Esercitazione: Configurazione di Cerner Central per il provisioning utenti automaticoTutorial: Configuring Cerner Central for Automatic User Provisioning

Questa esercitazione descrive le procedure da eseguire in Cerner Central e Azure AD per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Azure AD in un elenco di utenti in Cerner Central.The objective of this tutorial is to show you the steps you need to perform in Cerner Central and Azure AD to automatically provision and de-provision user accounts from Azure AD to a user roster in Cerner Central.

PrerequisitiPrerequisites

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:The scenario outlined in this tutorial assumes that you already have the following items:

  • Tenant di Azure Active DirectoryAn Azure Active Directory tenant
  • Tenant di Cerner CentralA Cerner Central tenant

Nota

Azure Active Directory si integra con Cerner Central usando il protocollo SCIM.Azure Active Directory integrates with Cerner Central using the SCIM protocol.

Assegnazione di utenti a Cerner CentralAssigning users to Cerner Central

Per determinare gli utenti che dovranno ricevere l'accesso alle app selezionate, Azure Active Directory usa il concetto delle "assegnazioni".Azure Active Directory uses a concept called "assignments" to determine which users should receive access to selected apps. Nel contesto del provisioning automatico degli account utente, vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Azure AD.In the context of automatic user account provisioning, only the users and groups that have been "assigned" to an application in Azure AD are synchronized.

Prima di configurare e abilitare il servizio di provisioning, è necessario stabilire quali utenti e/o gruppi in Azure AD rappresentano gli utenti che devono accedere a Cerner Central.Before configuring and enabling the provisioning service, you should decide what users and/or groups in Azure AD represent the users who need access to Cerner Central. Dopo aver stabilito questo, è possibile assegnare tali utenti a Cerner Central seguendo le istruzioni riportate nell'articolo seguente:Once decided, you can assign these users to Cerner Central by following the instructions here:

Assegnare un utente o gruppo a un'app aziendaleAssign a user or group to an enterprise app

Suggerimenti importanti per l'assegnazione di utenti a Cerner CentralImportant tips for assigning users to Cerner Central

  • È consigliabile assegnare un singolo utente di Azure AD a Cerner Central per testare la configurazione del provisioning.It is recommended that a single Azure AD user be assigned to Cerner Central to test the provisioning configuration. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.Additional users and/or groups may be assigned later.

  • Al termine del test iniziale per un singolo utente, Cerner Central consiglia di assegnare l'intero elenco di utenti che devono accedere a qualsiasi soluzione Cerner (non solo Cerner Central) per effettuarne il provisioning nell'elenco di utenti di Cerner.Once initial testing is complete for a single user, Cerner Central recommends assigning the entire list of users intended to access any Cerner solution (not just Cerner Central) to be provisioned to Cerner’s user roster. Altre soluzioni Cerner sfruttano questo elenco di utenti.Other Cerner solutions leverage this list of users in the user roster.

  • Quando si assegna un utente a Cerner Central, è necessario selezionare il ruolo Utente nella finestra di dialogo di assegnazione.When assigning a user to Cerner Central, you must select the User role in the assignment dialog. Gli utenti con il ruolo "Accesso predefinito" vengono esclusi dal provisioning.Users with the "Default Access" role are excluded from provisioning.

Configurazione del provisioning utenti in Cerner CentralConfiguring user provisioning to Cerner Central

Questa sezione illustra la connessione di Azure AD all'elenco di utenti di Cerner Central tramite l'API per il provisioning degli account utente SCIM di Cerner e la configurazione del servizio di provisioning per la creazione, l'aggiornamento e la disabilitazione degli account utente assegnati in Cerner Central in base all'assegnazione di utenti e gruppi in Azure AD.This section guides you through connecting your Azure AD to Cerner Central’s User Roster using Cerner's SCIM user account provisioning API, and configuring the provisioning service to create, update, and disable assigned user accounts in Cerner Central based on user and group assignment in Azure AD.

Suggerimento

Si può anche scegliere di abilitare l'accesso Single Sign-On basato su SAML per Cerner Central, seguendo le istruzioni disponibili nel [portale di Azure (https://portal.azure.com).You may also choose to enabled SAML-based Single Sign-On for Cerner Central, following the instructions provided in [Azure portal (https://portal.azure.com). L'accesso Single Sign-On può essere configurato indipendentemente dal provisioning automatico, nonostante queste due funzionalità siano complementari.Single sign-on can be configured independently of automatic provisioning, though these two features complement each other. Per altre informazioni, vedere l'esercitazione sull'accesso Single Sign-On di Cerner Central.For more information, see the Cerner Central single sign-on tutorial.

Per configurare il provisioning automatico degli account utente in Cerner Central con Azure AD:To configure automatic user account provisioning to Cerner Central in Azure AD:

Per effettuare il provisioning degli account utente in Cerner Central, è necessario richiedere un account di sistema di Cerner Central e generare un token di connessione OAuth che possa essere usato da Azure AD per la connessione all'endpoint SCIM di Cerner.In order to provision user accounts to Cerner Central, you’ll need to request a Cerner Central system account from Cerner, and generate an OAuth bearer token that Azure AD can use to connect to Cerner's SCIM endpoint. È consigliabile anche eseguire l'integrazione in un ambiente sandbox Cerner prima della distribuzione in produzione.It is also recommended that the integration be performed in a Cerner sandbox environment before deploying to production.

  1. Il primo passaggio consiste nel garantire che le persone che gestiscono l'integrazione di Cerner e Azure AD abbiano un account CernerCare, obbligatorio per accedere alla documentazione necessaria per completare le istruzioni.The first step is to ensure the people managing the Cerner and Azure AD integration have a CernerCare account, which is required to access the documentation necessary to complete the instructions. Se necessario, usare gli URL riportati di seguito per creare account CernerCare in ogni ambiente applicabile.If necessary, use the URLs below to create CernerCare accounts in each applicable environment.

  2. È quindi necessario creare un account di sistema per Azure AD.Next, a system account must be created for Azure AD. Usare le istruzioni di seguito per richiedere un account di sistema per gli ambienti sandbox e di produzione.Use the instructions below to request a System Account for your sandbox and production environments.

  3. Generare quindi un token di connessione OAuth per ogni account di sistema.Next, generate an OAuth bearer token for each of your system accounts. A questo scopo, seguire queste istruzioni.To do this, follow the instructions below.

  4. È infine necessario acquisire gli ID dell'area autenticazione dell'elenco utenti sia per l'ambiente sandbox che per quello di produzione in Cerner per completare la configurazione.Finally, you need to acquire User Roster Realm IDs for both the sandbox and production environments in Cerner to complete the configuration. Per informazioni su come acquisire tale ID, vedere: https://wiki.ucern.com/display/public/reference/Publishing+Identity+Data+Using+SCIM.For information on how to acquire this, see: https://wiki.ucern.com/display/public/reference/Publishing+Identity+Data+Using+SCIM.

  5. È ora possibile configurare Azure AD per il provisioning degli account utente in Cerner.Now you can configure Azure AD to provision user accounts to Cerner. Accedere al portale di Azure e passare alla sezione Azure Active Directory > App aziendali > Tutte le applicazioni.Sign in to the Azure portal, and browse to the Azure Active Directory > Enterprise Apps > All applications section.

  6. Se si è già configurato Cerner Central per l'accesso Single Sign-On, cercare l'istanza di Cerner Central usando il campo di ricerca.If you have already configured Cerner Central for single sign-on, search for your instance of Cerner Central using the search field. In caso contrario, selezionare Aggiungi e cercare Cerner Central nella raccolta di applicazioni.Otherwise, select Add and search for Cerner Central in the application gallery. Selezionare Cerner Central nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.Select Cerner Central from the search results, and add it to your list of applications.

  7. Selezionare l'istanza di Cerner Central e quindi la scheda Provisioning.Select your instance of Cerner Central, then select the Provisioning tab.

  8. Impostare Modalità di provisioning su Automatico.Set the Provisioning Mode to Automatic.

    Provisioning in Cerner Central

  9. Compilare i campi seguenti in Credenziali amministratore:Fill in the following fields under Admin Credentials:

    • Nel campo URL tenant immettere un URL nel formato seguente, sostituendo "ID-Area-Autenticazione-Roster-Utenti" con l'ID area autenticazione acquisito nel passaggio 4.In the Tenant URL field, enter a URL in the format below, replacing "User-Roster-Realm-ID" with the realm ID you acquired in step #4.

Sandbox: https://user-roster-api.sandboxcernercentral.com/scim/v1/Realms/User-Roster-Realm-ID/Sandbox: https://user-roster-api.sandboxcernercentral.com/scim/v1/Realms/User-Roster-Realm-ID/

Produzione: https://user-roster-api.cernercentral.com/scim/v1/Realms/User-Roster-Realm-ID/Production: https://user-roster-api.cernercentral.com/scim/v1/Realms/User-Roster-Realm-ID/

  • Nel campo Token segreto immettere il token di connessione OAuth generato nel passaggio 3 e fare clic su Test connessione.In the Secret Token field, enter the OAuth bearer token you generated in step #3 and click Test Connection.

  • Nel lato superiore destro del portale verrà visualizzata una notifica di esito positivo.You should see a success notification on the upper­right side of your portal.

  1. Immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning nel campo Messaggio di posta elettronica di notifica e selezionare la casella di controllo seguente.Enter the email address of a person or group who should receive provisioning error notifications in the Notification Email field, and check the checkbox below.

  2. Fare clic su Salva.Click Save.

  3. Nella sezione Mapping attributi esaminare gli attributi di utenti e gruppi che verranno sincronizzati da Azure AD a Cerner Central.In the Attribute Mappings section, review the user and group attributes to be synchronized from Azure AD to Cerner Central. Gli attributi selezionati come proprietà corrispondenti verranno usati per trovare le corrispondenze con gli account utente e i gruppi in Cerner Central per le operazioni di aggiornamento.The attributes selected as Matching properties are used to match the user accounts and groups in Cerner Central for update operations. Selezionare il pulsante Salva per eseguire il commit delle modifiche.Select the Save button to commit any changes.

  4. Per abilitare il servizio di provisioning di Azure AD per Cerner Central, impostare Stato del provisioning su nella sezione Impostazioni.To enable the Azure AD provisioning service for Cerner Central, change the Provisioning Status to On in the Settings section

  5. Fare clic su Salva.Click Save.

Verrà avviata la sincronizzazione iniziale di tutti gli utenti e/o i gruppi assegnati a Cerner Central nella sezione Utenti e gruppi.This starts the initial synchronization of any users and/or groups assigned to Cerner Central in the Users and Groups section. La sincronizzazione iniziale richiede più tempo delle sincronizzazioni successive, che saranno eseguite circa ogni 20 minuti quando il servizio di provisioning di Azure AD è in esecuzione.The initial sync takes longer to perform than subsequent syncs, which occur approximately every 20 minutes as long as the Azure AD provisioning service is running. È possibile usare la sezione Dettagli sincronizzazione per monitorare lo stato di avanzamento e selezionare i collegamenti ai report delle attività di provisioning, che descrivono tutte le azioni eseguite dal servizio di provisioning sull'app Cerner Central.You can use the Synchronization Details section to monitor progress and follow links to provisioning activity reports, which describe all actions performed by the provisioning service on your Cerner Central app.

Per altre informazioni sulla lettura dei log di provisioning di Azure AD, vedere l'esercitazione relativa alla creazione di report sul provisioning automatico degli account utente.For more information on how to read the Azure AD provisioning logs, see Reporting on automatic user account provisioning.

Risorse aggiuntiveAdditional resources

Passaggi successiviNext steps