Integrazione di Microsoft Entra SSO con Descartes

In questo articolo si apprenderà come integrare Descartes con Microsoft Entra ID. L'applicazione Descartes fornisce servizi logistici di informazioni per la distribuzione di aziende sensibili in tutto il mondo. Come suite integrata fornisce moduli per vari ruoli aziendali logistici. Integrando Descartes con Microsoft Entra ID è possibile:

• È possibile controllare in Microsoft Entra ID chi può accedere a Descartes.
• Abilitare gli utenti per l'accesso automatico a Descartes con gli account Microsoft Entra personali.
• Gestire gli account in un'unica posizione centrale.

Verrà configurato e testato l'accesso Single Sign-On di Microsoft Entra per Descartes in un ambiente di test. Descartes supporta l'accesso Single Sign-On avviato da SP e IDP, oltre che il provisioning utenti JIT.

Prerequisiti

Per integrare Microsoft Entra ID con Descartes, è necessario:

• Un account utente di Microsoft Entra. Chi non ha ancora un account può crearlo gratuitamente.
• Uno dei seguenti ruoli: Amministratore dell'applicazione, Amministratore dell'applicazione sul cloud o Proprietario dell'applicazione.
• Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
• Sottoscrizione di Descartes abilitata per l'accesso Single Sign-On (SSO).

Aggiungere un'applicazione e assegnare un utente di test

Prima di iniziare il processo di configurazione dell'accesso Single Sign-On, è necessario aggiungere l'applicazione Descartes dalla raccolta di Microsoft Entra. È necessario un account utente di test da assegnare all'applicazione e testare la configurazione di accesso Single Sign-On.

Aggiungere Descartes dalla raccolta di Microsoft Entra

Aggiungere Descartes dalla raccolta di applicazioni Microsoft Entra per configurare l'accesso Single Sign-On con Descartes. Per altre informazioni su come aggiungere un'applicazione dalla raccolta consultare Avvio rapido: Aggiungere un'applicazione dalla raccolta.

Creare e assegnare un utente di test di Microsoft Entra

Seguire le linee guida dell'articolo Creare e assegnare un account utente per creare un account utente di test chiamato B.Simon.

In alternativa, è anche possibile usare Configurazione guidata app aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app e assegnare i ruoli. La procedura guidata contiene anche un link al riquadro di configurazione dell'accesso Single Sign-On. Ulteriori informazioni sulle procedure guidate di Microsoft 365.

Configurare l'accesso Single Sign-On di Microsoft Entra

Seguire questi passaggi per abilitare l'accesso Single Sign-On in Microsoft Entra.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

2. Andare a Identità>Applicazioni>Applicazioni Enterprise>Descartes>Single Sign-On.

3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

4. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita relativa a Configurazione SAML di base per modificare le impostazioni.

   

5. Nella sezione Configurazione SAML di base l'utente non deve eseguire alcuna operazione perché l'app è già preintegrata in Azure.

6. Se si desidera configurare l’accesso Single Sign-On avviata da SP, seguire successivamente questa procedura:

   Nella casella di testo Stato dell'inoltro digitare l'URL: https://auth.gln.com/Welcome

7. L'applicazione Descartes prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione degli attributi del token SAML. Lo screenshot seguente mostra l'elenco degli attributi predefiniti.

   

8. Oltre quelli elencati in precedenza, l'applicazione Descartes prevede il passaggio di altri attributi nella risposta SAML. Tali attributi sono indicati di seguito. Anche questi attributi vengono prepopolati, ma è possibile esaminarli in base ai requisiti.

   Nome	Attributo di origine
   telephone	user.telephonenumber
   facsimiletelephonenumber	user.facsimiletelephonenumber
   o	user.department
   assignedRoles	user.assignedroles
   Raggruppa	user.groups

9. Nella pagina Configura Single Sign-On con SAML, nella sezione Certificato firma SAML, fare clic sul pulsante di copia per copiare l'URL dei metadati di federazione dell'app e salvarlo sul computer.

   

10. Comporre un elenco dei gruppi di Microsoft Entra che si desidera utilizzare l'applicazione Descartes per la configurazione basata su ruoli. Un elenco dei moduli dell'applicazione Descartes ruoli utente è disponibile in https://www.gln.com/docs/Descartes_Application_User_Roles.pdf. È possibile trovare i GUID del gruppo di Azure. Selezionare Scarica gruppi da Gruppi nell'interfaccia di amministrazione di Microsoft Entra.

È possibile caricare questo file CSV in Excel. Selezionare i gruppi di cui si desidera eseguire il mapping ai ruoli applicazione Descartes elencando l'ID nella prima colonna e associandolo al ruolo utente applicazione Descartes.

Configurare l'accesso Single Sign-On di Descartes

Per configurare l'accesso Single Sign-On sul lato Descartes, è necessario inviare per e-mail i valori seguenti al team di supporto di Descartes. Usare come oggetto la richiesta di installazione di Microsoft Entra SSO.

1. Suffisso di dominio identity preferito (spesso uguale al suffisso del dominio e-mail).
2. L’URL dei metadati di federazione dell'app.
3. Elenco con i GUID del gruppo Microsoft Entra per gli utenti autorizzati a usare l'applicazione Descartes.

Descartes userà le informazioni contenute nel messaggio e-mail per impostare correttamente la connessione SSO SAML sul lato applicazione.

Ecco un esempio di questa richiesta:

Creare l'utente di test di Descartes

In questa sezione viene creato un utente di nome B.Simon in Descartes. Descartes supporta il provisioning utenti JIT, che è abilitato per impostazione predefinita. Non è necessario alcun intervento dell'utente in questa sezione. Se non esiste già un utente in Descartes, generalmente ne viene creato uno nuovo dopo l'autenticazione.

L'applicazione Descartes usa nomi utente completi del dominio per gli utenti integrati di Microsoft Entra. I nomi utente qualificati del dominio sono costituiti dall'oggetto dell'attestazione SAML e terminano sempre con il suffisso di dominio. Descartes consiglia di selezionare il suffisso del dominio e-mail aziendale che tutti gli utenti del dominio hanno in comune come suffisso del dominio di identità (ad esempio, B.Simon@contoso.com).

Testare l'accesso SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

Avviato da SP:

• Facendo clic su Testa questa applicazione, verrà eseguito il reindirizzamento all'URL di accesso di Descartes in cui è possibile avviare il flusso di accesso. In alternativa, è possibile usare un URL "link diretto" in un modulo specifico dell'applicazione Descartes e si verrà reindirizzati a una pagina per fornire il nome utente completo del dominio che consentirà di accedere alla finestra di dialogo di accesso di Microsoft Entra.

• Passare all'URL di accesso diretto dell'applicazione Descartes specificato e avviare il flusso di accesso specificando il nome utente qualificato del dominio (B.Simon@contoso.com) nella finestra di accesso dell'applicazione. In questo modo l'utente verrà reindirizzato automaticamente a Microsoft Entra ID.

Avviato da IDP:

• Dopo aver fatto clic su Testa questa applicazione, si dovrebbe accedere automaticamente all’istanza del menu delle applicazioni di Descartes per cui si è configurato l'accesso Single Sign-On.

• È anche possibile usare App personali Microsoft per testare l'applicazione in qualsiasi modalità. Quando si fa clic sul riquadro di Descartes in App personali, se è stato configurato in modalità SP, si dovrebbe essere reindirizzati alla pagina di accesso dell'applicazione per avviare il flusso di accesso; se invece è configurato in modalità IDP, si dovrebbe accedere automaticamente all’istanza di Descartes per cui si è configurato l'accesso Single Sign-On. Per altre informazioni, vedere App personali di Microsoft Entra.

Risorse aggiuntive

• Che cos'è l'accesso Single Sign-On con Microsoft Entra ID?
• Pianificare una distribuzione degli accessi Single Sign-On.

Passaggi successivi

Dopo aver configurato Descartes, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Cloud App Security.