Configurare Cisco User Management per l'accesso sicuro per il provisioning automatico degli utenti

Questo articolo descrive i passaggi da eseguire sia in Cisco User Management for Secure Access che in Microsoft Entra ID per configurare il provisioning automatico degli utenti. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi per Cisco User Management for Secure Access usando il servizio di provisioning Microsoft Entra. Per informazioni dettagliate sulle caratteristiche e sul funzionamento di questo servizio e per le domande frequenti, consultare la sezione Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.

Funzionalità supportate

• Creare utenti in Cisco User Management for Secure Access
• Rimuovere gli utenti in Cisco User Management per l'accesso sicuro quando non richiedono più l'accesso
• Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e Cisco User Management per l'accesso sicuro
• Effettuare il provisioning di gruppi e appartenenze a gruppi in Cisco User Management per l'accesso sicuro

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

- Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non è già disponibile, è possibile Creare un account gratuitamente. - Uno dei ruoli seguenti: - Amministratore applicazioni - Amministratore applicazioni cloud - proprietario dell'applicazione..

• Una sottoscrizione Cisco Umbrella.
• Un account utente in Cisco Umbrella con autorizzazioni di amministratore complete.

Passaggio 1: Pianificare la distribuzione dell'approvvigionamento

1. Scopri come funziona il servizio di provisioning.
2. Determinare chi sarà incluso nell'ambito di per la fornitura di.
3. Determinare quali dati mappare tra Microsoft Entra ID e Cisco User Management for Secure Access.

Passaggio 2: Importare l'attributo ObjectGUID tramite Microsoft Entra Connect (facoltativo)

Se gli endpoint eseguono AnyConnect o Cisco Secure Client versione 4.10 MR5 o precedenti, sarà necessario sincronizzare l'attributo ObjectGUID per l'attribuzione dell'identità utente. Sarà necessario riconfigurare i criteri Umbrella sui gruppi dopo l'importazione di gruppi dall'ID Microsoft Entra.

Nota

Il connettore Umbrella AD locale deve essere disattivato prima di importare l'attributo ObjectGUID.

Quando si usa Microsoft Entra Connect, l'attributo ObjectGUID degli utenti non viene sincronizzato da AD locale a Microsoft Entra ID per impostazione predefinita. Per sincronizzare questo attributo, abilitare il di sincronizzazione degli attributi dell'estensione della directory facoltativo e selezionare gli attributi objectGUID per gli utenti.

Nota

La ricerca in attributi disponibili fa distinzione tra maiuscole e minuscole.

Nota

Questo passaggio non è necessario se tutti gli endpoint eseguono Cisco Secure Client o AnyConnect versione 4.10 MR6 o successiva.

Passaggio 3: Configurare Cisco User Management per l'accesso sicuro per supportare il provisioning con Microsoft Entra ID

1. Accedi al dashboard di Cisco Umbrella. Navigare a Distribuzioni>Identità Primarie>Utenti e Gruppi.

2. Espandere la scheda Microsoft Entra e fare clic sulla pagina Chiavi API .

   

3. Espandi la scheda Microsoft Entra nella pagina Chiavi API e fare clic su Genera Token.

   

4. Il token generato verrà visualizzato una sola volta. Copiare e salvare l'URL e il token. Questi valori verranno immessi rispettivamente nei campi URL Tenant e Secret Token nella scheda Provisioning dell'applicazione Cisco User Management for Secure Access.

Passaggio 4: Aggiungere Cisco User Management for Secure Access dalla raccolta di applicazioni Microsoft Entra

Aggiungere Cisco User Management for Secure Access dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in Cisco User Management for Secure Access. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.

Passaggio 5: Definire chi sarà coinvolto nel provisioning

Il servizio di provisioning di Microsoft Entra consente di definire l'ambito di chi verrà sottoposto a provisioning in base all'assegnazione all'applicazione e/o in base agli attributi dell'utente o del gruppo. Se si sceglie di definire l'ambito delle persone per le quali verrà effettuato il provisioning nell'app in base all'assegnazione, è possibile usare i seguenti passaggi per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito degli utenti di cui verrà eseguito il provisioning esclusivamente in base agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito come descritto qui.

• Iniziare con pochi elementi. Eseguire il test con un piccolo insieme di utenti e gruppi prima di distribuirlo a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributo .

• Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.

Passaggio 6: Configurare il provisioning automatico degli utenti in Cisco User Management for Secure Access

Questa sezione illustra la procedura per configurare il servizio di provisioning di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in Cisco User Management for Secure Access in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.

Per configurare il provisioning automatico degli utenti per Cisco User Management for Secure Access in Microsoft Entra ID:

1. Accedi al Microsoft Entra admin center come almeno un amministratore di applicazioni cloud.

2. Passare a Identità>Applicazioni>Applicazioni aziendali

   

3. Nell'elenco delle applicazioni selezionare Cisco User Management for Secure Access.

   

4. Selezionare la scheda Provisioning.

   

5. Impostare Modalità di provisionamento su Automatico.

   

6. Nella sezione credenziali amministratore, immettere l'URL del tenant del Cisco User Management for Secure Access e il token segreto. Fare clic su Test di connessione per assicurarsi che Microsoft Entra ID possa connettersi a "Cisco User Management for Secure Access". Se la connessione non riesce, verificare che l'account Cisco User Management for Secure Access disponga delle autorizzazioni di amministratore e riprovare.

   

7. Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.

   

8. Seleziona Salva.

9. Nella sezione Mapping, selezionare Sincronizza utenti Microsoft Entra per la gestione utenti di Cisco per l'accesso sicuro.

10. Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a Cisco User Management for Secure Access nella sezione Attribute-Mapping. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Cisco User Management per l'accesso sicuro per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente , sarà necessario assicurarsi che l'API Cisco User Management for Secure Access supporti il filtro degli utenti in base a tale attributo. Selezionare il pulsante Salva per confermare le modifiche.

    Attributo	TIPO	Supportato per il filtraggio
    nome utente	Stringa	✓
    Id esterno	Stringa
    attivo	Booleano
    nome visualizzato	Stringa
    nome.nomeDato	Stringa
    nome.cognome	Stringa
    nome.formattato	Stringa
    urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId	Stringa

Nota

Se è stato importato l'attributo objectGUID per gli utenti tramite Microsoft Entra Connect (fare riferimento al passaggio 2), aggiungere un mapping da objectGUID a urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId.

1. Nella sezione Mapping, selezionare Synchronize Microsoft Entra groups to Cisco User Management for Secure Access.

2. Esaminare gli attributi del gruppo che sono sincronizzati da Microsoft Entra ID a Cisco User Management for Secure Access nella sezione Attributi-Mapping. Gli attributi selezionati come proprietà di corrispondenza vengono utilizzati per abbinare i gruppi in Cisco User Management per l'accesso sicuro durante le operazioni di aggiornamento. Selezionare il pulsante Salva per confermare le modifiche.

   Attributo	TIPO	Supportato per il filtraggio
   nome visualizzato	Stringa	✓
   Id esterno	Stringa
   Membri	Riferimento

3. Per configurare i filtri di ambito, vedere le istruzioni seguenti fornite nell'articolo Filtro di ambito.

4. Per abilitare il servizio di provisioning Microsoft Entra per Cisco User Management for Secure Access, modificare il stato del provisioning impostandolo su On nella sezione Impostazioni.

   

5. Definire gli utenti e/o i gruppi di cui si vuole eseguire il provisioning in Cisco User Management for Secure Access scegliendo i valori desiderati in Ambito nella sezione Impostazioni di.

   

6. Quando si è pronti per configurare, fare clic su Salva.

   

L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.

Passaggio 7: Monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

• Utilizzare i log di provisioning per determinare quali utenti sono stati provisionati con successo o meno.
• Controllare la barra di avanzamento per visualizzare lo stato del ciclo di provisioning e quanto sia vicino al completamento.
• Se la configurazione del provisioning sembra essere in cattive condizioni, l'applicazione verrà messa in quarantena. Per altre informazioni sugli stati di quarantena, fare clic qui.

Limitazioni dei connettori

• Cisco User Management for Secure Access supporta il provisioning di un massimo di 200 gruppi. Non è possibile effettuare il provisioning in Cisco Umbrella per qualsiasi gruppo oltre questo numero che rientri nell'ambito.

Risorse aggiuntive

• Gestione della configurazione degli account utente per le applicazioni aziendali
• Che cos'è l'accesso alle applicazioni e Single Sign-On con Microsoft Entra ID?

Contenuto correlato

• Informazioni su come esaminare i log e ottenere i report sull'attività di fornitura