Automatizzare il provisioning degli utenti in ThousandEyes con Microsoft Entra ID

L'obiettivo di questo articolo è illustrare i passaggi da eseguire in ThousandEyes e Microsoft Entra ID per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Microsoft Entra ID a ThousandEyes.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già presenti gli elementi seguenti:

- Un account utente Microsoft Entra con una sottoscrizione attiva. Se non è già disponibile, è possibile creare gratuitamente un account.
- Uno dei ruoli seguenti:
Un tenant ThousandEyes abilitato con il piano Standard o superiore
Un account utente in ThousandEyes con autorizzazioni di amministratore

Nota

L'integrazione del provisioning di Microsoft Entra si basa sull'API SCIM ThousandEyes SCIM, disponibile per i team di ThousandEyes con un piano Standard o superiore.

Passaggio 1: Assegnare utenti a ThousandEyes

Microsoft Entra ID usa un concetto denominato "assegnazioni" per determinare quali utenti devono ricevere l'accesso alle app selezionate. Nel contesto del provisioning automatico degli account utente, vengono sincronizzati solo gli utenti e i gruppi che sono stati assegnati a un'applicazione in Microsoft Entra ID.

Prima di configurare e abilitare il servizio di provisioning, è necessario decidere quali utenti e/o gruppi in Microsoft Entra ID rappresentano gli utenti che devono accedere all'app ThousandEyes. Dopo aver stabilito questo, è possibile assegnare tali utenti all'app ThousandEyes seguendo le istruzioni riportate di seguito:

Assegnare un utente o un gruppo a un'app aziendale

Suggerimenti importanti per l'assegnazione di utenti a ThousandEyes

È consigliabile di assegnare un singolo utente Microsoft Entra a ThousandEyes per testare la configurazione del provisioning. In un secondo momento si potranno assegnare altri utenti e/o gruppi.
Quando si assegna un utente a ThousandEyes, è necessario selezionare il ruolo Utente o un altro ruolo specifico dell'applicazione valido(se disponibile) nella finestra di dialogo di assegnazione. Il ruolo Accesso predefinito non funziona per il provisioning e questi utenti vengono ignorati.

Passaggio 2: Configurare il provisioning utenti su ThousandEyes

Questa sezione illustra come connettere il Microsoft Entra ID all'API di provisioning degli account utente di ThousandEyes e configurare il servizio di provisioning per creare, aggiornare e disabilitare gli account utente assegnati in ThousandEyes in base all'assegnazione di utenti e gruppi in Microsoft Entra ID.

Suggerimento

È anche possibile scegliere di abilitare l'accesso Single Sign-On basato su SAML per ThousandEyes, seguendo le istruzioni fornite nel portale di Azure. L'accesso Single Sign-On può essere configurato indipendentemente dal provisioning automatico, sebbene queste due funzionalità si completino a vicenda.

Configurare il provisioning automatico degli account utente su ThousandEyes in Microsoft Entra ID

Accedi al centro amministrativo di Microsoft Entra come almeno un amministratore delle applicazioni cloud.
Passare a Entra ID>App aziendali
Se avete già configurato ThousandEyes per l'autenticazione unica, cercate la vostra istanza di ThousandEyes usando il campo di ricerca. In caso contrario, selezionare Aggiungi e cercare ThousandEyes nella raccolta di applicazioni. Selezionare ThousandEyes nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.
Selezionare l'istanza di ThousandEyes e quindi selezionare la scheda Provisioning .
Selezionare + Nuova configurazione.
Nella sezione Credenziali amministratore immettere il token di connessione OAuth generato dall'account ThousandEyes (è possibile trovare e generare un token nella sezione Profilo account ThousandEyes).
Selezionare Test Connection per assicurarsi che Microsoft Entra ID possa connettersi all'app ThousandEyes. Se la connessione non riesce, verificare che l'account ThousandEyes abbia autorizzazioni di amministratore e ripetere il passaggio 5.
Selezionare Crea per creare la configurazione.
Selezionare Proprietà nella pagina Panoramica .
Selezionare l'icona Modifica per modificare le proprietà. Abilitare i messaggi di posta elettronica di notifica e fornire un messaggio di posta elettronica per ricevere notifiche di quarantena. Abilitare la prevenzione delle eliminazioni accidentali. Seleziona Applica per salvare le modifiche.
Selezionare Mapping attributi nel pannello sinistro e selezionare utenti.

Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a ThousandEyes nella sezione Attribute-Mapping. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in ThousandEyes per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente, è necessario assicurarsi che l'API ThousandEyes supporti il filtro degli utenti in base a tale attributo. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

Attributo	Tipo	Supportato per il filtraggio
Id esterno	Stringa	✓
nome utente	Stringa	✓
attivo	Booleano
nome visualizzato	Stringa
emails[type eq "lavoro"].value	Stringa
nome.formattato	Stringa

Per configurare i filtri di ambito, vedere le istruzioni fornite nell'articolo Filtro di ambito.
Usare il provisioning su richiesta per convalidare la sincronizzazione con un numero ridotto di utenti prima di distribuire in modo più ampio nell'organizzazione.
Quando si è pronti per procedere al provisioning, selezionare Avvia il provisioning nella pagina Panoramica.

Passaggio 6: monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

Usare i log di provisioning per determinare quali utenti sono stati sottoposti a provisioning correttamente o in modo non riuscito
Controllare la barra di avanzamento per visualizzare lo stato del ciclo di provisioning e vedere quanto è prossimo al completamento.
Se la configurazione del provisioning sembra essere in cattivo stato, l'applicazione entra in quarantena. Altre informazioni sugli stati di quarantena sono disponibili qui.