Esercitazione: Integrazione dell'accesso Single Sign-On (SSO) di Microsoft Entra con Workplace by Meta
In questa esercitazione si apprenderà come integrare Workplace by Meta con Microsoft Entra ID. Integrando Workplace by Meta con Microsoft Entra ID, è possibile:
- Controllare in Microsoft Entra ID chi può accedere a Workplace by Meta.
- Abilitare gli utenti per l'accesso automatico a Workplace by Meta con gli account Microsoft Entra personali.
- Gestire gli account in un'unica posizione centrale.
Prerequisiti
Per iniziare, sono necessari gli elementi seguenti:
- Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
- Sottoscrizione di Workplace by Meta abilitata per l'accesso Single Sign-On (SSO).
Nota
Meta ha due prodotti, Workplace Standard (gratuito) e Workplace Premium (a pagamento). Qualsiasi tenant di Workplace Premium può configurare l'integrazione SCIM e SSO senza alcun costo né alcuna necessità di una licenza. SSO e SCIM non sono disponibili nelle istanze di Workplace Standard.
Descrizione dello scenario
In questa esercitazione viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.
- Workplace by Meta supporta l'accesso SSO avviato da SP .
- Workplace by Meta supporta il provisioning JIT.
- Workplace by Meta supporta il provisioning utenti automatico.
- L'applicazione Workplace by Meta Mobile può ora essere configurata con Microsoft Entra ID per l'abilitazione dell'accesso SSO. In questa esercitazione viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.
Aggiunta di Workplace by Meta dalla raccolta
Per configurare l'integrazione di Workplace by Meta in Microsoft Entra ID, è necessario aggiungere Workplace by Meta dalla raccolta al proprio elenco di app SaaS gestite.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
- Passare a Applicazioni di identità>Applicazioni>aziendali>Nuova applicazione.
- Nella sezione Aggiungi dalla raccolta digitare Workplace by Meta nella casella di ricerca.
- Selezionare Workplace by Meta nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.
In alternativa, è anche possibile usare l'Enterprise Configurazione app Wizard. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.
Configurare e testare l'accesso SSO di Microsoft Entra for Workplace by Meta
Configurare e testare l'accesso SSO di Microsoft Entra con Workplace by Meta usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in Workplace by Meta.
Per configurare e testare l'accesso SSO di Microsoft Entra con Workplace by Meta, seguire questa procedura:
- Configurare l'accesso Single Sign-On di Microsoft Entra: per consentire agli utenti di usare questa funzionalità.
- Creare un utente di test di Microsoft Entra: per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
- Assegnare l'utente di test di Microsoft Entra : per abilitare B.Simon all'uso dell'accesso Single Sign-On di Microsoft Entra.
- Configurare l'accesso Single Sign-On di Workplace by Meta : per configurare le impostazioni di Single Sign-On sul lato applicazione.
- Creare l'utente di test di Workplace by Meta: per avere una controparte di B.Simon in Workplace by Meta collegata alla rappresentazione dell'utente in Microsoft Entra.
- Testare l'accesso Single Sign-On: per verificare se la configurazione funziona.
Configurare l'accesso Single Sign-On di Microsoft Entra
Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
Passare alla pagina di integrazione dell'applicazione Identity>Applications>Enterprise>Workplace by Meta, individuare la sezione Gestione e selezionare Single Sign-On.
Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita per modificare le impostazioni di Configurazione SAML di base.
Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti:
a. Nella casella di testo URL di accesso (disponibile in WorkPlace come Recipient URL) digitare un URL nel formato seguente:
https://.workplace.com/work/saml.php
b. Nella casella di testo Identificatore (ID entità) (disponibile in WorkPlace come Audience URL) digitare un URL nel formato seguente:
https://www.workplace.com/company/
c. Nella casella di testo URL di risposta (disponibile in WorkPlace come Assertion Consumer Service) digitare un URL nel formato seguente:
https://.workplace.com/work/saml.php
Nota
Poiché questi non sono i valori reali, è necessario aggiornarli con l'identificatore e l'URL di accesso effettivi. Per i valori corretti per la community Workplace, vedere la pagina di autenticazione del dashboard aziendale di Workplace, descritta più avanti nell'esercitazione.
Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare Certificato (Base64) e selezionare Scarica per scaricare il certificato e salvarlo nel computer.
Nella sezione Configura Workplace by Meta copiare gli URL appropriati in base alle esigenze.
Creare un utente di test di Microsoft Entra
In questa sezione verrà creato un utente di test di nome B.Simon.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un utente Amministrazione istrator.
- Passare a Utenti>identità>Tutti gli utenti.
- Selezionare Nuovo utente Crea nuovo utente> nella parte superiore della schermata.
- Nelle proprietà Utente seguire questa procedura:
- Nel campo Nome visualizzato immettere
B.Simon
. - Nel campo Nome entità utente immettere .username@companydomain.extension Ad esempio,
B.Simon@contoso.com
. - Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
- Selezionare Rivedi e crea.
- Nel campo Nome visualizzato immettere
- Seleziona Crea.
Assegnare l'utente di test di Microsoft Entra
In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On concedendole l'accesso a Workplace by Meta.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
- Passare a Applicazioni di identità>Applicazioni>aziendali>Workplace by Meta.
- Nella pagina di panoramica dell'app selezionare Utenti e gruppi.
- Selezionare Aggiungi utente/gruppo, quindi utenti e gruppi nella finestra di dialogo Aggiungi assegnazione .
- Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
- Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
- Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.
Configurare Workplace by Meta SSO
In un'altra finestra del Web browser accedere al sito aziendale workplace by Meta come amministratore
Nota
Nell'ambito del processo di autenticazione SAML, Workplace può utilizzare stringhe di query di dimensioni fino a 2,5 kilobyte per passare parametri a Microsoft Entra ID.
Passare alla scheda Autenticazione di sicurezza> del pannello>di Amministrazione.
a. Selezionare l'opzione Single-sign on (SSO) (Accesso SSO).
b. Selezionare SSO come predefinito per i nuovi utenti.
c. Fare clic su +Add new SSO Provider (+ Aggiungi nuovo provider SSO).
Nota
Assicurarsi di selezionare anche la casella di controllo Password login (Accesso tramite password). Gli amministratori potrebbero scegliere di usare questa opzione per l'accesso durante la distribuzione dei certificati, in modo da impedirne il blocco.
Nella finestra popup Single Sign-On (SSO) Setup (SSO) seguire questa procedura:
a. In Name of the SSO Provider (Nome del provider SSO) immettere il nome dell'istanza di SSO, ad esempio Azureadsso.
b. Nella casella di testo SAML URL (URL SAML) incollare il valore di URL di accesso.
c. Nella casella di testo SAML Issuer URL (URL autorità di certificazione SAML) incollare il valore di Microsoft Entra Identifier ( Identificatore Entra Microsoft).
d. Aprire il certificato (Base64) scaricato in Blocco note, copiarne il contenuto negli Appunti e incollarlo nella casella di testo Certificato SAML.
e. Copiare l'URL del gruppo di destinatari per l'istanza e incollarlo nella casella di testo Identificatore (ID entità) nella sezione Configurazione SAML di base.
f. Copiare l'URL del destinatario per l'istanza e incollarlo nella casella di testo URL di accesso nella sezione Configurazione SAML di base.
g. Copiare l'URL ACS (Assertion Consumer Service) per l'istanza e incollarlo nella casella di testo URL di risposta nella sezione Configurazione SAML di base.
h. Scorrere fino alla fine della sezione e fare clic sul pulsante Test SSO (Testa SSO). Viene visualizzata una finestra popup con la pagina di accesso di Microsoft Entra presentata. Immettere le credenziali come di consueto per l'autenticazione.
Risoluzione dei problemi: assicurarsi che l'indirizzo di posta elettronica restituito dall'ID Microsoft Entra corrisponda all'account Workplace con cui si è connessi.
i. Dopo il completamento del test, scorrere fino alla fine della pagina e fare clic sul pulsante Save (Salva).
j. Tutti gli utenti che usano Workplace verranno ora presentati con la pagina di accesso di Microsoft Entra per l'autenticazione.
Reindirizzamento disconnessione SAML (facoltativo) -
È possibile scegliere di configurare facoltativamente un URL di disconnessione SAML, che può essere usato per puntare alla pagina di disconnessione di Microsoft Entra ID. Quando questa impostazione è abilitata e configurata, l'utente non sarà più indirizzato alla pagina di disconnessione di Workplace. L'utente verrà invece reindirizzato all'URL aggiunto nell'impostazione SAML Logout Redirect (Reindirizzamento disconnessione SAML).
Configurazione della frequenza di riautenticazione
È possibile configurare Workplace per la richiesta di una verifica SAML ogni giorno, ogni 3 giorni, ogni settimana, ogni 2 settimane, ogni mese o mai.
Nota
Il valore minimo per la verifica SAML nelle applicazioni per dispositivi mobili è impostato su una settimana.
È anche possibile forzare una reimpostazione SAML per tutti gli utenti che usano il pulsante: Require SAML authentication for all users now (Richiedi ora l'autenticazione SAML a tutti gli utenti).
Creare l'utente di test di Workplace by Meta
In questa sezione viene creato un utente di nome B.Simon in Workplace by Meta. Workplace by Meta supporta il provisioning JIT, che è abilitato per impostazione predefinita.
Non è necessaria alcuna azione dell'utente in questa sezione. Se un utente non esiste in Workplace by Meta, ne viene creato uno nuovo quando si tenta di accedere a Workplace by Meta.
Nota
Se è necessario creare un utente manualmente, contattare il team di supporto clienti di Workplace by Meta.
Testare l'accesso SSO
In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.
Fare clic su Test this application (Testa questa applicazione), verrà eseguito il reindirizzamento all'URL di accesso di Workplace by Meta Sign-On in cui è possibile avviare il flusso di accesso.
Passare direttamente all'URL di accesso di Workplace by Meta e avviare il flusso di accesso da questa posizione.
È possibile usare App personali Microsoft. Quando si fa clic sul riquadro Workplace by Meta nella App personali, verrà eseguito il reindirizzamento all'URL di accesso Di Workplace by Meta. Per altre informazioni su App personali, vedere l'introduzione ad App personali.
Testare l'accesso SSO for Workplace by Meta (mobile)
Aprire l'applicazione Workplace by Meta Mobile. Nella pagina di accesso fare clic su LOG IN (ACCEDI).
Immettere l'indirizzo di posta elettronica aziendale e fare clic su CONTINUE (CONTINUA).
Fare clic su JUST ONCE (UNA SOLA VOLTA).
Fare clic su Consenti.
Al termine dell'accesso verrà infine visualizzata la home page dell'applicazione.
Passaggi successivi
Dopo aver configurato Workplace by Meta, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con app Microsoft Defender per il cloud.