Настройка средства Администратор AccessHub с помощью Azure Active Directory B2C

В этом руководстве описано, как интегрировать Azure Active Directory B2C (Azure AD B2C) с TheAccessHub Администратор Tool из N8 Identity N8ID. Решение предназначено для миграции учетной записи клиента и администрирования запросов на обслуживание клиентов (CSR).

Используйте это решение в следующих сценариях:

• У вас есть сайт, и вы хотите перейти на Azure AD B2C.
  • Однако миграция учетной записи клиента является сложной задачей, включая пароли.
• Вам потребуется средство CSR для администрирования Azure AD учетных записей B2C.
• Делегированное администрирование CSR является обязательным требованием.
• Вы хотите синхронизировать и объединять данные из репозиториев в Azure AD B2C.

Предварительные требования

Чтобы приступить к работе, вам потребуется:

• Подписка Azure

  • Если у вас ее нет, вы можете получить бесплатную учетную запись Azure.

• Клиент Azure AD B2C, связанный с вашей подпиской Azure.
• Среда средства Администратор AccessHub
  • См. раздел N8 Identity/contact for a new environment (Удостоверение или контакт N8 ) для новой среды.
• Необязательное действие:
  • Сведения о подключении и учетных данных для баз данных или протоколов LDAP, из которых требуется перенести данные клиентов
  • Настроенная среда Azure AD B2C для пользовательских политик для интеграции TheAccessHub Администратор Tool в поток политики регистрации.

Описание сценария

Средство Администратор TheAccessHub выполняется в подписке N8ID Azure или клиентской подписке. Принцип работы системы показан на схеме архитектуры ниже.

1. Пользователь переходит на страницу входа, создает учетную запись и вводит сведения. Azure Active Directory B2C собирает атрибуты пользователя.
2. Azure AD B2C вызывает средство Администратор TheAccessHub и передает атрибуты пользователя.
3. Средство Администратор AccessHub проверяет базу данных на наличие текущих сведений о пользователе.
4. Пользовательские записи синхронизируются из базы данных в TheAccessHub Администратор Tool.
5. Средство Администратор AccessHub предоставляет доступ к данным с делегированным администратором CSR или службы технической поддержки.
6. Средство Администратор AccessHub синхронизирует записи пользователей с Azure AD B2C.
7. На основе ответа TheAccessHub Администратор Tool Azure AD B2C отправляет пользователям настраиваемое приветственное сообщение электронной почты.

Создание глобального администратора в арендаторе Azure AD B2C

Разрешения Средства Администратор AccessHub действуют от имени глобального администратора для чтения сведений о пользователе и внесения изменений в клиент Azure AD B2C. Изменения, внесенные обычными администраторами, не повлияют на взаимодействие TheAccessHub Администратор Tool с клиентом.

Чтобы создать глобального администратора, выполните следующие действия.

1. В портал Azure войдите в клиент Azure AD B2C с правами администратора.
2. Перейдите в раздел Microsoft Entra идентификаторы>пользователей.
3. Выберите пункт New User (Новый пользователь).
4. Используйте команду Создать пользователя, чтобы создать обычного пользователя каталога, а не клиента.
5. В форме сведений об удостоверении:

• Введите имя пользователя, например theaccesshub.
• Введите имя учетной записи, например Учетная запись службы TheAccessHub.

7. Выберите Показать пароль.
8. Скопируйте и сохраните исходный пароль.
9. Чтобы назначить роль глобального администратора, в поле Пользователь выберите текущую роль пользователя.
10. Выберите запись Глобальный администратор.
11. Нажмите кнопку создания.

Подключение средства Администратор AccessHub к клиенту Azure AD B2C

Средство Администратор AccessHub использует API Graph Майкрософт для чтения и внесения изменений в каталог. Этот API действует как глобальный администратор клиента. Используйте следующие инструкции, чтобы добавить необходимые разрешения.

Чтобы авторизовать средство администрирования TheAccessHub для доступа к каталогу, выполните следующие действия.

1. Используйте учетные данные N8 Identity, предоставленные для входа в TheAccessHub Администратор Tool.
2. Перейдите к пункту Системный администратор>Azure AD B2C Config (Конфигурация Azure AD B2C).
3. Выберите команду Авторизовать подключение.
4. В новом окне выполните вход с помощью учетной записи глобального администратора. При первом входе с новой учетной записью службы может появиться запрос на сброс пароля.
5. Следуйте инструкциям и выберите Принять.

Настройка нового пользователя CSR с помощью корпоративного удостоверения

Создайте пользователя CSR или службы технической поддержки, который обращается к TheAccessHub Администратор Tool с учетными данными корпоративного Microsoft Entra.

Чтобы настроить для пользователя CSR или helpdesk единый вход, выполните следующие действия.

1. Используйте учетные данные N8 Identity, предоставленные для входа в TheAccessHub Администратор Tool.
2. Перейдите к пункту Manager Tools(Средства диспетчера)>Управление коллегами.
3. Выберите Добавить коллегу.
4. Выберите для поля Colleague Type (Тип коллеги) значение Azure Administrator (Администратор Azure).
5. Чтобы получить сведения о профиле, выберите домашнюю организацию, чтобы контролировать, у кого есть разрешения на управление этим пользователем.
6. В поле Идентификатор входа или Azure AD Имя пользователя введите имя участника-пользователя из учетной записи Microsoft Entra пользователя.
7. На вкладке Роли TheAccessHub выберите управляемую роль службы технической поддержки .
8. Нажмите кнопку Submit (Отправить).

Примечание

Роль службы поддержки предоставляет доступ к представлению Управление коллегами . Поместите пользователя в группу или сделайте его владелец организации.

Настройка нового пользователя CSR с новым удостоверением

Создайте пользователя CSR или службы технической поддержки для доступа к theAccessHub Администратор Tool с новыми локальными учетными данными. Этот пользователь предназначен для организаций, которые не используют идентификатор Microsoft Entra.

См. раздел AccessHub Администратор Tool: Add Коллега Administrator без единого входа.

1. Используйте учетные данные N8ID, предоставленные для входа в TheAccessHub Администратор Tool.
2. Перейдите к пункту Manager Tools(Средства диспетчера)>Управление коллегами.
3. Выберите Добавить коллегу.
4. Выберите для поля Colleague Type (Тип коллеги) значение Локальный администратор.
5. Чтобы получить сведения о профиле, выберите домашнюю организацию, чтобы контролировать, у кого есть разрешения на управление этим пользователем.
6. На вкладке Роли TheAccessHub выберите управляемую роль службы технической поддержки .
7. Скопируйте атрибуты Идентификатор входа/адрес электронной почты и Одноразовый пароль. Предоставьте их новому пользователю для входа в TheAccessHub Администратор Tool.
8. Нажмите кнопку Submit (Отправить).

Примечание

Роль службы поддержки предоставляет доступ к представлению Управление коллегами . Поместите пользователя в группу или сделайте его владелец организации.

Настройка секционированного администрирования CSR

В theAccessHub Администратор Tool разрешения на управление пользователями клиентов и CSR/helpdesk управляются через иерархию организации. У коллег и клиентов есть домашняя организация. В качестве владельцев организации можно назначить коллег или группы коллег.

Владельцы организации могут управлять и изменять коллег и клиентов в организациях или суборганизациях, которыми они владеют. Чтобы несколько коллег управляли набором пользователей, создайте группу с несколькими участниками. Затем назначьте группу в качестве владелец организации. Все участники группы могут управлять коллегами и клиентами в организации.

Создание группы

1. Используйте учетные данные N8ID, предоставленные для входа в TheAccessHub Администратор Tool.
2. Перейдите на страницу Организация > Управление группами.
3. Выберите Добавить группу.
4. Введите значения для параметров Имя группы, Описание группы и Владелец группы.
5. Найдите и выберите поля для коллег, которые будут членами группы.
6. Выберите Добавить.
7. Участники группы отображаются в нижней части страницы. Выберите X в строке, чтобы удалить элемент.
8. Нажмите кнопку Submit (Отправить).

Создание организации

1. Используйте учетные данные N8ID, предоставленные для входа в TheAccessHub Администратор Tool.
2. Перейдите в раздел Управление организациями>.
3. Выберите Добавить организацию.
4. Введите значения для параметра Название организации, Владелец организации и Родительская организация.
5. Нажмите кнопку Submit (Отправить).

Примечание

Согласуйте название организации с данными клиента. При загрузке данных о коллеге и клиенте и вводе имени организации в загрузке коллега отображается в организации. Владелец управляет клиентами и коллегами в организации и подорганизациях. Родительская организация несет ответственность за организацию.

Изменение иерархии с помощью древовидной структуры

Используйте эту функцию для визуализации управления коллегами и группами.

1. Используйте учетные данные N8ID, предоставленные для входа в TheAccessHub Администратор Tool.
2. Перейдите в к пункту Manager Tools(Средства диспетчера)>Представление в виде дерева.
3. Чтобы изменить иерархию, перетащите организации в родительские организации.
4. Щелкните Сохранить.

Настройка приветственного уведомления

Если вы используете theAccessHub Администратор Tool для переноса пользователей из одного решения в Azure AD B2C, вы можете настроить уведомление о приветственном приветствие пользователя. Уведомление отправляется пользователям во время миграции и может содержать ссылку для установки нового пароля в каталоге Azure AD B2C.

Для настройки уведомления выполните следующие действия.

1. Используйте учетные данные N8ID, предоставленные для входа в TheAccessHub Администратор Tool.
2. Перейдите к пункту Системный администратор>Уведомления.
3. Выберите шаблон Создать коллегу
4. Выберите Изменить.
5. Внесите необходимые изменения в сообщение и шаблон. Поле Шаблон поддерживает HTML и может отправлять уведомления в формате HTML.
6. Щелкните Сохранить.

Перенос данных из внешних источников данных в Azure AD B2C

С помощью инструмента TheAccessHub Администратор можно импортировать данные из различных баз данных, LDAP и .csv файлов, а затем отправить эти данные в клиент Azure AD B2C. Вы загружаете данные, чтобы перенести их в тип коллеги пользователя Azure AD B2C в TheAccessHub Администратор Tool.

Совет

Если источником данных является не Azure, данные походят в theAccessHub Администратор Tool и Azure AD B2C. Если внешний источник данных не является .csv файлом на компьютере, настройте источник данных перед загрузкой данных. Выполните следующие действия, чтобы создать источник данных и загрузить данные.

Настройка источника данных

1. Используйте учетные данные N8ID, предоставленные для входа в TheAccessHub Администратор Tool.
2. Перейдите к пункту Системный администратор>Источники данных.
3. Выберите команду Добавить источник данных.
4. Укажите значения для полей Имя и Тип для источника данных.
5. Введите данные формы для баз данных:

• Тип: База данных
• Тип базы данных: выберите поддерживаемую базу данных.
• URL-адрес подключения: введите строку подключения JDBC, например jdbc:postgresql://myhost.com:5432/databasename
• Имя пользователя: имя пользователя для доступа к базе данных.
• Пароль: пароль для доступа к базе данных
• Запрос: SQL-запрос для извлечения сведений о клиенте, например SELECT * FROM mytable;'
• Выберите Проверить подключение. Появится пример данных, подтверждающий, что подключение работает.

6. Введите данные формы для LDAP:

• Тип: LDAP
• Узел: имя узла или IP-адрес компьютера, на котором выполняется сервер LDAP, например mysite.com
• Порт, номер порта, в котором сервер LDAP прослушивает
• SSL, установите флажок для средства Администратор TheAccessHub для связи с LDAP с помощью SSL (рекомендуется)
• Имя входа: различающееся имя учетной записи пользователя (DN) для входа и выполнения поиска LDAP
• Пароль: пароль пользователя
• Базовое DN: DN в верхней части иерархии, в которой выполняется поиск.
• Фильтр: строка фильтра LDAP для получения записей клиентов.
• Атрибуты: разделенный запятыми список атрибутов из записей клиента для передачи в TheAccessHub Администратор Tool
• Нажмите Проверить подключение. Появится пример данных, подтверждающий, что подключение работает.

7. Введите данные для OneDrive. Тип: OneDrive для бизнеса.
8. Выберите команду Авторизовать подключение.
9. В новом окне появится запрос на вход в OneDrive. Войдите с доступом на чтение к учетной записи OneDrive. Средство Администратор AccessHub считывает .csv загрузки файлов.
10. Следуйте инструкциям и нажмите кнопку Принять.
11. Щелкните Сохранить.

Синхронизация данных из источника данных в Azure AD B2C

1. Используйте учетные данные N8ID, предоставленные для входа в TheAccessHub Администратор Tool.
2. Перейдите к пункту Системный администратор>Синхронизация данных.
3. Выберите пункт New Load (Новая загрузка).
4. Тип коллеги: Azure AD пользователя B2C.
5. выберите значение Источник. В диалоговом окне выберите источник данных. Если вы создали источник данных OneDrive, выберите файл.
6. Чтобы создать новые учетные записи клиентов, измените первую политику , если коллега не найден в TheAccessHub THEN: Do Nothing (Если коллега не найден в TheAccessHub THEN: Do Nothing).
7. Чтобы обновить учетные записи клиентов, измените вторую политику, ЕСЛИ источник и данные TheAccessHub несоответствие ТО: ничего не делать.
8. Выберите Далее.
9. В конфигурации Search-Mapping определите корреляцию нагрузки и записей с клиентами в TheAccessHub Администратор Tool.
10. Выберите источник идентифицирующие атрибуты. Сопоставление атрибутов TheAccessHub Администратор Tool с одинаковыми значениями. При совпадении запись переопределяется. В противном случае создается новый клиент.
11. Последовательность количества проверок. Например, сначала проверка адрес электронной почты, а затем имя и фамилию.
12. В расположенном слева меню выберите пункт Сопоставление данных.
13. В конфигурации сопоставления данных назначьте атрибуты TheAccessHub Администратор Tool для заполнения из исходных атрибутов. Несопоставленные атрибуты остаются неизменными для клиентов. Если сопоставить атрибут org_name с текущим значением организации, созданные клиенты будут входить в организацию.
14. Выберите Далее.
15. Чтобы эта нагрузка была повторяющейся, выберите Ежедневно/ Еженедельно или Ежемесячно. В противном случае оставьте значение по умолчанию Сейчас.
16. Нажмите кнопку Submit (Отправить).
17. Для расписания "Сейчас " в синхронизацию данных добавляется новая запись.
18. Если проверка составляет 100 процентов, выберите новую запись, чтобы увидеть результат. Для запланированных загрузок записи отображаются по истечении запланированного времени.
19. Если ошибок нет, выберите Выполнить. В противном случае, чтобы удалить нагрузку, в меню Дополнительно выберите Удалить.
20. При возникновении ошибок можно вручную обновить записи. В каждой записи выберите Обновить и внесите исправления.
21. Если синхронизация данных составляет 100 процентов, клиенты отображаются или получают изменения в Azure AD B2C.

Совет

При наличии нескольких ошибок можно продолжить работу с ошибками и устранить их позже. В средстве Администратор TheAccessHub используйте средства поддержки.

Синхронизация данных заказчиков Azure AD B2C

Средство Администратор AccessHub может синхронизировать сведения о клиентах из Azure AD B2C в TheAccessHub Администратор Tool в виде однократной или текущей операции. Эта операция гарантирует, что администраторы CSR или службы технической поддержки будут видеть актуальные сведения о клиентах.

Для синхронизации данных из Azure AD B2C в средство администрирования TheAccessHub сделайте следующее.

1. Используйте учетные данные N8ID, предоставленные для входа в TheAccessHub Администратор Tool.
2. Перейдите к пункту Системный администратор>Синхронизация данных.
3. Выберите пункт New Load (Новая загрузка).
4. Тип коллеги: Azure AD пользователя B2C.
5. В поле Параметры оставьте значения по умолчанию.
6. Выберите Далее.
7. Для поиска сопоставления & данных оставьте значения по умолчанию. Исключение. Если сопоставить атрибут org_name с текущим значением организации, в организации появятся созданные клиенты.
8. Выберите Далее.
9. Чтобы загрузка была повторяющейся, выберите ежедневное или еженедельное или ежемесячное расписание. В противном случае оставьте значение по умолчанию Сейчас . Рекомендуется повторять.
10. Нажмите кнопку Submit (Отправить).
11. Если вы выбрали кнопку Сейчас, в синхронизации данных появится новая запись. После проверки на 100 процентов выберите новую запись, чтобы увидеть результат нагрузки. Для запланированных загрузок записи отображаются по истечении запланированного времени.
12. Если ошибок нет, выберите Выполнить. В противном случае, чтобы удалить нагрузку, в меню Дополнительно выберите Удалить.
13. При возникновении ошибок вручную обновите каждую запись и выберите Обновить.
14. Если синхронизация данных составляет 100 процентов, инициируются изменения.

Совет

При наличии нескольких ошибок можно продолжить работу с ошибками и устранить их позже. В средстве Администратор AccessHub используйте средства поддержки.

Настройка политики Azure AD B2C

Если время от времени вы синхронизируете TheAccessHub Администратор Tool, оно может быть не обновлено с Azure AD B2C. Вы можете использовать API средства Администратор TheAccessHub и Azure AD политики B2C для информирования TheAccessHub Администратор Tool об изменениях. Для этого решения требуются технические знания настраиваемых политик Azure AD B2C.

Создание безопасных учетных данных для вызова API средства Администратор TheAccessHub

Для пользовательских политик регистрации следующие действия позволяют безопасному сертификату уведомлять TheAccessHub Администратор Tool о новых учетных записях.

1. Используйте учетные данные N8ID, предоставленные для входа в TheAccessHub Администратор Tool.
2. Перейдите к пункту Системный администратор>Admin Tools(Средства администрирования)>API Security (Безопасность API).
3. Выберите Создать.
4. Скопируйте значение Пароль сертификата.
5. Для сертификата клиента выберите Скачать.
6. Чтобы добавить сертификат клиента в Azure AD B2C, используйте инструкцию в разделе Проверка подлинности сертификата клиента HTTPS.

Получение примеров настраиваемой политики

1. Используйте учетные данные N8 Identity, предоставленные для входа в TheAccessHub Администратор Tool.
2. Перейдите к пункту Системный администратор>Admin Tools(Средства администрирования)>Azure B2C Policies (Политики Azure B2C).
3. Укажите домен арендатора Azure AD B2C и два идентификатора Identity Experience Framework из своей конфигурации Identity Experience Framework.
4. Щелкните Сохранить.
5. Нажмите кнопку Скачать для скачивания ZIP-файла с базовыми политиками, добавляющими заказчиков в средство администрирования TheAccessHub во время их регистрации.
6. Используйте инструкции из статьи Создание потоков пользователей для разработки пользовательских политик в Azure AD B2C.

Дальнейшие действия

• Пользовательские политики в Azure AD B2C
• Начало работы с настраиваемыми политиками в Azure AD B2C