

      Poznámka:

      1. Pokud konfigurujete jednotné přihlašování SAML na některém z následujících tří produktů Orchestratoru: "HPE Aruba Networking EdgeConnect Cloud Orchestrator", "HPE Aruba Networking EdgeConnect Service Provider Orchestrator" a "HPE Aruba Networking EdgeConnect Global Enterprise Orchestrator"- https://<SUBDOMAIN>.silverpeak.cloud/gms/rest/authentication/saml2/consume.
      2. Pokud konfigurujete jednotné přihlašování SAML v místním prostředí HPE Aruba Networking EdgeConnect Orchestrator (ať už je nasazený místně nebo ve veřejném cloudovém prostředí, jako je Microsoft Entra), https://<PUBLIC-IP-ADDRESS-OF-ORCHESTRATOR>/gms/rest/authentication/saml2/consumepoužijte následující vzor.

   3. V části Adresa URL odhlášení (volitelné) vložte hodnotu koncového bodu SLO EdgeConnect ze stránky Vzdáleného ověřovacího serveru nástroje Orchestrator, jak je znázorněno na následujícím obrázku:

   Poznámka:

   Pokud orchestrátor v místním prostředí zobrazuje privátní IP adresu v poli adresa URL služby ACS a v poli Koncový bod cíle služby EdgeConnect, aktualizujte ji pomocí veřejné IP adresy nástroje Orchestrator. Jak je znázorněno na následujícím snímku obrazovky, musí všechna pět polí obsahovat veřejnou IP adresu orchestrátoru (ne privátní IP adresu).

   

   g. Kliknutím na Uložit zavřete část Základní konfigurace SAML.

7. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte v části Atributy a deklarace identity na ikonu úprav a zkopírujte zvýrazněnou položku níže a vložte informace do pole Atribut uživatelského jména v Orchestratoru, jak je znázorněno níže:

   

8. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte certifikát (Base64) a vyberte Stáhnout a stáhněte si certifikát:

   

9. Otevřete certifikát pomocí textového editoru, jako je Poznámkový blok. Zkopírujte a vložte obsah certifikátu do pole Certifikát X.509 IdP v nástroji Orchestrator, jak je znázorněno níže:

   

10. Na stránce Nastavení jednotného přihlašování pomocí SAML v části Nastavení nástroje HPE Aruba Networking EdgeConnect Orchestrator zkopírujte identifikátor Microsoft Entra a vložte ho do pole Adresa URL vystavitele v nástroji Orchestrator:

    

11. Klikněte na kartu Vlastnosti a zkopírujte adresu URL uživatelského přístupu a vložte ji do pole Koncový bod jednotného přihlašování v nástroji Orchestrator, jak je znázorněno níže:

    

12. V dialogovém okně Server vzdáleného ověřování nástroje Orchestrator nastavte pole Výchozí role . Příklad: SuperAdmin. (Toto je poslední položka v rozevíracím seznamu.) Výchozí role je nutná, pokud jste nedefinovali řízení přístupu na základě role (RBAC) v atributech uživatele v části Atributy a deklarace identity.

13. Klepněte na tlačítko Uložit v dialogovém okně Vzdálený ověřovací server.

14. Úspěšně jste nakonfigurovali ověřování jednotného přihlašování SAML v orchestratoru. Dalším krokem je vytvoření testovacího uživatele a přiřazení aplikace Orchestrator danému uživateli k ověření úspěšné konfigurace SAML.

Vytvoření testovacího uživatele Microsoft Entra ID

V této části vytvoříte testovacího uživatele v Centru pro správu Microsoft Entra s názvem B.Simon.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
4. Ve vlastnostech uživatele postupujte takto:
   1. Do pole Zobrazovaný název zadejte B.Simon.
   2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
   3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
   4. Vyberte Zkontrolovat a vytvořit.
5. Vyberte Vytvořit.

Přiřazení testovacího uživatele k aplikaci HPE Aruba Networking EdgeConnect Orchestrator

V této části povolíte B.Simonu používat jednotné přihlašování Microsoft Entra tím, že udělíte přístup k nástroji HPE Aruba Networking EdgeConnect Orchestrator.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
2. Přejděte k podnikovým>aplikacím>identit>HPE Aruba Networking EdgeConnect Orchestrator.
3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
   1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
   2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
   3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

Inicializovaná aktualizace:

• Klikněte na Otestovat tuto aplikaci v Centru pro správu Microsoft Entra. Tím se přesměruje na přihlašovací adresu URL nástroje HPE Aruba Networking EdgeConnect Orchestrator, kde můžete zahájit tok přihlášení.

• Přejděte na hpE Aruba Networking EdgeConnect Orchestrator Sign on URL přímo a inicializovat tok přihlášení odtud.

Iniciovaný protokol IDP:

• Klikněte na Otestovat tuto aplikaci v Centru pro správu Microsoft Entra a měli byste být automaticky přihlášení k nástroji HPE Aruba Networking EdgeConnect Orchestrator, pro který jste nastavili jednotné přihlašování.

K otestování aplikace v libovolném režimu můžete také použít Microsoft Moje aplikace. Když kliknete na dlaždici HPE Aruba Networking EdgeConnect Orchestrator v Moje aplikace, pokud je nakonfigurovaný v režimu SP, budete přesměrováni na přihlašovací stránku aplikace pro zahájení toku přihlášení a pokud je nakonfigurovaný v režimu IDP, měli byste být automaticky přihlášení k nástroji HPE Aruba Networking EdgeConnect Orchestrator, pro který jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Jakmile nakonfigurujete nástroj HPE Aruba Networking EdgeConnect Orchestrator, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.