Condividi tramite

Esercitazione: Configurare ThousandEyes per il provisioning utenti automatico

  • Articolo

Questa esercitazione descrive le procedure da eseguire in ThousandEyes e Microsoft Entra ID per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Microsoft Entra ID a ThousandEyes.

Prerequisiti

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:

  • Un tenant di Microsoft Entra
  • Un tenant di ThousandEyes con il Piano standard o superiore abilitato
  • Un account utente in ThousandEyes con autorizzazioni di amministratore

Nota

L'integrazione del provisioning di Microsoft Entra è basata sull'API SCIM di ThousandEyes, disponibile per i team ThousandEyes con piano Standard o superiore.

Assegnazione di utenti a ThousandEyes

Per determinare quali utenti avranno l'accesso alle app selezionate, Microsoft Entra ID usa il concetto delle cosiddette “assegnazioni”. Nel contesto del provisioning automatico degli account utente vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Microsoft Entra ID.

Prima di configurare e abilitare il servizio di provisioning, è necessario stabilire quali utenti e/o gruppi in Microsoft Entra ID rappresentano gli utenti che devono accedere all'app ThousandEyes. Dopo aver stabilito questo, è possibile assegnare tali utenti all'app ThousandEyes seguendo le istruzioni riportate di seguito:

Assegnare un utente o gruppo a un'app aziendale

Suggerimenti importanti per l'assegnazione di utenti a ThousandEyes

  • È consigliabile assegnare un singolo utente di Microsoft Entra a ThousandEyes per testare la configurazione del provisioning. In un secondo momento si potranno assegnare altri utenti e/o gruppi.

  • Quando si assegna un utente a ThousandEyes, è necessario selezionare il ruolo Utente o un altro ruolo specifico dell'applicazione valido, se disponibile, nella finestra di dialogo di assegnazione. Poiché il ruolo Accesso predefinito non è applicabile per il provisioning, i relativi utenti vengono ignorati.

Configurazione del provisioning utenti in ThousandEyes

Questa sezione illustra la connessione di Microsoft Entra ID all'API per il provisioning degli account utente di ThousandEyes e la configurazione del servizio di provisioning per la creazione, l'aggiornamento e la disabilitazione degli account utente assegnati in ThousandEyes in base all'assegnazione di utenti e gruppi in Microsoft Entra ID.

Suggerimento

Si può anche scegliere di abilitare l'accesso Single Sign-On basato su SAML per ThousandEyes, seguendo le istruzioni disponibili nel portale di Azure. L'accesso Single Sign-On può essere configurato indipendentemente dal provisioning automatico, nonostante queste due funzionalità siano complementari.

Configurare il provisioning automatico degli account utente in ThousandEyes in Microsoft Entra ID

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Identità>Applicazioni>Applicazioni enterprise

    Pannello delle applicazioni aziendali

  3. Se si è già configurato ThousandEyes per l'accesso Single Sign-On, cercare l'istanza di ThousandEyes usando il campo di ricerca. In caso contrario, selezionare Aggiungi e cercare ThousandEyes nella raccolta dell’applicazione. Selezionare ThousandEyes nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.

    Collegamento di ThousandEyes nell'Elenco delle applicazioni

  4. Selezionare l'istanza di ThousandEyes e quindi la scheda Provisioning.

    Scheda Provisioning

  5. Impostare Modalità di provisioning su Automatico.

    Screenshot dell'elenco a discesa Modalità di provisioning con l'opzione Automatico evidenziata.

  6. Nella sezione Credenziali amministratore inserire il token di connessione OAuth generato dal proprio account ThousandEyes (è possibile trovare o generare il token nella sezione Profilo dell'account ThousandEyes.

    Screenshot che mostra dove trovare il collegamento Impostazioni account per il gruppo di account corrente.

  7. Selezionare Connessione di test per verificare che Microsoft Entra ID possa connettersi a ThousandEyes. Se la connessione non riesce, verificare che l'account ThousandEyes abbia autorizzazioni di amministratore e ripetere il passaggio 5.

  8. Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.

    Messaggio e-mail di notifica

  9. Cliccare su Salva.

  10. Nella sezione Mapping selezionare Sincronizza utenti di Microsoft Entra in ThousandEyes.

  11. Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a ThousandEyes nella sezione Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per l'abbinamento con gli account utente in Parsable per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente, sarà necessario assicurarsi che l'API Parsable supporti il filtro degli utenti basato su tale attributo. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo Type Supportato per il filtro
    externalId String
    userName String
    active Booleano
    displayName String
    emails[type eq "work"].value String
    name.formatted String

  12. Per configurare i filtri di ambito, fare riferimento alle istruzioni fornite nell'esercitazione sui filtri per la definizione dell'ambito.

  13. Per abilitare il servizio di provisioning di Microsoft Entra per ThousandEyes, impostare Stato del provisioning su Attivo nella sezione Impostazioni.

    Stato del provisioning attivato

  14. Definire gli utenti e/o i gruppi di cui effettuare il provisioning in ThousandEyes scegliendo i valori appropriati in Ambito nella sezione Impostazioni.

    Ambito di provisioning

  15. Quando si è pronti per effettuare il provisioning, fare clic su Salva.

    Salvataggio della configurazione del provisioning

L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.

Passaggio 6: monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

  1. Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning con esito positivo o negativo.
  2. Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento.
  3. Se la configurazione del provisioning sembra essere in uno stato non integro, l'applicazione entra in quarantena. Per altre informazioni sugli stati di quarantena, fare clic qui.

Risorse aggiuntive

Passaggi successivi