Samouczek: konfigurowanie usługi Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników na potrzeby automatycznej aprowizacji użytkowników

W tym samouczku opisano kroki, które należy wykonać zarówno w usłudze Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników, jak i identyfikator entra firmy Microsoft w celu skonfigurowania automatycznej aprowizacji użytkowników. Po skonfigurowaniu identyfikator entra firmy Microsoft automatycznie aprowizuje i anuluje aprowizowanie użytkowników i grup w usłudze Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników przy użyciu usługi aprowizacji firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Obsługiwane możliwości

• Tworzenie użytkowników w usłudze Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników.
• Usuń użytkowników w usłudze Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników, gdy nie będą już wymagać dostępu.
• Zachowaj synchronizację atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i usługą Forcepoint Cloud Security Gateway — uwierzytelnianie użytkownika.
• Aprowizuj grupy i członkostwa w grupach w usłudze Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników.
• Logowanie jednokrotne do usługi Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników (zalecane).

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:

• Dzierżawa firmy Microsoft Entra.
• Jedną z następujących ról: Administracja istrator aplikacji, Administracja istrator aplikacji w chmurze lub właściciel aplikacji.
• Brama usługi Forcepoint Cloud Security Gateway — dzierżawa uwierzytelniania użytkowników.
• Konto użytkownika w usłudze Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników z uprawnieniami Administracja.

Krok 1. Planowanie wdrożenia aprowizacji

1. Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
2. Określ, kto znajdzie się w zakresie aprowizacji.
3. Określ, jakie dane mają być mapowanie między identyfikatorem Entra firmy Microsoft i usługą Forcepoint Cloud Security Gateway — uwierzytelnianie użytkownika.

Krok 2. Konfigurowanie usługi Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

Skontaktuj się z pomocą techniczną usługi Forcepoint Cloud Security Gateway — obsługa uwierzytelniania użytkowników, aby skonfigurować usługę Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft.

Krok 3. Dodawanie usługi Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników z galerii aplikacji Microsoft Entra

Dodaj usługę Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników z galerii aplikacji Firmy Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników. Jeśli wcześniej skonfigurowano usługę Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników na potrzeby logowania jednokrotnego, możesz użyć tej samej aplikacji. Zaleca się jednak utworzenie oddzielnej aplikacji podczas początkowego testowania integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.

Krok 4. Definiowanie, kto będzie w zakresie aprowizacji

Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika/grupy. Jeśli zdecydujesz się na określenie zakresu aprowizacji w aplikacji na podstawie przypisania, możesz skorzystać z następujących instrukcji w celu przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się na określenie zakresu aprowizacji wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtra zakresu zgodnie z opisem zamieszczonym tutaj.

• Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. W przypadku ustawienia zakresu aprowizacji na przypisanych użytkowników i grupy możesz w tym celu przypisać do aplikacji jednego czy dwóch użytkowników bądź jedną lub dwie grupy. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.

• Jeśli potrzebujesz więcej ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.

Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze TestApp na podstawie przypisań użytkowników i/lub grup w identyfikatorze Entra firmy Microsoft.

Aby skonfigurować automatyczną aprowizację użytkowników dla usługi Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników w identyfikatorze Entra firmy Microsoft:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>>

   

3. Na liście aplikacji wybierz pozycję Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników.

   

4. Wybierz kartę Aprowizacja.

   

5. Ustaw Tryb aprowizacji na Automatyczny.

   

6. W sekcji Administracja Credentials (Poświadczenia) wprowadź adres URL dzierżawy usługi Forcepoint Cloud Security Gateway — adres URL dzierżawy uwierzytelniania użytkownika i token tajny. Kliknij pozycję Test Połączenie ion, aby upewnić się, że identyfikator entra firmy Microsoft może nawiązać połączenie z usługą Forcepoint Cloud Security Gateway — uwierzytelnianie użytkownika. Jeśli połączenie nie powiedzie się, upewnij się, że konto uwierzytelniania użytkowników w usłudze Forcepoint Cloud Security Gateway ma uprawnienia Administracja i spróbuj ponownie.

   

7. W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

   

8. Wybierz pozycję Zapisz.

9. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft Entra z usługą Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników.

10. Przejrzyj atrybuty użytkownika, które są synchronizowane z identyfikatora entra firmy Microsoft, aby wymusić usługę Cloud Security Gateway — uwierzytelnianie użytkowników w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Pasujące właściwości są używane do dopasowania kont użytkowników w usłudze Forcepoint Cloud Security Gateway — uwierzytelnianie użytkownika dla operacji aktualizacji. Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że brama Forcepoint Cloud Security Gateway — interfejs API uwierzytelniania użytkownika obsługuje filtrowanie użytkowników na podstawie tego atrybutu. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ	Obsługiwane do filtrowania	Wymagane przez usługę Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników
    userName	String	✓	✓
    externalId	String		✓
    displayName	String		✓
    urn:ietf:params:scim:schemas:extension:forcepoint:2.0:User:ntlmId	String

11. W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft z usługą Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników.

12. Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora entra firmy Microsoft, aby wymusić usługę Cloud Security Gateway — uwierzytelnianie użytkowników w sekcji Mapowanie atrybutów. Atrybuty wybrane jako pasujące właściwości są używane do dopasowania grup w usłudze Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników dla operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ	Obsługiwane do filtrowania	Wymagane przez usługę Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników
    displayName	String	✓	✓
    externalId	String
    członkowie	Odwołanie

13. Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.

14. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi Forcepoint Cloud Security Gateway — uwierzytelnianie użytkowników, zmień stan aprowizacji na Wł. w sekcji Ustawienia.

    

15. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze Forcepoint Cloud Security Gateway — Uwierzytelnianie użytkowników, wybierając żądane wartości w sekcji Zakres w sekcji Ustawienia.

    

16. Gdy wszystko będzie gotowe do aprowizacji, kliknij przycisk Zapisz.

    

Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji możesz skorzystać z następujących zasobów, aby monitorować wdrożenie:

• Użyj dzienników aprowizacji, aby określić, których użytkowników udało się lub nie udało aprowizować
• Sprawdź pasek postępu, aby zobaczyć stan cyklu aprowizacji i sposób jego zamknięcia do ukończenia
• Jeśli konfiguracja aprowizacji wydaje się być w złej kondycji, aplikacja przechodzi do kwarantanny. Więcej informacji o stanach kwarantanny znajdziesz tutaj.

Więcej zasobów

• Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
• Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?

Następne kroki

• Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań aprowizacji