Kurz: Konfigurace modulu cloudových identit Palo Alto Networks – Cloud Authentication Service pro automatické zřizování uživatelů

Tento kurz popisuje kroky, které je potřeba provést v palo Alto Networks Cloud Identity Engine – Cloud Authentication Service a Microsoft Entra ID ke konfiguraci automatického zřizování uživatelů. Při konfiguraci microsoft Entra ID automaticky zřídí a zruší zřizování uživatelů a skupin do Modulu cloudových identit Palo Alto Networks – Cloud Authentication Service pomocí služby Microsoft Entra provisioning. Důležité podrobnosti o tom, co tato služba dělá, jak funguje, a nejčastější dotazy najdete v tématu Automatizace zřizování a rušení zřizování uživatelů pro aplikace SaaS pomocí Microsoft Entra ID.

Podporované funkce

• Vytvářejte uživatele v Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service.
• Odeberte uživatele v Modulu cloudových identit Palo Alto Networks – Cloud Authentication Service, pokud už nevyžadují přístup.
• Udržujte atributy uživatele synchronizované mezi Microsoft Entra ID a Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service.
• Zřiďte skupiny a členství ve skupinách v Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service.
• Jednotné přihlašování k cloudovým identitám Palo Alto Networks – Cloud Authentication Service (doporučeno).

Požadavky

Scénář popsaný v tomto kurzu předpokládá, že už máte následující požadavky:

• Tenant Microsoft Entra.
• Jedna z následujících rolí: Application Správa istrator, Cloud Application Správa istrator nebo Application Owner.
• Uživatelský účet v Palo Alto Networks s právy Správa.

Krok 1: Plánování nasazení zřizování

1. Seznamte se s fungováním služby zřizování.
2. Zjistěte, kdo bude v rozsahu zřizování.
3. Určete, jaká data se mají mapovat mezi Microsoft Entra ID a Cloud Identity Enginem Palo Alto Networks – Cloud Authentication Service.

Krok 2: Konfigurace cloudového identity stroje Palo Alto Networks – Cloud Authentication Service pro podporu zřizování pomocí Microsoft Entra ID

Pokud chcete získat adresu URL SCIM a odpovídající token, obraťte se na zákaznickou podporu Palo Alto Networks.

Krok 3: Přidání modulu cloudových identit Palo Alto Networks – Cloud Authentication Service z galerie aplikací Microsoft Entra

Přidejte Modul cloudových identit Palo Alto Networks – Cloud Authentication Service z galerie aplikací Microsoft Entra a začněte spravovat zřizování pro Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service. Pokud jste dříve nastavili Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service pro jednotné přihlašování, můžete použít stejnou aplikaci. Pro účely počátečního testování integrace však doporučujeme vytvořit samostatnou aplikaci. Další informace o přidání aplikace z galerie najdete tady.

Krok 4: Definujte, kdo bude v oboru zřizování

Služba zřizování Microsoft Entra umožňuje určit rozsah, který bude zřízen na základě přiřazení k aplikaci nebo na základě atributů uživatele nebo skupiny. Pokud se rozhodnete nastavit rozsah uživatelů, kteří se zřídí pro vaši aplikaci, na základě přiřazení, můžete k aplikaci přiřadit uživatele a skupiny pomocí následujících kroků. Pokud se rozhodnete nastavit rozsah uživatelů, kteří se zřídí, pouze na základě atributů jednotlivých uživatelů nebo skupin, můžete použít filtr rozsahu, jak je popsáno tady.

• Začněte v malém. Než se pustíte do zavádění pro všechny, proveďte testování s malou skupinou uživatelů a skupin. Pokud je rozsah zřizování nastavený na přiřazené uživatele a skupiny, můžete testování provést tak, že k aplikaci přiřadíte jednoho nebo dva uživatele nebo skupiny. Pokud je rozsah nastavený na všechny uživatele a skupiny, můžete určit filtr rozsahu na základě atributů.

• Pokud potřebujete další role, můžete aktualizovat manifest aplikace a přidat nové role.

Krok 5: Konfigurace automatického zřizování uživatelů pro Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service

Tato část vás provede postupem konfigurace služby zřizování Microsoft Entra pro vytváření, aktualizaci a zakázání uživatelů a/nebo skupin v Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service na základě přiřazení uživatelů nebo skupin v Microsoft Entra ID.

Konfigurace automatického zřizování uživatelů pro Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service v Microsoft Entra ID:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte k podnikovým aplikacím identit>>

   

3. V seznamu aplikací vyberte Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service.

   

4. Vyberte kartu Zřizování.

   

5. Nastavte Režim zřizování na hodnotu Automaticky.

   

6. V části Správa Přihlašovací údaje zadejte adresu URL tenanta cloudové služby Palo Alto Networks – adresu URL tenanta cloudové služby ověřování a token tajného klíče. Klikněte na testovací Připojení ion a ujistěte se, že se MICROSOFT Entra ID může připojit k modulu cloudových identit Palo Alto Networks – cloudová ověřovací služba. Pokud připojení selže, ujistěte se, že váš účet Palo Alto Networks má Správa oprávnění a zkuste to znovu.

   

7. Do pole Oznamovací e-mail zadejte e-mailovou adresu osoby nebo skupiny, na kterou by se měla odesílat oznámení o chybách zřizování, a zaškrtněte políčko Když dojde k selhání, poslat oznámení e-mailem.

   

8. Zvolte Uložit.

9. V části Mapování vyberte Synchronizovat uživatele Microsoft Entra s Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service.

10. Zkontrolujte atributy uživatele, které jsou synchronizovány z Microsoft Entra ID do Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service v části Mapování atributů. Atributy vybrané jako Odpovídající vlastnosti se používají ke shodě uživatelských účtů v modulu identit cloudových identit Palo Alto Networks – Cloud Authentication Service pro operace aktualizace. Pokud se rozhodnete změnit odpovídající cílový atribut, budete muset zajistit, aby rozhraní API cloudových identit Palo Alto Networks – Cloud Authentication Service podporovalo filtrování uživatelů na základě daného atributu. Výběrem tlačítka Uložit potvrďte všechny změny.

    Atribut	Typ	Podporováno pro filtrování	Vyžadováno modulem cloudových identit Palo Alto Networks – cloudová ověřovací služba
    userName	String	✓	✓
    active	Logická hodnota		✓
    displayName	String		✓
    title	String
    emails[type eq "work"].value	String
    email[type eq "other"].value	String
    preferredLanguage	String
    name.givenName	String		✓
    name.familyName	String		✓
    name.formatted	String		✓
    name.honorificSuffix	String
    name.honorificPrefix	String
    addresses[type eq "work"].formatted	String
    addresses[type eq "work"].streetAddress	String
    addresses[type eq "work"].locality	String
    addresses[type eq "work"].region	String
    addresses[type eq "work"].postalCode	String
    addresses[type eq "work"].country	String
    addresses[type eq "other"].formatted	String
    addresses[type eq "other"].streetAddress	String
    addresses[type eq "other"].locality	String
    addresses[type eq "other"].region	String
    addresses[type eq "other"].postalCode	String
    addresses[type eq "other"].country	String
    phoneNumbers[type eq "work"].value	String
    phoneNumbers[type eq "mobile"].value	String
    phoneNumbers[type eq "fax"].value	String
    externalId	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager	String

    Poznámka:

    Zjišťování schématu je v této aplikaci povolené. Proto můžete v aplikaci vidět více atributů, než je uvedeno v tabulce výše.

11. V části Mapování vyberte Synchronizovat skupiny Microsoft Entra do Modulu cloudových identit Palo Alto Networks – Cloud Authentication Service.

12. Zkontrolujte atributy skupiny, které jsou synchronizovány z Microsoft Entra ID do Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service v části Mapování atributů. Atributy vybrané jako Odpovídající vlastnosti se používají ke shodě skupin v Modulu cloudových identit Palo Alto Networks – Cloud Authentication Service pro operace aktualizace. Výběrem tlačítka Uložit potvrďte všechny změny.

    Atribut	Typ	Podporováno pro filtrování	Vyžadováno modulem cloudových identit Palo Alto Networks – cloudová ověřovací služba
    displayName	String	✓	✓
    členové	Reference

13. Pokud chcete nakonfigurovat filtry rozsahu, postupujte podle pokynů uvedených v kurzu k filtrům rozsahu.

14. Pokud chcete povolit službu zřizování Microsoft Entra pro Cloud Identity Engine Palo Alto Networks – Cloud Authentication Service, změňte stav zřizování na Zapnuto v části Nastavení.

    

15. Definujte uživatele nebo skupiny, které chcete zřídit pro Palo Alto Networks Cloud Identity Engine – Cloud Authentication Service, a to tak, že v části Nastavení zvolíte požadované hodnoty v oboru.

    

16. Jakmile budete připraveni na zřízení, klikněte na Uložit.

    

Tato operace zahájí cyklus počáteční synchronizace všech uživatelů a skupin definovaných v nabídce Rozsah v části Nastavení. Počáteční cyklus trvá déle než následné cykly, ke kterým dochází přibližně každých 40 minut, pokud je spuštěná služba zřizování Microsoft Entra.

Krok 6: Monitorování nasazení

Po dokončení konfigurace zřizování můžete své nasazení monitorovat pomocí následujících prostředků:

• S využitím protokolů zřizování můžete zjistit, kteří uživatelé se zřídili úspěšně a kteří neúspěšně.
• Pokud chcete zjistit, jaký je stav cyklu zřizování a jak blízko je dokončení, zkontrolujte indikátor průběhu.
• Pokud se zdá, že konfigurace zřizování není v pořádku, aplikace přejde do karantény. Další informace o stavech karantény najdete tady.

Další materiály

• Správa zřizování uživatelských účtů pro podnikové aplikace
• Co je přístup k aplikacím a jednotné přihlašování pomocí Microsoft Entra ID?

Další kroky

• Zjistěte, jak procházet protokoly a získat sestavy aktivit zřizování.