Freigeben über


Tutorial: Konfigurieren von Cisco User Management for Secure Access für die automatische Benutzerbereitstellung

In diesem Tutorial werden die Schritte beschrieben, die Sie in Cisco User Management for Secure Access und Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Bei der Konfiguration stellt Microsoft Entra mithilfe des Microsoft Entra-Bereitstellungsdiensts automatisch Benutzer*innen und Gruppen für Cisco User Management for Secure Access bereit und hebt die Bereitstellung wieder auf. Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.

Unterstützte Funktionen

  • Erstellen von Benutzer*innen in Cisco User Management for Secure Access
  • Entfernen von Benutzer*innen in Cisco User Management for Secure Access, wenn diese keinen Zugriff mehr benötigen
  • Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und Cisco User Management for Secure Access
  • Bereitstellen von Gruppen und Gruppenmitgliedschaften in Cisco User Management for Secure Access

Voraussetzungen

Das diesem Tutorial zu Grunde liegende Szenario setzt voraus, dass Sie bereits über die folgenden Voraussetzungen verfügen:

Schritt 1: Planen der Bereitstellung

  1. Erfahren Sie, wie der Bereitstellungsdienst funktioniert.
  2. Bestimmen Sie, wer in den Bereitstellungsbereich einbezogen werden soll.
  3. Legen Sie die Daten für die Zuordnung zwischen Microsoft Entra ID und Cisco User Management for Secure Access fest.

Schritt 2: Importieren des ObjectGUID-Attributs über Microsoft Entra Connect (Optional)

Wenn Ihre Endpunkte AnyConnect oder Cisco Secure Client, Version 4.10 MR5 oder früher ausführen, müssen Sie das ObjectGUID-Attribut für die Benutzeridentitätszuordnung synchronisieren. Nach dem Import von Gruppen aus Microsoft Entra ID müssen Sie alle Umbrella-Richtlinien für Gruppen neu konfigurieren.

Hinweis

Der lokale Umbrella AD Connector sollte vor dem Importieren des ObjectGUID-Attributs deaktiviert werden.

Wenn Sie Microsoft Entra Connect verwenden, wird das Attribut ObjectGUID von Benutzer*innen nicht standardmäßig aus dem lokalen AD mit Microsoft Entra ID synchronisiert. Aktivieren Sie zum Synchronisieren dieses Attributs die optionale Verzeichniserweiterungs-Attributsynchronisierung, und wählen Sie die objectGUID-Attribute für Benutzer aus.

Seite „Optionale Funktionen“ im Microsoft Entra Connect-Assistenten

Hinweis

Bei der Suche im Feld Verfügbare Attribute wird die Groß-/Kleinschreibung berücksichtigt.

Screenshot der Auswahlseite „Verzeichniserweiterungen“

Hinweis

Dieser Schritt ist nicht erforderlich, wenn all Ihre Endpunkte Cisco Secure Client oder AnyConnect, Version 4.10 MR6 oder höher ausführen.

Schritt 3: Konfigurieren von Cisco User Management for Secure Access für die Unterstützung der Bereitstellung mit Microsoft Entra ID

  1. Melden Sie sich beim Cisco Umbrella-Dashboard an. Navigieren Sie zu Deployments>Core Identities>Users and Groups (Core Identities-Benutzer und -Gruppen für Bereitstellungen) .

  2. Erweitern Sie die Microsoft Entra-Karte, und klicken Sie auf die Seite API-Schlüssel.

    API

  3. Erweitern Sie die Microsoft Entra-Karte auf der Seite API-Schlüssel und klicken Sie auf Generate Token (Token generieren).

    Generate

  4. Das generierte Token wird nur einmal angezeigt. Kopieren und speichern Sie die URL und das Token. Diese Werte werden auf der Registerkarte „Bereitstellung“ Ihrer Cisco User Management for Secure Access-Anwendung jeweils in die Felder für Mandanten-URL und Geheimnistoken eingegeben.

Fügen Sie Cisco User Management for Secure Access aus dem Microsoft Entra-Anwendungskatalog hinzu, um mit der Verwaltung der Bereitstellung in Cisco User Management for Secure Access zu beginnen. Hier erfahren Sie mehr über das Hinzufügen einer Anwendung aus dem Katalog.

Schritt 5: Definieren, welche Benutzer*innen in die Bereitstellung einbezogen werden

Mit dem Microsoft Entra-Bereitstellungsdienst können Sie anhand der Zuweisung zur Anwendung und/oder anhand von Attributen für Benutzer*innen bzw. die Gruppe festlegen, wer in die Bereitstellung einbezogen werden soll. Wenn Sie sich dafür entscheiden, anhand der Zuweisung festzulegen, wer für Ihre App bereitgestellt werden soll, können Sie der Anwendung mithilfe der folgenden Schritte Benutzer und Gruppen zuweisen. Wenn Sie allein anhand der Attribute des Benutzers oder der Gruppe auswählen möchten, wer bereitgestellt wird, können Sie einen hier beschriebenen Bereichsfilter verwenden.

  • Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Wenn der Bereitstellungsbereich auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies durch Zuweisen von einem oder zwei Benutzern oder Gruppen zur App kontrollieren. Ist der Bereich auf alle Benutzer und Gruppen festgelegt, können Sie einen attributbasierten Bereichsfilter angeben.

  • Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest so ändern, dass neue Rollen hinzugefügt werden.

Schritt 6: Konfigurieren der automatischen Benutzerbereitstellung in Cisco User Management for Secure Access

In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzern*innen und/oder Gruppen in Cisco User Management for Secure Access auf der Grundlage von Benutzer- und/oder Gruppenzuweisungen in Microsoft Entra ID erläutert.

So konfigurieren Sie die automatische Benutzerbereitstellung für Cisco User Management for Secure Access in Microsoft Entra ID:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen.

    Blatt „Unternehmensanwendungen“

  3. Wählen Sie in der Anwendungsliste Cisco User Management for Secure Access aus.

    Screenshot des Cisco User Management for Secure Access-Links in der Anwendungsliste

  4. Wählen Sie die Registerkarte Bereitstellung.

    Registerkarte „Bereitstellung“

  5. Legen Sie den Bereitstellungsmodus auf Automatisch fest.

    Registerkarte „Bereitstellung“, Bereitstellungsmodus „Automatisch“

  6. Geben Sie im Abschnitt Administratoranmeldeinformationen die Werte von „Mandanten-URL“ und „Geheimes Token“ für Ihre Cisco User Management for Secure Access-Instanz ein. Klicken Sie auf Verbindung testen, um sicherzustellen, dass Microsoft Entra ID eine Verbindung zu Cisco User Management for Secure Access herstellen kann. Vergewissern Sie sich im Falle eines Verbindungsfehlers, dass Ihr Cisco User Management for Secure Access-Konto über Administratorberechtigungen verfügt, und wiederholen Sie den Vorgang.

    Token

  7. Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das Kontrollkästchen Bei Fehler E-Mail-Benachrichtigung senden.

    Benachrichtigungs-E-Mail

  8. Wählen Sie Speichern.

  9. Wählen Sie im Abschnitt Zuordnungen die Option Microsoft Entra-Benutzer mit Cisco User Management for Secure Access synchronisieren aus.

  10. Überprüfen Sie im Abschnitt Attributzuordnung die Benutzerattribute, die von Microsoft Entra ID mit Cisco User Management for Secure Access synchronisiert werden. Die Attribute, für die die Eigenschaft Übereinstimmend ausgewählt ist, werden zum Abgleichen der Benutzerkonten in Cisco User Management for Secure Access für Aktualisierungsvorgänge verwendet. Wenn Sie das übereinstimmende Zielattribut ändern möchten, müssen Sie sicherstellen, dass die Cisco User Management for Secure Access-API das Filtern von Benutzer*innen basierend auf diesem Attribut unterstützt. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

    Attribut type Unterstützung für das Filtern
    userName String
    externalId String
    aktiv Boolean
    displayName String
    name.givenName String
    name.familyName String
    name.formatted String
    urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId String

Hinweis

Wenn Sie das objectGUID-Attribut für Benutzer über Microsoft Entra Connect importiert haben (siehe Schritt 2), fügen Sie eine Zuordnung von objectGUID zu urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId hinzu.

  1. Wählen Sie im Abschnitt Zuordnungen die Option Microsoft Entra-Gruppen mit Cisco User Management for Secure Access synchronisieren aus.

  2. Überprüfen Sie im Abschnitt Attributzuordnung die Gruppenattribute, die von Microsoft Entra ID mit Cisco User Management for Secure Access synchronisiert werden. Die Attribute, für die die Eigenschaft Übereinstimmend ausgewählt ist, werden zum Abgleichen der Gruppen in Cisco User Management for Secure Access für Aktualisierungsvorgänge verwendet. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

    Attribut type Unterstützung für das Filtern
    displayName String
    externalId String
    members Verweis
  3. Wenn Sie Bereichsfilter konfigurieren möchten, lesen Sie die Anweisungen unter Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern.

  4. Ändern Sie im Abschnitt Einstellungen den Bereitstellungsstatus in Ein, um den Microsoft Entra-Bereitstellungsdienst für Cisco User Management for Secure Access zu aktivieren.

    Aktivierter Bereitstellungsstatus

  5. Legen Sie die Benutzer*innen und/oder Gruppen fest, die in Cisco User Management for Secure Access bereitgestellt werden sollen. Wählen Sie dazu im Abschnitt Einstellungen unter Bereich die gewünschten Werte aus.

    Bereitstellungsbereich

  6. Wenn Sie fertig sind, klicken Sie auf Speichern.

    Speichern der Bereitstellungskonfiguration

Durch diesen Vorgang wird der erstmalige Synchronisierungszyklus für alle Benutzer und Gruppen gestartet, die im Abschnitt Einstellungen unter Bereich definiert wurden. Der erste Zyklus dauert länger als nachfolgende Zyklen, die ungefähr alle 40 Minuten erfolgen, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird.

Schritt 7: Überwachen der Bereitstellung

Nachdem Sie die Bereitstellung konfiguriert haben, können Sie mit den folgenden Ressourcen die Bereitstellung überwachen:

  • Mithilfe der Bereitstellungsprotokolle können Sie ermitteln, welche Benutzer erfolgreich bzw. nicht erfolgreich bereitgestellt wurden.
  • Anhand der Fortschrittsleiste können Sie den Status des Bereitstellungszyklus überprüfen und den Fortschritt der Bereitstellung verfolgen.
  • Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zu den verschiedenen Quarantänestatus finden Sie hier.

Connector-Einschränkungen

  • Cisco User Management for Secure Access unterstützt die Bereitstellung von maximal 200 Gruppen. Gruppen, die in diesem Bereich liegen, jedoch die maximale Anzahl überschreiten, können nicht in Cisco Umbrella bereitgestellt werden.

Zusätzliche Ressourcen

Nächste Schritte