Konfigurieren von Cisco User Management für den sicheren Zugriff für die automatische Benutzerbereitstellung mit Microsoft Entra ID

In diesem Artikel werden die Schritte beschrieben, die Sie sowohl in Cisco User Management for Secure Access als auch in Microsoft Entra ID zum Konfigurieren der automatischen Benutzerbereitstellung ausführen müssen. Bei der Konfiguration stellt Microsoft Entra mithilfe des Microsoft Entra-Bereitstellungsdiensts automatisch Benutzer*innen und Gruppen für Cisco User Management for Secure Access bereit und hebt die Bereitstellung wieder auf. Wichtige Informationen darüber, was dieser Dienst tut, wie er funktioniert und häufig gestellte Fragen finden Sie unter Automatisieren der Benutzerbereitstellung und -außerbereitstellung für SaaS-Anwendungen mit Microsoft Entra ID.

Unterstützte Funktionen

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• – Ein Microsoft Entra Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen. - Eine der folgenden Rollen: - Anwendungsadministrator - Cloud-Anwendungsadministrator - Anwendungsbesitzer..
• Ein Cisco Umbrella-Abonnement.
• Ein Benutzerkonto in Cisco Umbrella mit vollständigen Administratorberechtigungen.

Schritt 1: Planen der Bereitstellung

1. Erfahren Sie, wie der Bereitstellungsdienst funktioniert.
2. Definieren Sie den Geltungsbereich für die Bereitstellung.
3. Legen Sie die Daten für die Zuordnung zwischen Microsoft Entra ID und Cisco User Management for Secure Access fest.

Schritt 2: Importieren des ObjectGUID-Attributs über Microsoft Entra Connect (Optional)

Wenn Ihre Endpunkte AnyConnect oder die Cisco Secure Client Version 4.10 MR5 oder früher ausführen, müssen Sie das ObjectGUID-Attribut für die Benutzeridentitätszuordnung synchronisieren. Sie müssen alle Dachrichtlinien für Gruppen neu konfigurieren, nachdem Sie Gruppen aus Microsoft Entra ID importiert haben.

Bei Verwendung von Microsoft Entra Connect wird das ObjectGUID-Attribut von Benutzern standardmäßig nicht von lokalem AD mit Microsoft Entra ID synchronisiert. Um dieses Attribut zu synchronisieren, aktivieren Sie die optionale Directory Extension-Attributsynchronisierung, und wählen Sie die objectGUID-Attribute für Benutzer aus.

Schritt 3: Konfigurieren von Cisco User Management für sicheren Zugriff, um die Bereitstellung mit Microsoft Entra ID zu unterstützen.

1. Melden Sie sich bei Cisco Umbrella Dashboardan. Navigieren Sie zu Bereitstellungen>Kernidentitäten>Benutzer und Gruppen.

2. Erweitern Sie die Microsoft Entra Karte, und wählen Sie die Seite API Keys aus.

   

3. Erweitern Sie die Microsoft Entra-Karte auf der Seite "API-Schlüssel" und wählen Sie Token generieren aus.

   

4. Das generierte Token wird nur einmal angezeigt. Kopieren sie die URL und das Token, und speichern Sie sie. Diese Werte werden in die Felder "Mandanten-URL " bzw. " Geheimes Token " auf der Registerkarte "Bereitstellung" Ihrer Cisco User Management for Secure Access-Anwendung eingegeben.

Schritt 4: Hinzufügen von Cisco User Management for Secure Access aus dem Microsoft Entra Anwendungskatalog

Fügen Sie Cisco User Management for Secure Access aus dem Microsoft Entra Anwendungskatalog hinzu, um mit der Verwaltung der Bereitstellung für Cisco User Management for Secure Access zu beginnen. Erfahren Sie mehr über das Hinzufügen einer Anwendung aus dem Katalog hier.

Schritt 5: Definieren, wer im Bereitstellungsumfang enthalten ist

Mit dem Microsoft Entra Bereitstellungsdienst können Sie festlegen, wer basierend auf der Zuweisung zur Anwendung und oder basierend auf Attributen des Benutzers/der Gruppe bereitgestellt wird. Wenn Sie entscheiden, basierend auf der Zuweisung festzulegen, wer für Ihre App bereitgestellt wird, können Sie die folgenden Schritte verwenden, um Benutzer und Gruppen der Anwendung zuzuweisen. Wenn Sie allein anhand der Attribute des Benutzers oder der Gruppe auswählen möchten, wer bereitgestellt wird, können Sie einen hier beschriebenen Bereichsfilter verwenden.

• Beginnen Sie klein. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Wenn der Bereich für die Bereitstellung auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies steuern, indem Sie der App einen oder zwei Benutzer oder Gruppen zuweisen. Wenn der Bereich auf alle Benutzer und Gruppen festgelegt ist, können Sie einen attributbasierten Bereichsdefinitionsfilterangeben.

• Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest aktualisieren, um neue Rollen hinzuzufügen.

Schritt 6: Konfigurieren der automatischen Benutzerbereitstellung für cisco User Management für den sicheren Zugriff

Dieser Abschnitt führt Sie durch die Schritte zum Konfigurieren des Microsoft Entra Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzern und/oder Gruppen in Cisco User Management for Secure Access basierend auf Benutzer- und/oder Gruppenzuweisungen in Microsoft Entra ID.

So konfigurieren Sie die automatische Benutzerbereitstellung für Cisco User Management for Secure Access in Microsoft Entra ID:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise apps

   Enterprise-Anwendungen Blade

3. Wählen Sie in der Anwendungsliste Cisco User Management for Secure Accessaus.

   

4. Wählen Sie die Registerkarte Bereitstellung aus.

   

5. Wählen Sie + Neue Konfiguration aus.

   

6. Geben Sie in das Feld Tenant URL Ihre Cisco User Management for Secure Access Tenant URL und Ihr Secret Token ein. Wählen Sie Test-Verbindung aus, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit Cisco User Management für den sicheren Zugriff herstellen kann. Wenn die Verbindung fehlschlägt, stellen Sie sicher, dass Ihr Cisco User Management for Secure Access-Konto über die erforderlichen Administratorberechtigungen verfügt, und versuchen Sie es erneut.

   

7. Wählen Sie "Erstellen" aus, um Ihre Konfiguration zu erstellen.

8. Wählen Sie auf der Seite "Übersicht" die Option "Eigenschaften" aus.

9. Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das Kontrollkästchen Bei Fehler E-Mail-Benachrichtigung senden.

   

10. Wählen Sie im linken Bereich die Attributzuordnung aus, und wählen Sie Benutzer aus.

11. Überprüfen Sie die Benutzerattribute, die von Microsoft Entra ID mit Cisco User Management for Secure Access synchronisiert werden, im Abschnitt Attribute-Mapping. Die Attribute, für die die Eigenschaft Übereinstimmend ausgewählt ist, werden zum Abgleichen der Benutzerkonten in Cisco User Management for Secure Access für Aktualisierungsvorgänge verwendet. Wenn Sie das übereinstimmende Zielattribute ändern möchten, müssen Sie sicherstellen, dass die Cisco User Management for Secure Access-API das Filtern von Benutzern basierend auf diesem Attribut unterstützt. Wählen Sie die Schaltfläche Speichern aus, um änderungen zu übernehmen.

    Attribut	Typ	Unterstützung für die Filterung
    Nutzername	Schnur	✓
    externalId	Schnur
    active	Boolean
    Anzeigename	Schnur
    name.givenName	Schnur
    name.familyName	Schnur
    name.formatted	Schnur
    urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId	Schnur

    Anmerkung

    Wenn Sie das objectGUID-Attribut für Benutzer über Microsoft Entra Connect importiert haben (siehe Schritt 2), fügen Sie eine Zuordnung von objectGUID zu urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId hinzu.

12. Überprüfen Sie die Gruppenattribute, die von Microsoft Entra ID mit Cisco User Management for Secure Access synchronisiert werden, im Abschnitt Attribute-Mapping. Die Attribute, für die die Eigenschaft Übereinstimmend ausgewählt ist, werden zum Abgleichen der Gruppen in Cisco User Management for Secure Access für Aktualisierungsvorgänge verwendet. Wählen Sie die Schaltfläche Speichern aus, um änderungen zu übernehmen.

    Attribut	Typ	Unterstützung für die Filterung
    Anzeigename	Schnur	✓
    externalId	Schnur
    members	Referenz

13. Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den Anweisungen im Artikel "Bereichsfilter".

14. Verwenden Sie die On-Demand-Bereitstellung , um die Synchronisierung mit einer kleinen Anzahl von Benutzern zu überprüfen, bevor Sie die Bereitstellung in Ihrer Organisation umfassender durchführen.

15. Wenn Sie bereit für die Bereitstellung sind, wählen Sie auf der Seite "Übersicht" die Option "Bereitstellung starten" aus.

Schritt 7: Überwachen der Bereitstellung

Nachdem Sie die Bereitstellung konfiguriert haben, verwenden Sie die folgenden Ressourcen, um Ihre Bereitstellung zu überwachen:

• Verwenden Sie die Bereitstellungsprotokolle, um zu ermitteln, welche Benutzer erfolgreich oder erfolglos bereitgestellt wurden.
• Überprüfen Sie den Fortschrittsbalken, um den Status des Bereitstellungszyklus zu sehen und zu erfahren, wie nahe er an der Fertigstellung ist.
• Wenn sich die Bereitstellungskonfiguration in einem ungesunden Zustand befindet, geht die Anwendung in Quarantäne. Erfahren Sie mehr über Quarantänezustände hier.

Verbinderbeschränkungen

• Cisco User Management for Secure Access unterstützt die Bereitstellung von maximal 200 Gruppen. Gruppen, die in diesem Bereich liegen, jedoch die maximale Anzahl überschreiten, können nicht in Cisco Umbrella bereitgestellt werden.

Weitere Ressourcen

• Verwalten der Bereitstellung von Benutzerkonten für Enterprise Apps
• Was sind Anwendungszugriff und Single Sign-On mit Microsoft Entra ID?

Verwandte Inhalte

• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen können