Konfigurieren von Cisco User Management für den sicheren Zugriff für die automatische Benutzerbereitstellung

In diesem Lernprogramm werden die Schritte beschrieben, die Sie in Cisco User Management for Secure Access und Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Wenn Microsoft Entra ID konfiguriert ist, werden Benutzer und Gruppen automatisch mithilfe des Microsoft Entra-Bereitstellungsdienstes zu in Cisco User Management for Secure Access bereitgestellt und entfernt. Wichtige Informationen darüber, was dieser Dienst tut, wie er funktioniert, und häufig gestellte Fragen finden Sie unter Automatisieren der Benutzerbereitstellung und -entfernung für SaaS-Anwendungen mit Microsoft Entra ID.

Unterstützte Funktionen

• Erstellen von Benutzern in Cisco User Management für den sicheren Zugriff
• Entfernen von Benutzern in Cisco User Management für den sicheren Zugriff, wenn sie keinen Zugriff mehr benötigen
• Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und Cisco User Management für secure Access
• Bereitstellen von Gruppen und Gruppenmitgliedschaften in Cisco User Management für Secure Access

Voraussetzungen

In diesem Lernprogramm wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Mandant
• Ein Benutzerkonto in der Microsoft Entra-ID mit Berechtigung zum Konfigurieren der Bereitstellung (z. B. Anwendungsadministrator, Cloudanwendungsadministratoroder Anwendungsbesitzer).
• Ein Cisco Umbrella-Abonnement.
• Ein Benutzerkonto in Cisco Umbrella mit vollständigen Administratorberechtigungen.

Schritt 1: Planen der Bereitstellung

1. Erfahren Sie mehr über , wie der Bereitstellungsdienstfunktioniert.
2. Bestimmen Sie, wer sich im Bereich für die Bereitstellungbefindet.
3. Ermitteln Sie, welche Daten zwischen Microsoft Entra ID und Cisco User Management für sicheren Zugriffzugeordnet werden sollen.

Schritt 2: Importieren des ObjectGUID-Attributs über Microsoft Entra Connect (Optional)

Wenn Ihre Endpunkte AnyConnect oder die Cisco Secure Client Version 4.10 MR5 oder früher ausführen, müssen Sie das ObjectGUID-Attribut für die Benutzeridentitätszuordnung synchronisieren. Sie müssen alle Dachrichtlinien für Gruppen neu konfigurieren, nachdem Sie Gruppen aus der Microsoft Entra-ID importiert haben.

Anmerkung

Der lokale Umbrella AD Connector sollte vor dem Importieren des ObjectGUID-Attributs deaktiviert werden.

Bei Verwendung von Microsoft Entra Connect wird das ObjectGUID-Attribut von Benutzern standardmäßig nicht von der lokalen AD mit der Microsoft Entra-ID synchronisiert. Um dieses Attribut zu synchronisieren, aktivieren Sie die optionale Directory Extension-Attributsynchronisierung, und wählen Sie die objectGUID-Attribute für Benutzer aus.

Anmerkung

Bei der Suche unter Verfügbare Attribute wird die Groß-/Kleinschreibung beachtet.

Anmerkung

Dieser Schritt ist nicht erforderlich, wenn alle Endpunkte Cisco Secure Client oder AnyConnect Version 4.10 MR6 oder höher ausführen.

Schritt 3: Konfigurieren Sie die Cisco-Benutzerverwaltung für sicheren Zugriff, um die Bereitstellung mit Microsoft Entra ID zu unterstützen.

1. Melden Sie sich bei Cisco Umbrella Dashboardan. Navigieren Sie zu Bereitstellungen>Kernidentitäten>Benutzer und Gruppen.

2. Erweitern Sie die Microsoft Entra-Karte und klicken Sie auf die Seite API Keys.

   

3. Erweitern Sie die Microsoft Entra-Karte auf der Seite "API-Schlüssel", und klicken Sie auf Token generieren.

   

4. Das generierte Token wird nur einmal angezeigt. Kopieren sie die URL und das Token, und speichern Sie sie. Diese Werte werden in die Felder Mandanten-URL und geheimer Token auf der Registerkarte "Bereitstellung" Ihrer Cisco User Management für Secure Access-Anwendung eingetragen.

Schritt 4: Hinzufügen von Cisco User Management for Secure Access aus dem Microsoft Entra-Anwendungskatalog

Fügen Sie Cisco User Management for Secure Access aus dem Microsoft Entra-Anwendungskatalog hinzu, um mit der Verwaltung der Bereitstellung für cisco User Management for Secure Access zu beginnen. Erfahren Sie mehr über das Hinzufügen einer Anwendung aus dem Katalog hier.

Schritt 5: Definieren, wer für die Bereitstellung in Betracht gezogen wird

Mit dem Microsoft Entra-Bereitstellungsdienst können Sie festlegen, wer basierend auf der Zuweisung zur Anwendung und oder basierend auf Attributen des Benutzers/der Gruppe bereitgestellt wird. Wenn Sie festlegen, wer basierend auf der Zuweisung für Ihre App bereitgestellt wird, können Sie die folgenden Schritte verwenden, um der Anwendung Benutzer und Gruppen zuzuweisen. Wenn Sie festlegen möchten, wer ausschließlich basierend auf den Attributen des Benutzers oder der Gruppe bereitgestellt wird, können Sie einen Scoping-Filter verwenden, wie hier beschrieben.

• Beginnen Sie klein. Testen Sie mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie für alle Benutzer einführen. Wenn der Bereich für die Bereitstellung auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies steuern, indem Sie der App einen oder zwei Benutzer oder Gruppen zuweisen. Wenn der Bereich auf alle Benutzer und Gruppen festgelegt ist, können Sie einen attributbasierten Bereichsdefinitionsfilterangeben.

• Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest aktualisieren, um neue Rollen hinzuzufügen.

Schritt 6: Konfigurieren der automatischen Benutzerbereitstellung für cisco User Management für den sicheren Zugriff

Dieser Abschnitt führt Sie durch die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzern und/oder Gruppen in Cisco User Management for Secure Access basierend auf Benutzer- und/oder Gruppenzuweisungen in Microsoft Entra ID.

So konfigurieren Sie die automatische Benutzerbereitstellung für Cisco User Management for Secure Access in Microsoft Entra ID:

1. Melden Sie sich beim Microsoft Entra Admin-Zentrum mindestens als ein Cloud-Anwendungsadministratoran.

2. Navigieren Sie zu Identity>Anwendungen>Unternehmensanwendungen

   Enterprise-Anwendungen Blade

3. Wählen Sie in der Anwendungsliste Cisco User Management for Secure Accessaus.

   

4. Wählen Sie die Registerkarte Bereitstellung aus.

   

5. Legen Sie den Bereitstellungsmodus auf Automatikfest.

   

6. Geben Sie im Abschnitt Administratoranmeldeinformationen Ihre Cisco User Management for Secure Access Tenant URL und Secret Token ein. Klicken Sie auf Verbindung testen, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit Cisco User Management für sicheren Zugriff herstellen kann. Wenn die Verbindung fehlschlägt, stellen Sie sicher, dass Ihr Cisco User Management for Secure Access-Konto über Administratorberechtigungen verfügt, und versuchen Sie es erneut.

   

7. Geben Sie im Feld Benachrichtigungs-E-Mail- die E-Mail-Adresse einer Person oder Gruppe ein, die die Bereitstellungsfehlerbenachrichtigungen erhalten soll, und aktivieren Sie die E-Mail-Benachrichtigung senden, wenn ein Fehler auftritt Kontrollkästchen.

   

8. Wählen Sie Speichernaus.

9. Unter dem Abschnitt Zuordnungen wählen Sie Microsoft Entra-Benutzer mit Cisco User Management for Secure Accesssynchronisieren.

10. Überprüfen Sie die Benutzerattribute, die von Microsoft Entra ID mit Cisco User Management for Secure Access synchronisiert werden, im Abschnitt Attributzuordnung. Die Attribute, die als Matching Eigenschaften ausgewählt wurden, werden verwendet, um die Benutzerkonten in Cisco User Management for Secure Access für Updatevorgänge abzugleichen. Wenn Sie das Zielattribut , das übereinstimmt,ändern möchten, müssen Sie sicherstellen, dass die API zur Verwaltung von Cisco-Benutzern für sicheren Zugriff das Filtern von Benutzern basierend auf diesem Attribut unterstützt. Wählen Sie die Schaltfläche Speichern aus, um änderungen zu übernehmen.

    Attribut	Typ	Unterstützung für die Filterung
    Nutzername	Schnur	✓
    externalId	Schnur
    aktiv	Boolesch
    Anzeigename	Schnur
    name.Vorname	Schnur
    name.Familienname	Schnur
    name.formatted	Schnur
    urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId	Schnur

Anmerkung

Wenn Sie das objectGUID-Attribut für Benutzer über Microsoft Entra Connect importiert haben (siehe Schritt 2), fügen Sie eine Zuordnung von objectGUID zu urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId hinzu.

1. Unter dem Abschnitt Zuordnungen wählen Sie Microsoft Entra-Gruppen mit Cisco User Management for Secure Accesssynchronisieren.

2. Überprüfen Sie die Gruppenattribute, die von Microsoft Entra ID mit Cisco User Management for Secure Access synchronisiert werden, im Abschnitt Attributzuordnung. Die Attribute, die als -Matching--Eigenschaften ausgewählt wurden, werden verwendet, um die Gruppen im Cisco User Management for Secure Access für Updatevorgänge abzugleichen. Wählen Sie die Schaltfläche Speichern aus, um änderungen zu übernehmen.

   Attribut	Typ	Unterstützt für filterung
   Anzeigename	Schnur	✓
   externalId	Schnur
   Mitglieder	Referenz

3. Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den folgenden Anweisungen des Scoping-Filter-Tutorials.

4. Um den Microsoft Entra-Bereitstellungsdienst für Cisco User Management for Secure Access zu aktivieren, ändern Sie den Bereitstellungsstatus in On im Abschnitt Einstellungen.

   

5. Definieren Sie die Benutzer und/oder Gruppen, die Sie für den sicheren Zugriff für Cisco-Benutzerverwaltung bereitstellen möchten, indem Sie die gewünschten Werte in Bereich im Abschnitt Einstellungen auswählen.

   

6. Wenn Sie bereit für die Bereitstellung sind, klicken Sie auf Speichern.

   

Dieser Vorgang startet den anfänglichen Synchronisierungszyklus aller Benutzer und Gruppen, die in Bereich im Abschnitt Einstellungen definiert sind. Der anfängliche Zyklus dauert länger als nachfolgende Zyklen, die ungefähr alle 40 Minuten auftreten, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird.

Schritt 7: Überwachen der Bereitstellung

Nachdem Sie die Bereitstellung konfiguriert haben, verwenden Sie die folgenden Ressourcen, um Ihre Bereitstellung zu überwachen:

• Verwenden Sie die Bereitstellungsprotokolle, um zu ermitteln, welche Benutzer erfolgreich oder erfolglos bereitgestellt wurden.
• Überprüfen Sie den Fortschrittsbalken, um den Status des Bereitstellungszyklus anzuzeigen und um zu sehen, wie nah der Vorgang am Abschluss ist.
• Wenn sich die Bereitstellungskonfiguration in einem ungesunden Zustand befindet, geht die Anwendung in Quarantäne. Erfahren Sie mehr über Quarantänezustände hier.

Verbinderbeschränkungen

• Cisco User Management for Secure Access unterstützt die Bereitstellung von maximal 200 Gruppen. Gruppen, die im Geltungsbereich liegen und über diese Zahl hinausgehen, können nicht für Cisco Umbrella bereitgestellt werden.

Weitere Ressourcen

• Verwalten der Bereitstellung von Benutzerkonten für Enterprise Apps
• Was ist Anwendungszugriff und einmaliges Anmelden mit Microsoft Entra ID?

Verwandte Inhalte

• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen können