Configurare lo strumento di amministrazione di TheAccessHub usando Azure Active Directory B2C

Questa esercitazione fornisce indicazioni su come integrare Azure Active Directory B2C (Azure AD B2C) con Lo strumento di amministrazione di TheAccessHub da N8 Identity. Questa soluzione risolve la migrazione dell'account cliente e l'amministrazione della richiesta del servizio clienti.

Questa soluzione è adatta per te se hai una o più delle esigenze seguenti:

  • Si dispone di un sito esistente e si vuole eseguire la migrazione ad Azure AD B2C. Tuttavia, si sta lottando con la migrazione degli account dei clienti, incluse le password.

  • Per amministrare gli account Azure AD B2C, è necessario uno strumento per la richiesta di firma del certificato.

  • È necessario usare l'amministrazione delegata per i CSP.

  • Si vuole sincronizzare e unire i dati da molti repository in Azure AD B2C.

Prerequisiti

Per iniziare, è necessario:

  • Una sottoscrizione di Azure AD. Se non si ha una sottoscrizione, è possibile ottenere un account gratuito.

  • Un tenant di Azure AD B2C. Il tenant deve essere collegato alla sottoscrizione di Azure.

  • Ambiente dello strumento di amministrazione di TheAccessHub. Contattare N8 Identity per effettuare il provisioning di un nuovo ambiente.

  • (Facoltativo:) Informazioni sulla connessione e sulle credenziali per qualsiasi database o lightweight directory access Protocols (LDAP) da cui si vuole eseguire la migrazione dei dati dei clienti.

  • (Facoltativo:) Un ambiente Azure AD B2C configurato per l'uso di criteri personalizzati, se si vuole integrare TheAccessHub Admin Tool nel flusso dei criteri di iscrizione.

Descrizione dello scenario

Lo strumento di amministrazione di TheAccessHub viene eseguito come qualsiasi altra applicazione in Azure. Può essere eseguito nella sottoscrizione di Azure di N8 Identity o nella sottoscrizione del cliente. Il diagramma dell'architettura seguente illustra l'implementazione.

Diagram of the n8identity architecture.

Passaggio Descrizione
1. Ogni utente arriva a una pagina di accesso. L'utente crea un nuovo account e immette le informazioni nella pagina. Azure AD B2C raccoglie gli attributi utente.
2. Azure AD B2C chiama lo strumento di amministrazione di TheAccessHub e passa gli attributi utente.
3. Lo strumento di amministrazione diAccessHub controlla il database esistente per verificare la presenza di informazioni sull'utente corrente.
4. I record utente vengono sincronizzati dal database allo strumento di amministrazione di TheAccessHub.
5. Lo strumento di amministrazione diAccessHub condivide i dati con l'amministratore delegato CSR/helpdesk.
6. Lo strumento di amministrazione diAccessHub sincronizza i record utente con Azure AD B2C.
7. In base alla risposta di esito positivo/negativo dello strumento di amministrazione di TheAccessHub, Azure AD B2C invia un messaggio di posta elettronica di benvenuto personalizzato agli utenti.

Creare un amministratore globale nel tenant di Azure AD B2C

Lo strumento di amministrazione di TheAccessHub richiede le autorizzazioni per agire per conto di un amministratore globale per leggere le informazioni utente e condurre modifiche nel tenant di Azure AD B2C. Le modifiche apportate ai normali amministratori non influiscono sulla capacità dello strumento di amministrazione di TheAccessHub di interagire con il tenant.

Per creare un amministratore globale:

  1. Nel portale di Azure accedere al tenant di Azure AD B2C come amministratore. Passare adUtenti di Azure Active Directory>.

  2. Selezionare Nuovo utente.

  3. Scegliere Crea utente per creare un utente di directory normale e non un cliente.

  4. Completare il modulo di informazioni sull'identità:

    a. Immettere il nome utente, ad esempio theaccesshub.

    b. Immettere il nome dell'account, ad esempio l'account del servizio TheAccessHub.

  5. Selezionare Mostra password e copiare la password iniziale per usarla in un secondo momento.

  6. Assegnare il ruolo di amministratore globale:

    a. Per Utente selezionare il ruolo corrente dell'utente per modificarlo.

    b. Selezionare il record amministratore globale .

    c. Selezionare Create (Crea).

Connettere lo strumento di amministrazione di TheAccessHub al tenant di Azure AD B2C

Lo strumento di amministrazione diAccessHub usa l'API Microsoft Graph per leggere e apportare modifiche alla directory. Funge da amministratore globale nel tenant. Lo strumento di amministrazione diAccessHub richiede un'autorizzazione aggiuntiva, che è possibile concedere all'interno dello strumento.

Per autorizzare lo strumento di amministrazione di TheAccessHub ad accedere alla directory:

  1. Accedere allo strumento di amministrazione di TheAccessHub usando le credenziali fornite da N8 Identity.

  2. Passare a Configurazione diAzure AD B2C amministratore > di sistema.

  3. Selezionare Autorizza connessione.

  4. Nella nuova finestra accedere con l'account amministratore globale. Potrebbe essere richiesto di reimpostare la password se si accede per la prima volta con il nuovo account del servizio.

  5. Seguire le istruzioni e selezionare Accetta per concedere allo strumento di amministrazione di TheAccessHub le autorizzazioni richieste.

Configurare un nuovo utente csr usando l'identità aziendale

Creare un utente CSR/Helpdesk che accede allo strumento di amministrazione di TheAccessHub usando le credenziali di Azure Active Directory aziendali esistenti.

Per configurare un utente CSR/Helpdesk con Single Sign-On (SSO), è consigliabile seguire questa procedura:

  1. Accedere allo strumento di amministrazione di TheAccessHub usando le credenziali fornite da N8 Identity.

  2. Passare a Strumenti> di gestioneGestisci colleghi.

  3. Selezionare Aggiungi collega.

  4. Per Tipo di collega selezionare Amministratore di Azure.

  5. Immettere le informazioni sul profilo del collega:

    a. Scegliere un'organizzazione principale per controllare chi ha l'autorizzazione per gestire l'utente.

    b. Per ID di accesso/Nome utente di Azure AD specificare il nome dell'entità utente dall'account Azure Active Directory dell'utente.

    c. Nella scheda Ruoli di AccessoHub selezionare il ruolo gestito Helpdesk. Consentirà all'utente di accedere alla visualizzazione Gestisci colleghi . L'utente dovrà comunque essere inserito in un gruppo o essere reso proprietario dell'organizzazione per agire sui clienti.

  6. Selezionare Submit (Invia).

Configurare un nuovo utente csr usando una nuova identità

Creare un utente CSR/Helpdesk che accederà allo strumento di amministrazione di TheAccessHub usando una nuova credenziale locale univoca per lo strumento. Questo utente verrà usato principalmente dalle organizzazioni che non usano Azure Active Directory.

Per configurare un utente CSR/Helpdesk senza SSO:

  1. Accedere allo strumento di amministrazione di TheAccessHub usando le credenziali fornite da N8 Identity.

  2. Passare a Strumenti> di gestioneGestisci colleghi.

  3. Selezionare Aggiungi collega.

  4. Per Tipo di collega selezionare Amministratore locale.

  5. Immettere le informazioni sul profilo del collega:

    a. Scegliere un'organizzazione principale per controllare chi ha l'autorizzazione per gestire l'utente.

    b. Nella scheda Ruoli di AccessoHub selezionare il ruolo gestito Helpdesk. Consentirà all'utente di accedere alla visualizzazione Gestisci colleghi . L'utente dovrà comunque essere inserito in un gruppo o essere reso proprietario dell'organizzazione per agire sui clienti.

  6. Copiare gli attributi LOGIN ID/Email e One Time Password . Specificarli al nuovo utente. L'utente userà queste credenziali per accedere allo strumento di amministrazione di TheAccessHub. All'utente verrà richiesto di immettere una nuova password al primo accesso.

  7. Selezionare Submit (Invia).

Configurare l'amministrazione csr partizionata

Le autorizzazioni per gestire gli utenti di clienti e CSR/Helpdesk in TheAccessHub Admin Tool vengono gestite tramite una gerarchia dell'organizzazione. Tutti i colleghi e i clienti hanno un'organizzazione domestica in cui risiedono. È possibile assegnare colleghi o gruppi di colleghi specifici come proprietari di organizzazioni.

I proprietari dell'organizzazione possono gestire (apportare modifiche a) colleghi e clienti in organizzazioni o sottoorganizzazioni di cui sono proprietari. Per consentire a più colleghi di gestire un set di utenti, è possibile creare un gruppo con molti membri. È quindi possibile assegnare il gruppo come proprietario dell'organizzazione. Tutti i membri del gruppo possono quindi gestire colleghi e clienti nell'organizzazione.

Creare un nuovo gruppo

  1. Accedere allo strumento di amministrazione di TheAccessHub usando le credenziali fornite da N8 Identity.

  2. Passare a Organizzazione > Gestisci gruppi.

  3. Selezionare Aggiungi gruppo.

  4. Immettere i valori per Nome gruppo, Descrizione gruppo e Proprietario gruppo.

  5. Cercare e selezionare le caselle nei colleghi che si desidera essere membri del gruppo e quindi selezionare Aggiungi.

  6. Nella parte inferiore della pagina è possibile visualizzare tutti i membri del gruppo.

    Se necessario, è possibile rimuovere i membri selezionando la x alla fine della riga.

  7. Selezionare Submit (Invia).

Creare una nuova organizzazione

  1. Accedere allo strumento di amministrazione di TheAccessHub usando le credenziali fornite da N8 Identity.

  2. Passare a Organizzazione>Gestisci organizzazioni.

  3. Selezionare Aggiungi organizzazione.

  4. Specificare i valori per Nome organizzazione, Proprietario organizzazione e Organizzazione padre:

    a. Il nome dell'organizzazione è idealmente un valore che corrisponde ai dati dei clienti. Quando si caricano i dati dei colleghi e dei clienti, se si specifica il nome dell'organizzazione nel carico, il collega può essere inserito automaticamente nell'organizzazione.

    b. Il proprietario rappresenta la persona o il gruppo che gestirà i clienti e i colleghi in questa organizzazione e qualsiasi sottoorganizzazione al suo interno.

    c. L'organizzazione padre indica quale altra organizzazione è anche responsabile di questa organizzazione.

  5. Selezionare Submit (Invia).

Modificare la gerarchia tramite la visualizzazione albero

  1. Accedere allo strumento di amministrazione di TheAccessHub usando le credenziali fornite da N8 Identity.

  2. Passare allavisualizzazione alberodegli strumenti> di Gestione.

  3. In questa rappresentazione è possibile visualizzare quali colleghi e gruppi possono gestire le organizzazioni. Modificare la gerarchia trascinando le organizzazioni nelle organizzazioni padre.

  4. Al termine della modifica della gerarchia, selezionare Salva .

Personalizzare la notifica di benvenuto

Durante l'uso dello strumento di amministrazione di TheAccessHub per eseguire la migrazione degli utenti da una soluzione di autenticazione precedente ad Azure AD B2C, è possibile personalizzare la notifica di benvenuto dell'utente. Lo strumento di amministrazione diAccessHub invia questa notifica agli utenti durante la migrazione. Questo messaggio include in genere un collegamento per consentire agli utenti di impostare una nuova password nella directory di Azure AD B2C.

Per personalizzare la notifica:

  1. Accedere allo strumento di amministrazione di TheAccessHub usando le credenziali fornite da N8 Identity.

  2. Passare aNotifichedi amministratore> di sistema.

  3. Selezionare il modello Crea collega .

  4. Selezionare Modifica.

  5. Modificare i campi Messaggio e Modello in base alle esigenze. Il campo Modello è compatibile con HTML e può inviare notifiche di posta elettronica in formato HTML ai clienti.

  6. Al termine, selezionare Salva .

Eseguire la migrazione dei dati da origini dati esterne ad Azure AD B2C

Usando lo strumento di amministrazione di TheAccessHub, è possibile importare dati da diversi database, LDAP e .csv file e quindi eseguire il push dei dati nel tenant di Azure AD B2C. Per eseguire la migrazione dei dati, caricarli nel tipo di collega utente di Azure AD B2C all'interno di TheAccessHub Admin Tool.

Se l'origine dei dati non è Azure stessa, i dati verranno inseriti sia nello strumento di amministrazione di TheAccessHub che in Azure AD B2C. Se l'origine dei dati esterni non è un semplice file .csv nel computer, configurare un'origine dati prima di eseguire il caricamento dei dati. I passaggi seguenti descrivono la creazione di un'origine dati e il caricamento dei dati.

Configurare una nuova origine dati

  1. Accedere allo strumento di amministrazione di TheAccessHub usando le credenziali fornite da N8 Identity.

  2. Passare aOrigini datiamministratore> sistema.

  3. Selezionare Aggiungi origine dati.

  4. Specificare i valori Nome e Tipo per questa origine dati.

  5. Compilare i dati del modulo, a seconda del tipo di origine dati.

    Per i database:

    a. Per Tipo immettere Database.

    b. Per Tipo di database selezionare un database da uno dei tipi di database supportati.

    c. Per URL di connessione immettere una stringa di connessione JDBC ben formattata, ad esempio jdbc:postgresql://myhost.com:5432/databasename.

    d. Per Nome utente immettere il nome utente per l'accesso al database.

    e. In Password immettere la password per l'accesso al database.

    f. Per Query immettere la query SQL per estrarre i dettagli del cliente, ad esempio SELECT * FROM mytable;.

    g. Selezionare Test connessione. Verrà visualizzato un esempio dei dati per assicurarsi che la connessione funzioni.

    Per gli LDAP:

    a. Per Tipo immettere LDAP.

    b. Per Host immettere il nome host o l'indirizzo IP per il computer in cui è in esecuzione il server LDAP, ad esempio mysite.com.

    c. Per Porta immettere il numero di porta in cui il server LDAP è in ascolto.

    d. Per SSL, selezionare la casella se Lo strumento di amministrazione diAccessHub deve comunicare in modo sicuro con LDAP tramite SSL. È consigliabile usare SSL.

    e. In DN di accesso immettere il nome distinto (DN) dell'account utente per accedere ed eseguire la ricerca LDAP.

    f. Per Password immettere la password dell'utente.

    g. Per DN di base immettere il DN nella parte superiore della gerarchia in cui si vuole eseguire la ricerca.

    h. Per Filtro immettere la stringa di filtro LDAP, che otterrà i record dei clienti.

    i. Per Attributi immettere un elenco di attributi delimitato da virgole dai record dei clienti da passare allo strumento di amministrazione di TheAccessHub.

    j. Selezionare Test connessione. Verrà visualizzato un esempio dei dati per assicurarsi che la connessione funzioni.

    Per OneDrive:

    a. In Tipo selezionare OneDrive for Business.

    b. Selezionare Autorizza connessione.

    c. Una nuova finestra richiede di accedere a OneDrive. Accedere con un utente con accesso in lettura all'account OneDrive. Lo strumento di amministrazione diAccessHub fungerà da strumento per consentire all'utente di leggere .csv caricare i file.

    d. Seguire le istruzioni e selezionare Accetta per concedere allo strumento di amministrazione di TheAccessHub le autorizzazioni richieste.

  6. Al termine, selezionare Salva .

Sincronizzare i dati dall'origine dati in Azure AD B2C

  1. Accedere allo strumento di amministrazione di TheAccessHub usando le credenziali fornite da N8 Identity.

  2. Passare aSincronizzazione dei dati amministratore >di sistema.

  3. Selezionare Nuovo caricamento.

  4. Per Tipo di collega selezionare Utente di Azure AD B2C.

  5. Selezionare Origine. Nella finestra di dialogo popup selezionare l'origine dati. Se è stata creata un'origine dati di OneDrive, selezionare anche il file.

  6. Se non si vuole creare nuovi account cliente con questo carico, modificare il primo criterio (SE il collega non è stato trovato in TheAccessHub THEN) in Non eseguire alcuna operazione.

  7. Se non si vuole aggiornare gli account dei clienti esistenti con questo carico, modificare il secondo criterio (origine IF e mancata corrispondenza dei dati di TheAccessHub THEN) in Non eseguire alcuna operazione.

  8. Selezionare Avanti.

  9. Nella configurazione del mapping di ricerca si identifica come correlare i record di carico con i clienti già caricati nello strumento di amministrazione di TheAccessHub.

    Scegliere uno o più attributi di identificazione nell'origine. Trovare la corrispondenza degli attributi con un attributo in TheAccessHub Admin Tool che contiene gli stessi valori. Se viene trovata una corrispondenza, il record esistente verrà sottoposto a override. In caso contrario, verrà creato un nuovo cliente.

    È possibile sequenziare alcuni di questi controlli. Ad esempio, è possibile controllare prima di tutto il messaggio di posta elettronica e quindi controllare il nome e il cognome.

  10. Nel menu a sinistra selezionare Mapping dati.

  11. Nella configurazione del mapping dei dati assegnare gli attributi dello strumento di amministrazione di TheAccessHub che devono essere popolati dagli attributi di origine. Non è necessario eseguire il mapping di tutti gli attributi. Gli attributi non mappati rimarranno invariati per i clienti esistenti.

  12. Se si esegue il mapping all'attributo org_name con un valore che corrisponde al nome di un'organizzazione esistente, i nuovi clienti creati verranno inseriti in tale organizzazione.

  13. Selezionare Avanti.

  14. Se si vuole che questo carico sia ricorrente, specificare una pianificazione giornaliera/settimanale o mensile . In caso contrario, mantenere l'impostazione predefinita Now.

  15. Selezionare Submit (Invia).

  16. Se è stata selezionata la pianificazione Ora , verrà aggiunto immediatamente un nuovo record alla schermata Sincronizzazioni dati . Dopo aver raggiunto il 100% della fase di convalida, selezionare il nuovo record per visualizzare il risultato previsto per il carico. Per i caricamenti pianificati, questi record verranno visualizzati solo dopo l'ora pianificata.

  17. Se non sono presenti errori, selezionare Esegui per eseguire il commit delle modifiche. In caso contrario, selezionare Rimuovi dal menu Altro per rimuovere il caricamento. È quindi possibile correggere i mapping di origine o di caricamento e riprovare.

    Se invece il numero di errori è ridotto, è possibile aggiornare manualmente i record e selezionare Aggiorna in ogni record per apportare correzioni. Un'altra opzione consiste nel continuare con eventuali errori e risolverli in un secondo momento come Interventi di supporto nello strumento di amministrazione di TheAccessHub.

  18. Quando il record di sincronizzazione dati diventa 100% nella fase di caricamento, tutte le modifiche risultanti dal carico sono state avviate. I clienti devono iniziare a visualizzare o ricevere modifiche in Azure AD B2C.

Sincronizzare i dati dei clienti di Azure AD B2C

Come operazione occasionale o in corso, Lo strumento di amministrazione diAccessHub può sincronizzare tutte le informazioni dei clienti da Azure AD B2C nello strumento di amministrazione di TheAccessHub. Questa operazione garantisce che gli amministratori csr/helpdesk visualizzino informazioni aggiornate sui clienti.

Per sincronizzare i dati da Azure AD B2C nello strumento di amministrazione di TheAccessHub:

  1. Accedere allo strumento di amministrazione di TheAccessHub usando le credenziali fornite da N8 Identity.

  2. Passare aSincronizzazione dei dati amministratore >di sistema.

  3. Selezionare Nuovo caricamento.

  4. Per Tipo di collega selezionare Utente di Azure AD B2C.

  5. Per il passaggio Opzioni lasciare le impostazioni predefinite.

  6. Selezionare Avanti.

  7. Per il passaggio Ricerca mapping & dati lasciare le impostazioni predefinite. Eccezione: se si esegue il mapping all'attributo org_name con un valore che corrisponde al nome di un'organizzazione esistente, i nuovi clienti creati verranno inseriti in tale organizzazione.

  8. Selezionare Avanti.

  9. Se si vuole che questo carico sia ricorrente, specificare una pianificazione giornaliera/settimanale o mensile . In caso contrario, mantenere l'impostazione predefinita Now. È consigliabile eseguire regolarmente la sincronizzazione da Azure AD B2C.

  10. Selezionare Submit (Invia).

  11. Se è stata selezionata la pianificazione Ora , verrà aggiunto immediatamente un nuovo record alla schermata Sincronizzazioni dati . Dopo aver raggiunto il 100% della fase di convalida, selezionare il nuovo record per visualizzare il risultato previsto per il carico. Per i caricamenti pianificati, questi record verranno visualizzati solo dopo l'ora pianificata.

  12. Se non sono presenti errori, selezionare Esegui per eseguire il commit delle modifiche. In caso contrario, selezionare Rimuovi dal menu Altro per rimuovere il caricamento. È quindi possibile correggere i mapping di origine o di caricamento e riprovare.

    Se invece il numero di errori è ridotto, è possibile aggiornare manualmente i record e selezionare Aggiorna in ogni record per apportare correzioni. Un'altra opzione consiste nel continuare con eventuali errori e risolverli in un secondo momento come Interventi di supporto nello strumento di amministrazione di TheAccessHub.

  13. Quando il record di sincronizzazione dati diventa 100% nella fase di caricamento, tutte le modifiche risultanti dal carico sono state avviate.

Configurare i criteri di Azure AD B2C

La sincronizzazione occasionale dello strumento di amministrazione di TheAccessHub limita la possibilità dello strumento di mantenere aggiornato lo stato con Azure AD B2C. È possibile usare l'API dello strumento di amministrazione di TheAccessHub e i criteri di Azure AD B2C per informare lo strumento di amministrazione di TheAccessHub delle modifiche apportate. Questa soluzione richiede conoscenze tecniche dei criteri personalizzati di Azure AD B2C.

Le procedure seguenti illustrano i passaggi dei criteri di esempio e un certificato sicuro per notificare allo strumento di amministrazione di TheAccessHub nuovi account nei criteri personalizzati di iscrizione.

Creare credenziali sicure per richiamare l'API dello strumento di amministrazione di TheAccessHub

  1. Accedere allo strumento di amministrazione di TheAccessHub usando le credenziali fornite da N8 Identity.

  2. Passare a System Admin> Admin ToolsAPI Security (Sicurezza APIdegli strumenti> di amministrazione sistema).

  3. Selezionare Genera.

  4. Copiare la password del certificato.

  5. Selezionare Scarica per ottenere il certificato client.

  6. Seguire questa esercitazione per aggiungere il certificato client in Azure AD B2C.

Recuperare gli esempi di criteri personalizzati

  1. Accedere allo strumento di amministrazione di TheAccessHub usando le credenziali fornite da N8 Identity.

  2. Passare adStrumentidi amministrazione> sistemadi Azure B2C Policies (Criteri> di Azure B2C).

  3. Specificare il dominio del tenant di Azure AD B2C e i due ID del framework dell'esperienza di gestione delle identità dalla configurazione del framework dell'esperienza di gestione delle identità.

  4. Selezionare Salva.

  5. Selezionare Scarica per ottenere un file di .zip con criteri di base che aggiungono i clienti allo strumento di amministrazione di TheAccessHub durante l'iscrizione dei clienti.

  6. Seguire questa esercitazione per iniziare a progettare criteri personalizzati in Azure AD B2C.

Passaggi successivi

Per altre informazioni, vedere gli articoli seguenti: