Microsoft Entra SSO-integratie met HPE Aruba Networking EdgeConnect Orchestrator

In deze zelfstudie leert u hoe u HPE Aruba Networking EdgeConnect Orchestrator integreert met Microsoft Entra ID. Wanneer u HPE Aruba Networking EdgeConnect Orchestrator integreert met Microsoft Entra ID, kunt u het volgende doen:

• In Microsoft Entra ID beheren wie toegang heeft tot HPE Aruba Networking EdgeConnect Orchestrator.
• Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij HPE Aruba Networking EdgeConnect Orchestrator.
• Beheer uw accounts op één centrale locatie.

Vereisten

Als u Microsoft Entra ID wilt integreren met HPE Aruba Networking EdgeConnect Orchestrator, hebt u het volgende nodig:

• Een Microsoft Entra-abonnement. Als u geen abonnement hebt, kunt u een gratis account krijgen.
• HPE Aruba Networking EdgeConnect Orchestrator versie 9.4.1 of hoger.

Beschrijving van scenario

In deze zelfstudie configureert en test u eenmalige aanmelding van Microsoft Entra in een testomgeving.

• HPE Aruba Networking EdgeConnect Orchestrator ondersteunt door SP en IDP geïnitieerde eenmalige aanmelding.

HPE Aruba Networking EdgeConnect Orchestrator toevoegen vanuit de galerie

Voor het configureren van de integratie van HPE Aruba Networking EdgeConnect Orchestrator in Microsoft Entra ID moet u HPE Aruba Networking EdgeConnect Orchestrator vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.

3. Typ in de sectie Toevoegen uit de galerie HPE Aruba Networking EdgeConnect Orchestrator in het zoekvak.

4. Selecteer de tegel HPE Aruba Networking EdgeConnect Orchestrator in het resultatenvenster. Voer een naam in en klik op Maken om de app toe te voegen. Wacht enkele seconden tot de app aan de tenant is toegevoegd.

   

U kunt ook de wizard Enterprise App Configuration gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Eenmalige aanmelding van Microsoft Entra configureren en testen voor HPE Aruba Networking EdgeConnect Orchestrator

Configureer en test eenmalige aanmelding van Microsoft Entra met HPE Aruba Networking EdgeConnect Orchestrator met behulp van een testgebruiker met de naam B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in HPE Aruba Networking EdgeConnect Orchestrator.

Voer de volgende stappen uit om eenmalige aanmelding van Microsoft Entra met HPE Aruba Networking EdgeConnect Orchestrator te configureren en te testen:

1. Eenmalige aanmelding van Microsoft Entra configureren: met deze stap kunnen uw gebruikers deze functie gebruiken.
2. Een Microsoft Entra ID-testgebruiker maken: met deze stap kunt u eenmalige aanmelding van Microsoft Entra testen met B.Simon.
3. Wijs de testgebruiker toe aan de HPE Aruba Networking EdgeConnect Orchestrator-toepassing : met deze stap kunt u B.Simon toestemming geven om eenmalige aanmelding van Microsoft Entra te gebruiken in EdgeConnect Orchestrator
4. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Eenmalige aanmelding voor Microsoft Entra configureren

Volg deze stappen om eenmalige aanmelding van Microsoft Entra in te schakelen in het Microsoft Entra-beheercentrum.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>. Typ in de zoekbalk de naam van de HPE Aruba Networking EdgeConnect Orchestrator-app die u eerder hebt gemaakt. De pagina Overzicht wordt geopend.

3. Klik in het linkerdeelvenster onder Beheren op Eenmalige aanmelding.

4. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

5. Op de pagina Eenmalige aanmelding instellen met SAML klikt u op het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.

   

6. In de sectie Standaard SAML-configuratie voert u de volgende stappen uit:

   a. U moet de waarden invoeren van het tekstvak Id (Entiteits-id), het tekstvak Antwoord-URL (Assertion Consumer Service URL) en de afmeldings-URL (optioneel). Meld u eerst aan bij Orchestrator en navigeer naar het dialoogvenster Verificatie (Orchestrator > Users & Authentication > Authentication) om deze waarden te vinden.

   

   b. Klik in het dialoogvenster Verificatie op +Nieuwe server toevoegen.

   c. Selecteer SAML in het veld Type .

   d. Voer in het veld Naam een naam in voor uw SAML-configuratie.

   e. Klik op het kopieerpictogram naast het ACS-URL-veld .

   f. Ga naar de sectie Standaard SAML-configuratie in Microsoft Eenmalige aanmelding instellen met SAML-pagina :

   1. Klik onder Id (Entiteits-id) op Id-koppeling toevoegen. Plak de ACS-URL-waarde in het veld Id.

      Notitie

      1. Gebruik het onderstaande patroon als u eenmalige aanmelding van SAML configureert op een van de volgende drie Orchestrator-producten: "HPE Aruba Networking EdgeConnect Cloud Orchestrator", "HPE Aruba Networking EdgeConnect Service Provider Orchestrator" en "HPE Aruba Networking EdgeConnect Global Enterprise Orchestrator"- https://<SUBDOMAIN>.silverpeak.cloud/gms/rest/authentication/saml2/consume.
      2. Gebruik het onderstaande patroon als u eenmalige aanmelding van SAML configureert op een zelf geïmplementeerde HPE Aruba Networking EdgeConnect Orchestrator (of deze nu on-premises of in een openbare cloudomgeving zoals Microsoft Entra) wordt https://<PUBLIC-IP-ADDRESS-OF-ORCHESTRATOR>/gms/rest/authentication/saml2/consumegeïmplementeerd.

   2. Klik onder Antwoord-URL (ASSERTION Consumer Service-URL) op Koppeling Antwoord-URL toevoegen. Plak dezelfde ACS-URL-waarde in het veld Antwoord-URL.

      Notitie

      1. Gebruik het onderstaande patroon als u eenmalige aanmelding van SAML configureert op een van de volgende drie Orchestrator-producten: "HPE Aruba Networking EdgeConnect Cloud Orchestrator", "HPE Aruba Networking EdgeConnect Service Provider Orchestrator" en "HPE Aruba Networking EdgeConnect Global Enterprise Orchestrator"- https://<SUBDOMAIN>.silverpeak.cloud/gms/rest/authentication/saml2/consume.
      2. Gebruik het onderstaande patroon als u eenmalige aanmelding van SAML configureert op een zelf geïmplementeerde HPE Aruba Networking EdgeConnect Orchestrator (of deze nu on-premises of in een openbare cloudomgeving zoals Microsoft Entra) wordt https://<PUBLIC-IP-ADDRESS-OF-ORCHESTRATOR>/gms/rest/authentication/saml2/consumegeïmplementeerd.

   3. Plak onder Afmeldings-URL (optioneel) de edgeConnect SLO-eindpuntwaarde van de pagina Remote Authentication Server van Orchestrator, zoals wordt weergegeven op de onderstaande afbeelding:

   Notitie

   Als in zelf-hostende Orchestrators het privé-IP-adres wordt weergegeven in het veld ACS-URL en het edgeConnect SLO-eindpunt, werkt u het bij met het openbare IP-adres van de Orchestrator. Zoals in de onderstaande schermopname wordt weergegeven, moeten alle vijf de velden het openbare IP-adres van de Orchestrator (niet het privé-IP-adres) bevatten.

   

   g. Klik op Opslaan om de sectie Standaard SAML-configuratie te sluiten

7. Klik op de pagina Eenmalige aanmelding instellen met SAML in de sectie Kenmerken & Claims op het bewerkingspictogram en kopieer de gemarkeerde vermelding hieronder en plak de informatie in het veld Gebruikersnaamkenmerk in Orchestrator, zoals hieronder wordt weergegeven:

   

8. Zoek op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat het certificaat (Base64) en selecteer Downloaden om het certificaat te downloaden:

   

9. Open het certificaat met behulp van een teksteditor zoals Kladblok. Kopieer en plak de inhoud van het certificaat in het veld IdP X.509 Cert in Orchestrator, zoals hieronder wordt weergegeven:

   

10. Kopieer op de pagina Eenmalige aanmelding met SAML instellen in de sectie HPE Aruba Networking EdgeConnect Orchestrator instellen de Microsoft Entra-id en plak deze in het veld Issuer URL in Orchestrator:

    

11. Klik op het tabblad Eigenschappen en kopieer de URL voor gebruikerstoegang en plak deze in het veld SSO-eindpunt in Orchestrator, zoals hieronder wordt weergegeven:

    

12. Stel in het dialoogvenster Orchestrator Remote Authentication Server het veld Standaardrol in. Voorbeeld: SuperAdmin. (Dit is het laatste item in de vervolgkeuzelijst.) De standaardrol is nodig als u op rollen gebaseerd toegangsbeheer (RBAC) niet hebt gedefinieerd in de gebruikerskenmerken in de sectie Kenmerken & Claims.

13. Klik op Opslaan in het dialoogvenster Externe verificatieserver.

14. U hebt SAML SSO-verificatie geconfigureerd in Orchestrator. De volgende stap bestaat uit het maken van een testgebruiker en het toewijzen van de Orchestrator-toepassing aan die gebruiker om te controleren of SAML is geconfigureerd.

Een Microsoft Entra ID-testgebruiker maken

In deze sectie maakt u een testgebruiker in het Microsoft Entra-beheercentrum met de naam B.Simon.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
3. Selecteer Nieuwe gebruiker Nieuwe gebruiker> maken bovenaan het scherm.
4. Voer in de gebruikerseigenschappen de volgende stappen uit:
   1. Voer in het veld Weergavenaam de tekst in B.Simon.
   2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld: B.Simon@contoso.com.
   3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
   4. Selecteer Controleren + maken.
5. Selecteer Maken.

De testgebruiker toewijzen aan de HPE Aruba Networking EdgeConnect Orchestrator-toepassing

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding van Microsoft Entra te gebruiken door toegang te verlenen tot HPE Aruba Networking EdgeConnect Orchestrator.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
2. Blader naar Identity>Applications Enterprise-toepassingen>>HPE Aruba Networking EdgeConnect Orchestrator.
3. Selecteer gebruikers en groepen op de overzichtspagina van de app.
4. Selecteer Gebruiker/groep toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
   1. Selecteer in het dialoogvenster Gebruikers en groepen de optie B.Simon in de lijst Gebruikers. Klik vervolgens op de knop Selecteren onderaan het scherm.
   2. Als u verwacht dat er een rol aan de gebruikers moet worden toegewezen, kunt u de rol selecteren in de vervolgkeuzelijst Selecteer een rol. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
   3. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen.

Eenmalige aanmelding testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

Met SP geïnitieerd:

• Klik op Deze toepassing testen in het Microsoft Entra-beheercentrum. U wordt omgeleid naar de aanmeldings-URL van HPE Aruba Networking EdgeConnect Orchestrator, waar u de aanmeldingsstroom kunt initiëren.

• Ga rechtstreeks naar de aanmeldings-URL van HPE Aruba Networking EdgeConnect Orchestrator en initieer de aanmeldingsstroom daar.

Met IDP geïnitieerd:

• Klik op Deze toepassing testen in het Microsoft Entra-beheercentrum. U wordt automatisch aangemeld bij de instantie van HPE Aruba Networking EdgeConnect Orchestrator waarvoor u eenmalige aanmelding hebt ingesteld.

U kunt ook Mijn apps van Microsoft gebruiken om de toepassing in een willekeurige modus te testen. Wanneer u in de Mijn apps op de tegel HPE Aruba Networking EdgeConnect Orchestrator klikt en deze is geconfigureerd in de SP-modus, wordt u omgeleid naar de aanmeldingspagina van de toepassing voor het initiëren van de aanmeldingsstroom. Als deze is geconfigureerd in de IDP-modus, wordt u automatisch aangemeld bij de instantie van HPE Aruba Networking EdgeConnect Orchestrator waarvoor u eenmalige aanmelding hebt ingesteld. Zie Introduction to My Apps (Inleiding tot Mijn apps) voor meer informatie over Mijn apps.

Volgende stappen

Zodra u HPE Aruba Networking EdgeConnect Orchestrator hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.