Condividi tramite

Esercitazione: Integrazione dell'accesso Single Sign-On di Microsoft Entra con Cloud Academy

  • Articolo

Questa esercitazione descrive come integrare Cloud Academy con Microsoft Entra ID. Integrando Cloud Academy con Microsoft Entra ID, è possibile:

  • Usare Microsoft Entra ID per controllare chi può accedere a Cloud Academy.
  • Abilitare gli utenti per l'accesso automatico a Cloud Academy con gli account Microsoft Entra personali.
  • È possibile gestire gli account in un'unica posizione centrale: il portale di Azure.

Prerequisiti

Per iniziare, sono necessari gli elementi seguenti:

  • Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
  • Sottoscrizione di Cloud Academy abilitata per l'accesso Single Sign-On (SSO).

Descrizione dell'esercitazione

In questa esercitazione viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

  • Cloud Academy supporta l'accesso SSO avviato da SP .
  • Cloud Academy supporta il provisioning utenti JIT .
  • Cloud Academy supporta il provisioning utenti automatizzato.

Per configurare l'integrazione di Cloud Academy in Microsoft Entra ID, è necessario aggiungere Cloud Academy dalla raccolta all'elenco di app SaaS gestite:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.
  3. Nella sezione Aggiungi dalla raccolta immettere Cloud Academy nella casella di ricerca.
  4. Selezionare Cloud Academy nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.

In alternativa, è anche possibile usare Configurazione guidata app aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare i ruoli e procedere alla configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso Single Sign-On di Microsoft Entra per Cloud Academy

Si configurerà e testerà l'accesso SSO di Microsoft Entra con Cloud Academy usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente corrispondente in Cloud Academy.

Per configurare e testare l'accesso SSO di Microsoft Entra con Cloud Academy, completare questi passaggi generali:

  1. Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare la funzionalità.
    1. Creare un utente di test di Microsoft Entra per testare l'accesso Single Sign-On di Microsoft Entra.
    2. Concedere l'accesso all'utente di test per consentire all'utente di usare l'accesso Single Sign-On di Microsoft Entra.
  2. Configurare l'accesso Single Sign-On per Cloud Academy sul lato applicazione.
    1. Creare un utente di test di Cloud Academy come controparte della rappresentazione di Microsoft Entra dell'utente.
  3. Testare l'accesso SSO per verificare se la configurazione funziona.

Configurare l'accesso Single Sign-On di Microsoft Entra

Per abilitare l'accesso Single Sign-On di Microsoft Entra nel portale di Azure, seguire questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare alla pagina di integrazione dell'applicazione Identity>Applications>Enterprise>Cloud Academy, nella sezione Gestione selezionare Single Sign-On.

  3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  4. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sul pulsante a forma di matita relativo a Configurazione SAML di base per modificare le impostazioni:

    Screenshot che mostra l'icona della matita per la modifica della configurazione SAML di base.

  5. Nella sezione Configurazione SAML di base aggiornare la casella di testo Identificatore , digitare gli URL seguenti e procedere:

    Identifier
    urn:federation:cloudacademy

  6. Nella sezione Configurazione SAML di base aggiornare la casella di testo URL di risposta, digitare uno degli URL seguenti e procedere:

    URL di risposta
    https://cloudacademy.com/labs/social/complete/saml/
    https://app.qa.com/labs/social/complete/saml/

  7. Nella sezione Configurazione SAML di base aggiornare la casella di testo URL di accesso, digitare uno degli URL seguenti e salvarlo:

    URL di accesso
    https://cloudacademy.com/login/enterprise/
    https://app.qa.com/login/enterprise/

  8. Selezionare il pulsante a forma di matita per certificato di firma SAML per modificare le impostazioni:

    Screenshot che mostra come modificare il certificato.

  9. Scaricare il certificato PEM:

    Screenshot che mostra come scaricare il certificato P E M.

  10. Nella sezione Configura Cloud Academy copiare l'URL di accesso:

    Screenshot che mostra il pulsante copia per l'account di accesso U R L.

Creare un utente di test di Microsoft Entra

In questa sezione viene creato un utente di test chiamato B.Simon.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.
  2. Passare a Identità>Utenti>Tutti gli utenti.
  3. Selezionare Nuovo utente>Crea nuovo utente nella parte superiore della schermata.
  4. In Proprietà utente seguire questa procedura:
    1. Nel campo Nome visualizzato inserire B.Simon.
    2. Nel campo Nome entità utente, immettere username@companydomain.extension. Ad esempio: B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
    4. Selezionare Rivedi e crea.
  5. Seleziona Crea.

Concedere l'accesso all'utente di test

In questa sezione si abilita B.Simon all'uso dell'accesso Single Sign-On di Azure concedendole l'accesso a Cloud Academy.

  1. Passare a Identità>Applicazioni>Applicazioni aziendali.
  2. Nell'elenco delle applicazioni selezionare Cloud Academy.
  3. Nella sezione Gestione della pagina di panoramica dell'app selezionare Utenti e gruppi:
  4. Selezionare Aggiungi utente e quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione:
  5. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon nell'elenco Utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
  6. Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
  7. Nella finestra di dialogo Aggiungi assegnazione selezionare Assegna.

Configurare l'accesso Single Sign-On per Cloud Academy

  1. In un'altra finestra del browser accedere al sito aziendale di Cloud Academy come amministratore.

  2. Nella home page fare clic sull'icona del team di integrazione di Azure e quindi selezionare Impostazioni nel menu a sinistra.

  3. Nella scheda INTEGRATIONS selezionare la scheda SSO .

    Screenshot che mostra l'opzione Settings & Integrations.

  4. Selezionare Avvia configurazione per configurare l'accesso SSO.

  5. Nella pagina Impostazioni generali completare i passaggi seguenti:

    Screenshot che mostra le integrazioni nelle impostazioni generali.

    1. Nella casella SSO URL (Località) incollare il valore di URL di accesso copiato nel passaggio 9 di Configurare Microsoft Entra SSO.

    2. Aprire il certificato Base64 scaricato nel Blocco note. Incollare il contenuto nella casella Certificate (Certificato).

  6. Attenersi a questa procedura nella pagina seguente:

    Screenshot che mostra le integrazioni in impostazioni aggiuntive.

    1. Nella sezione Mapping attributi SAML compilare i campi obbligatori con i valori dell'attributo di origine:

      http://schemas.microsoft.com/identity/claims/objectidentifier http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    2. Nella sezione Impostazioni di sicurezza selezionare la casella di controllo Richieste di autenticazione firmate? per impostare questo valore su True.

    3. Nella sezione Impostazioni aggiuntive (facoltativo) compilare la casella LOGOUT URL (URL disconnessione) con il valore di URL di disconnessione copiato nel passaggio 9 di Configurare l'accesso Single Sign-On di Microsoft Entra.

  7. Selezionare Salva e test.

  8. Successivamente, una finestra di dialogo mostra le informazioni del provider di servizi. Scaricare il file XML:

    Screenshot che mostra il download del file di configurazione dei metadati.

  9. Dopo aver creato il file XML del provider di servizi, tornare all'applicazione creata. Nella sezione Single Sign-On caricare il file di metadati:

    Screenshot che mostra il caricamento dei metadati nell'applicazione Azure.

  10. Dopo aver aggiornato i metadati del provider di servizi, è possibile tornare al pannello SSO del sito aziendale di Cloud Academy e procedere con il test e l'attivazione. Nella finestra di dialogo provider di servizi selezionare Continua:

    Screenshot che mostra la finestra di dialogo del provider di servizi.

  11. Selezionare Test connessione SSO per avviare il flusso di test:

    Screenshot che mostra il pulsante Test S O connection (Test S O connection).

    Nota

    Se si è connessi a Cloud Academy usando l'account utente di test creato, procedere con il flusso di test. In caso contrario, chiudere la finestra di dialogo, scorrere verso l'alto fino a Impostazioni generali, copiare e incollare l'URL del sottodominio in una scheda privata o in incognito del browser e quindi accedere come utente di test. Se l'accesso ha esito positivo, è possibile chiudere la scheda del browser e selezionare Salva e test. Una scheda del browser riaprirà la finestra di dialogo del provider di servizi. Selezionare Continua e quindi selezionare di nuovo Test connessione SSO. Infine, selezionare Test riuscito perché l'accesso è già stato testato usando una scheda privata o in incognito.

    Continuare con il passaggio successivo.

  12. Se l'accesso ha esito positivo, è possibile attivare l'integrazione SSO per l'intera organizzazione:

    Screenshot che mostra che l'attivazione S O ha esito positivo.

Nota

Per altre informazioni su come configurare Cloud Academy, vedere Configurazione dell'accesso Single Sign-On.

Creare un utente di test di Cloud Academy

In questa sezione viene creato un utente di nome B.Simon in Cloud Academy. Cloud Academy supporta il provisioning utenti JIT, che è abilitato per impostazione predefinita. Non è necessario alcun intervento dell'utente in questa sezione. Se non esiste già un utente in Cloud Academy, ne viene creato uno nuovo dopo l'autenticazione.

Cloud Academy supporta anche il provisioning utenti automatico. Per altre informazioni, vedere l'esercitazione sul provisioning SSO di Cloud Academy.

Testare l'accesso SSO

In questa sezione viene testata la configurazione di Microsoft Entra SSO usando una delle opzioni seguenti:

  • Nel portale di Azure selezionare Test this application (Testa questa applicazione). Si viene reindirizzati all'URL di accesso di Cloud Academy ed è possibile avviare il flusso di accesso.

  • Passare direttamente all'URL di accesso di Cloud Academy e avviare il flusso di accesso da questa posizione.

  • È possibile usare App personali Microsoft. Quando si fa clic sul riquadro di Cloud Academy nel portale di App personali, verrà eseguito il reindirizzamento all'URL di accesso di Cloud Academy. Per altre informazioni sul portale App personali, vedere l'introduzione al portale App personali.

Passaggi successivi

Dopo aver configurato Cloud Academy, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Cloud App Security.