Configurare IDEO per il provisioning automatico degli utenti
Questa esercitazione descrive i passaggi da eseguire in IDEO e Microsoft Entra ID per configurare Microsoft Entra ID per effettuare automaticamente il provisioning e il deprovisioning di utenti e/o gruppi in IDEO. Per dettagli importanti su cosa fa questo servizio, come funziona e domande frequenti, consultare per automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.
Funzionalità supportate
- Creare utenti in IDEO
- Rimuovere gli utenti nell'IDEO quando non richiedono più l'accesso
- Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e IDEO
- Configura gruppi e membri di gruppi in IDEO
- Accesso "Single Sign-On" ad IDEO (scelta consigliata)
Prerequisiti
Lo scenario descritto in questa esercitazione presuppone che siano già disponibili i prerequisiti seguenti:
- Un tenant di Microsoft Entra.
- Un account utente in Microsoft Entra ID con autorizzazione per configurare il provisioning, come Amministratore applicazioni, Amministratore applicazioni cloud, o Proprietario dell'applicazione).
- un inquilino di IDEO
- Un account utente su IDEO | Shape con autorizzazioni di amministratore.
Passaggio 1: Pianificare la distribuzione del provisioning
- Informazioni su funzionamento del servizio di provisioning.
- Determinare chi rientra nell'ambito di per il provisioning.
- Determinare quali dati mappare tra Microsoft Entra ID e IDEO.
Passaggio 2: Configurare IDEO per supportare il provisioning con Microsoft Entra ID
Prima di configurare IDEO per il provisioning automatico degli utenti con Microsoft Entra ID, dovrai recuperare alcune informazioni di provisioning da IDEO.
- Per il Secret Token contattare il team di supporto di IDEO all'indirizzo productsupport@ideo.com. Questo valore verrà immesso nel campo Token segreto nella scheda Provisioning dell'applicazione IDEO.
Passaggio 3: Aggiungere IDEO dalla raccolta di applicazioni Microsoft Entra
Aggiungere IDEO dalla raccolta di applicazioni da Microsoft Entra per iniziare a gestire il provisioning su IDEO. Se IDEO è stato configurato in precedenza per l'accesso SSO, è possibile usare la stessa applicazione. Tuttavia, è consigliabile creare un'app separata durante il test iniziale dell'integrazione. Scopri di più sull'aggiunta di un'applicazione dalla raccolta qui.
Passaggio 4: Definire chi includere nell'ambito del provisioning
Il servizio di provisioning di Microsoft Entra consente di definire l'ambito di chi sarà approvvigionato in base all'assegnazione all'applicazione e/o agli attributi dell'utente/gruppo. Se si sceglie di definire l'ambito delle persone per cui verrà effettuato il provisioning nell'app in base all'assegnazione, è possibile usare i seguenti passaggi per assegnare utenti e gruppi all'applicazione. Se si sceglie di delimitare chi sarà sottoposto a provisioning esclusivamente in base agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito come descritto qui.
Inizia piccola. Testare con un piccolo gruppo di utenti e gruppi prima di distribuirlo a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributo .
Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.
Passaggio 5: Configurare il provisioning automatico degli utenti per IDEO
Questa sezione illustra la procedura per configurare il servizio di provisioning di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in IDEO in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.
Per configurare il provisioning automatico degli utenti per IDEO in Microsoft Entra ID:
Accedi al centro di amministrazione di Microsoft Entra come almeno un Amministratore delle Applicazioni Cloud .
Passare a Identità>Applicazioni>applicazioni aziendali
Nell'elenco delle applicazioni selezionare IDEO.
Selezionare la scheda Provisioning.
Impostare la modalità di provisioning su automatico.
Nella sezione Credenziali amministratore, inserire i valori URL di base SCIM 2.0 e token di accesso recuperati in precedenza dal team di supporto di IDEO, rispettivamente nei campi URL del tenant e token di accesso. Fare clic su Test connessione per assicurarsi che Microsoft Entra ID possa connettersi all'IDEO. Se la connessione non riesce, verificare che l'account IDEO disponga delle autorizzazioni di amministratore e riprovare.
Nel campo Email di notifica immettere l'indirizzo email di una persona o un gruppo che deve ricevere le notifiche di errore di provisioning e spuntare la casella di controllo - Inviare una notifica email quando si verifica un errore.
Fare clic su Salva.
Nella sezione Mapping, seleziona Sincronizza gli utenti di Microsoft Entra con IDEO.
Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a IDEO nella sezione Mappatura degli attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in IDEO per le operazioni di aggiornamento. Selezionare il pulsante Salva per salvare le modifiche.
Attributo Digitare nome utente Stringa email[type eq "work"].value Corda/Stringa attivo Booleano name.givenName Stringa nome.cognome Stringa Nella sezione Mapping, seleziona Sincronizza i gruppi Microsoft Entra su IDEO.
Esamina gli attributi del gruppo sincronizzati da Microsoft Entra ID a ideo nella sezione mappatura attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in IDEO per le operazioni di aggiornamento. Selezionare il pulsante Save per eseguire il commit delle modifiche.
Attributo Digitare nome visualizzato Stringa Membri Riferimento Per configurare i filtri di ambito, vedere le istruzioni seguenti fornite nell'esercitazione sui filtri di ambito .
Per abilitare il servizio di provisioning di Microsoft Entra per IDEO, impostare Stato del provisioning su On nella sezione Impostazioni.
Definisci gli utenti e/o i gruppi che desideri configurare in IDEO, scegliendo i valori desiderati in Ambito nella sezione Impostazioni.
Quando sei pronto per provvisionare, fare clic su Salva.
Questa operazione avvia la sincronizzazione iniziale di tutti gli utenti e/o i gruppi definiti in ambito nella sezione Impostazioni di. La sincronizzazione iniziale richiede più tempo rispetto alle sincronizzazioni successive, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.
Passaggio 6: Monitorare la distribuzione
Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:
- Usare i log di provisioning per determinare quali utenti sono stati sottoposti a provisioning correttamente o in modo non riuscito
- Controllare la barra di progresso per visualizzare lo stato del ciclo di provisioning e quanto è vicino al completamento.
- Se la configurazione del provisioning sembra essere in uno stato non integro, l'applicazione passerà in quarantena. Altre informazioni sugli stati di quarantena qui.
Log delle modifiche
- 15/06/2020 - Aggiunto il supporto per utilizzare le operazioni PATCH per i Gruppi invece di PUT.
Risorse aggiuntive
- Gestione del provisioning degli account utente per le applicazioni aziendali
- Che cos'è l'accesso alle applicazioni e l'accesso Single Sign-On con Microsoft Entra ID?