Esercitazione: Configurare Cerner Central per il provisioning utenti automatico
Questa esercitazione descrive i passaggi da eseguire in Cerner Central e Microsoft Entra ID per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Microsoft Entra ID a un elenco di utenti in Cerner Central.
Prerequisiti
Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:
- Un tenant di Microsoft Entra
- Tenant di Cerner Central
Nota
Microsoft Entra ID si integra con Cerner Central usando il protocollo SCIM.
Assegnazione di utenti a Cerner Central
Microsoft Entra ID usa un concetto denominato "assegnazioni" per determinare quali utenti devono ricevere l'accesso alle app selezionate. Nel contesto del provisioning automatico degli account utente, vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Microsoft Entra ID.
Prima di configurare e abilitare il servizio di provisioning, è necessario decidere quali utenti e/o gruppi in Microsoft Entra ID rappresentano gli utenti che devono accedere a Cerner Central. Dopo aver stabilito questo, è possibile assegnare tali utenti a Cerner Central seguendo le istruzioni riportate nell'articolo seguente:
Assegnare un utente o gruppo a un'app aziendale
Suggerimenti importanti per l'assegnazione di utenti a Cerner Central
È consigliabile assegnare un singolo utente di Microsoft Entra a Cerner Central per testare la configurazione del provisioning. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.
Al termine del test iniziale per un singolo utente, Cerner Central consiglia di assegnare l'intero elenco di utenti che devono accedere a qualsiasi soluzione Cerner (non solo Cerner Central) per effettuarne il provisioning nell'elenco di utenti di Cerner. Altre soluzioni Cerner sfruttano questo elenco di utenti.
Quando si assegna un utente a Cerner Central, è necessario selezionare il ruolo Utente nella finestra di dialogo di assegnazione. Gli utenti con il ruolo "Accesso predefinito" vengono esclusi dal provisioning.
Configurazione del provisioning utenti in Cerner Central
Questa sezione illustra come connettere l'ID Microsoft Entra all'elenco utenti di Cerner Central usando l'API di provisioning dell'account utente SCIM di Cerner e la configurazione del servizio di provisioning per creare, aggiornare e disabilitare gli account utente assegnati in Cerner Central in base all'assegnazione di utenti e gruppi in Microsoft Entra ID.
Suggerimento
È anche possibile scegliere di abilitare l'accesso Single Sign-On basato su SAML per Cerner Central, seguendo le istruzioni fornite nella portale di Azure. L'accesso Single Sign-On può essere configurato indipendentemente dal provisioning automatico, nonostante queste due funzionalità siano complementari. Per altre informazioni, vedere l'esercitazione sull'accesso Single Sign-On di Cerner Central.
Per configurare il provisioning automatico degli account utente in Cerner Central in Microsoft Entra ID:
Per effettuare il provisioning degli account utente in Cerner Central, è necessario richiedere un account di sistema Cerner Central da Cerner e generare un token di connessione OAuth che Microsoft Entra ID può usare per connettersi all'endpoint SCIM di Cerner. È consigliabile anche eseguire l'integrazione in un ambiente sandbox Cerner prima della distribuzione in produzione.
Il primo passaggio consiste nel garantire che le persone che gestiscono l'integrazione di Cerner e Microsoft Entra abbiano un account CernerCare, necessario per accedere alla documentazione necessaria per completare le istruzioni. Se necessario, usare gli URL riportati di seguito per creare account CernerCare in ogni ambiente applicabile.
Produzione: https://cernercare.com/accounts/create
Successivamente, è necessario creare un account di sistema per Microsoft Entra ID. Usare le istruzioni di seguito per richiedere un account di sistema per gli ambienti sandbox e di produzione.
Generare quindi un token di connessione OAuth per ogni account di sistema. A questo scopo, seguire queste istruzioni.
È infine necessario acquisire gli ID dell'area autenticazione dell'elenco utenti sia per l'ambiente sandbox che per quello di produzione in Cerner per completare la configurazione. Per informazioni sull'acquisizione, vedere: https://wiki.ucern.com/display/public/reference/Publishing+Identity+Data+Using+SCIM.
È ora possibile configurare Microsoft Entra ID per effettuare il provisioning degli account utente in Cerner. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.
Se si è già configurato Cerner Central per l'accesso Single Sign-On, cercare l'istanza di Cerner Central usando il campo di ricerca. In caso contrario, selezionare Aggiungi e cercare Cerner Central nella raccolta di applicazioni. Selezionare Cerner Central nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.
Selezionare l'istanza di Cerner Central e quindi la scheda Provisioning.
Impostare Modalità di provisioning su Automatico.
Compilare i campi seguenti in Credenziali amministratore:
- Nel campo URL tenant immettere un URL nel formato seguente, sostituendo "ID-Area-Autenticazione-Roster-Utenti" con l'ID area autenticazione acquisito nel passaggio 4.
Sandbox:
https://user-roster-api.sandboxcernercentral.com/scim/v1/Realms/User-Roster-Realm-ID/Produzione:
https://user-roster-api.cernercentral.com/scim/v1/Realms/User-Roster-Realm-ID/Nel campo Token segreto immettere il token di connessione OAuth generato nel passaggio 3 e fare clic su Test connessione.
Verrà visualizzata una notifica di esito positivo sul lato superiore destro del portale.
Immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning nel campo Messaggio di posta elettronica di notifica e selezionare la casella di controllo seguente.
Fare clic su Salva.
Nella sezione Mapping attributi esaminare gli attributi utente e gruppo da sincronizzare da Microsoft Entra ID a Cerner Central. Gli attributi selezionati come proprietà corrispondenti verranno usati per trovare le corrispondenze con gli account utente e i gruppi in Cerner Central per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Per abilitare il servizio di provisioning di Microsoft Entra per Cerner Central, impostare Statodel provisioning su Sì nella sezione Impostazioni
Fare clic su Salva.
Verrà avviata la sincronizzazione iniziale di tutti gli utenti e/o i gruppi assegnati a Cerner Central nella sezione Utenti e gruppi. La sincronizzazione iniziale richiede più tempo rispetto alle sincronizzazioni successive, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione. È possibile usare la sezione Dettagli sincronizzazione per monitorare lo stato di avanzamento e selezionare i collegamenti ai log delle attività di provisioning, che descrivono tutte le azioni eseguite dal servizio di provisioning sull'app Cerner Central.
Per altre informazioni su come leggere i log di provisioning di Microsoft Entra, vedere Creazione di report sul provisioning automatico degli account utente.
Risorse aggiuntive
- Cerner Central: Pubblicazione dei dati di identità con Microsoft Entra ID
- Esercitazione: Configurazione di Cerner Central per l'accesso Single Sign-On con Microsoft Entra ID
- Gestione del provisioning degli account utente per app aziendali
- Che cos'è l'accesso alle applicazioni e l'accesso Single Sign-On con Microsoft Entra ID?