Esercitazione: Configurare Harness per il provisioning utenti automatico
Questo articolo illustra come configurare Microsoft Entra ID per effettuare automaticamente il provisioning e il deprovisioning di utenti o gruppi in Harness.
Nota
L'articolo descrive un connettore basato sul servizio Provisioning utenti di Microsoft Entra. Per informazioni importanti su questo servizio e risposte alle domande frequenti, vedere Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.
Questo connettore è attualmente disponibile in anteprima. Per altre informazioni sulle anteprime, vedere Condizioni di licenza universali per i servizi online.
Prerequisiti
Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga dei prerequisiti seguenti:
- Un tenant di Microsoft Entra
- Un tenant di Harness
- Un account utente in Harness con autorizzazioni di amministratore
Assegnare utenti a Harness
Per determinare quali utenti avranno l'accesso alle app selezionate, Microsoft Entra ID usa il concetto delle cosiddette assegnazioni. Nel contesto del provisioning utenti automatico vengono sincronizzati solo gli utenti e/o i gruppi che sono stati assegnati a un'applicazione in Microsoft Entra ID.
Prima di configurare e abilitare il provisioning utenti automatico, è necessario stabilire quali utenti o gruppi in Microsoft Entra ID devono poter accedere a Harness. È quindi possibile assegnare questi utenti o gruppi a Harness seguendo le istruzioni riportate in Assegnare un utente o un gruppo a un'app aziendale.
Suggerimenti importanti per l'assegnazione di utenti a Harness
È consigliabile assegnare un singolo utente di Microsoft Entra a Harness per testare la configurazione del provisioning utenti automatico. È possibile assegnare utenti o gruppi aggiuntivi in un secondo momento.
Quando si assegna un utente a Harness, selezionare qualsiasi ruolo valido specifico dell'applicazione, se disponibile, nella finestra di dialogo Assegnazione. Gli utenti con il ruolo Accesso predefinito vengono esclusi dal provisioning.
Se attualmente si dispone di una configurazione dell’integrazione dell’app Harness FirstGen in Microsoft Entra ID e si sta tentando di configurarne una per Harness NextGen, assicurarsi che le informazioni utente siano incluse anche nell'integrazione dell'app FirstGen prima di tentare di accedere a Harness NextGen tramite SSO.
Configurare Harness per il provisioning
Accedere alla console di amministrazione di Harness e quindi passare a Continuous Security>Access Management (Sicurezza continua > Gestione dell’accesso).
Selezionare API Keys (Chiavi API).
Selezionare Add API Key (Aggiungi chiave API).
Nel riquadro Add Api Key (Aggiungi chiave API), eseguire le operazioni seguenti:
a. Nella casella Name (Nome) specificare un nome per la chiave.
b. Nell'elenco a discesa Permissions inherited from (Autorizzazioni ereditate da) selezionare un'opzione.Selezionare Invia.
Copiare la chiave per poterla usare più avanti in questa esercitazione.
Aggiungere Harness dalla raccolta
Prima di configurare Harness per il provisioning utenti automatico con Microsoft Entra ID, è necessario aggiungere Harness dalla raccolta di applicazioni di Microsoft Entra all'elenco di applicazioni SaaS gestite.
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Applicazioni>di identità>Applicazioni aziendali.
Per aggiungere una nuova applicazione, selezionare il pulsante Nuova applicazione nella parte superiore del riquadro.
Nella casella di ricerca immettere Harness, selezionare Harness nell’elenco dei risultati e selezionare quindi il pulsante Aggiungi per aggiungere l’applicazione.
Configurare il provisioning utenti automatico per Harness
Questa sezione descrive la procedura per configurare il servizio di provisioning di Microsoft Entra per creare, aggiornare e disabilitare utenti o gruppi in Harness in base alle assegnazioni di utenti o gruppi in Microsoft Entra ID.
Suggerimento
È anche possibile scegliere di abilitare l'accesso Single Sign-On basato su SAML per Harness seguendo le istruzioni riportate nell'esercitazione sull'accesso Single Sign-On di Harness. L’accesso Single Sign-On può essere configurato indipendentemente dal provisioning utenti automatico, anche se queste due funzionalità sono complementari.
Nota
Per altre informazioni sull'endpoint SCIM di Harness, vedere l’articolo sulle chiavi API di Harness.
Per configurare il provisioning utenti automatico per Harness in Microsoft Entra ID, seguire questa procedura:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Applicazioni>di identità>Applicazioni aziendali.
Nell'elenco delle applicazioni selezionare Harness.
Selezionare Provisioning.
Nell'elenco a discesa Modalità di provisioning selezionare Automatico.
In Credenziali amministratore eseguire questa procedura:
Nella casella URL tenant immettere
https://app.harness.io/gateway/api/scim/account/<your_harness_account_ID>. È possibile ottenere l'ID dell'account Harness dall'URL nel browser quando si è connessi a Harness.Nella casella Token segreto immettere il valore del token di autenticazione SCIM salvato nel passaggio 6 della sezione "Configura Harness per il provisioning".
Selezionare Testa connessione per verificare che Microsoft Entra ID possa connettersi a Harness. Se la connessione non riesce, verificare che l'account Harness abbia autorizzazioni di amministratore e riprovare.
Nella casella Indirizzo di posta elettronica per le notifiche immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche relative agli errori di provisioning, quindi selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.
Seleziona Salva.
In Mapping selezionare Sincronizza utenti di Microsoft Entra in Harness.
Esaminare gli attributi utente sincronizzati da Microsoft Entra ID in Harness In Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per l'abbinamento con gli account utente in Harness per le operazioni di aggiornamento. Selezionare Salva per eseguire il commit delle modifiche.
In Mapping selezionare Sincronizza i gruppi di Microsoft Entra in Harness.
Esaminare gli attributi dei gruppi sincronizzati da Microsoft Entra ID in Harness in Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in Harness per le operazioni di aggiornamento. Selezionare Salva per eseguire il commit delle modifiche.
Per configurare i filtri di ambito, vedere Provisioning dell'applicazione basato su attributi con filtri per la definizione dell'ambito.
Per abilitare il servizio di provisioning di Microsoft Entra per Harness, impostare l’opzione Stato del provisioning su Attivato in Impostazioni.
Nell'elenco a discesa Ambito in Impostazioni selezionare la modalità di sincronizzazione degli utenti o dei gruppi di cui si esegue il provisioning in Harness.
Quando si è pronti per eseguire il provisioning, selezionare Salva.
Questa operazione avvia la sincronizzazione iniziale degli utenti o dei gruppi di cui si esegue il provisioning. La sincronizzazione iniziale richiede più tempo rispetto alle sincronizzazioni successive. Le sincronizzazioni vengono eseguite circa ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione. Per monitorare lo stato di avanzamento, passare alla sezione Dettagli sincronizzazione. È anche possibile selezionare i collegamenti a un report delle attività di provisioning, che descrive tutte le azioni eseguite dal servizio di provisioning di Microsoft Entra per Harness.
Per altre informazioni sulla lettura dei log di provisioning di Microsoft Entra, vedere Report sul provisioning automatico degli account utente.
Risorse aggiuntive
- Gestione del provisioning degli account utente per le app aziendali
- Accesso alle applicazioni e accesso Single Sign-On con Microsoft Entra ID