Руководство по настройке единого входа Tanium для автоматической подготовки пользователей
В этом руководстве описаны действия, которые необходимо выполнить как в едином входе в Tanium, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке идентификатор Microsoft Entra ID автоматически подготавливает и отменяет подготовку пользователей и групп в Tanium SSO с помощью службы подготовки Microsoft Entra. Эти возможности поддерживаются только для клиентов Tanium Cloud. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.
Поддерживаемые возможности
- Создание пользователей в едином входе в Tanium.
- Удалите пользователей в едином входе Tanium, если они больше не требуют доступа.
- Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и единым входом Tanium.
- Подготовка групп и членства в группах в Tanium SSO.
- Единый вход в Tanium SSO (рекомендуется).
Необходимые компоненты
В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:
- Клиент Microsoft Entra
- Одна из следующих ролей: Application Администратор istrator, Cloud Application Администратор istrator или Владелец приложения.
- Учетная запись пользователя в едином входе Tanium с разрешениями Администратор.
Шаг 1. Планирование развертывания подготовки
- Узнайте, как работает служба подготовки.
- Определите, кто будет находиться в области подготовки.
- Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и единым входом Tanium.
Шаг 2. Включение подготовки SCIM на портале управления облаком Tanium (CMP)
- Выполните действия, описанные в руководстве по развертыванию Tanium Cloud: настройте подготовку SCIM, чтобы включить автоматическую подготовку пользователей в Tanium Cloud.
- Сохраните значения URL-адреса API token и SCIM для последующего использования при настройке единого входа Tanium. Скопируйте всю строку маркера, отформатированную следующим
token-\<58 alphanumeric characters\>
образом.
Шаг 3. Добавление единого входа Tanium из коллекции приложений Microsoft Entra
Добавьте единый вход Tanium из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в Tanium SSO. Если вы ранее настроили единый вход Tanium для единого входа, можно использовать то же приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.
Шаг 4. Определение того, кто будет находиться в область для подготовки
Служба подготовки Microsoft Entra позволяет область, которые будут подготовлены на основе назначения приложению и на основе атрибутов пользователя или группы. Если вы решили указать, кто именно будет подготовлен к работе в приложении, на основе назначения, можно выполнить следующие действия, чтобы назначить пользователей и группы приложению. Если вы решили определить пользователей только на основе атрибутов пользователя или группы, примените фильтр области, как описано здесь.
Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Если в область подготовки включены назначенные пользователи и группы, проверьте этот механизм, назначив приложению одного или двух пользователей либо одну или две группы. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.
Если вам нужны дополнительные роли, можно обновить манифест приложения, чтобы добавить новые роли.
Шаг 5. Настройка автоматической подготовки пользователей в единый вход Tanium
В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и (или) групп в Tanium на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.
Чтобы настроить автоматическую подготовку пользователей для единого входа Tanium в идентификаторе Microsoft Entra ID:
Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
Обзор корпоративных приложений>удостоверений>
В списке приложений выберите "Tanium SSO".
Выберите вкладку Подготовка.
Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).
В разделе "Учетные данные Администратор" введите URL-адрес клиента Tanium SSO и секретный маркер, полученный ранее из CMP Tanium. Нажмите кнопку "Тестировать Подключение ion", чтобы убедиться, что идентификатор Microsoft Entra может подключиться к единому входу Tanium. Если подключение завершается ошибкой, убедитесь, что вы ввели полное значение маркера, включая
token-
префикс.В поле Электронная почта для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Отправить уведомление по электронной почте при сбое.
Выберите Сохранить.
В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с единым входом Tanium.
Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra ID и tanium SSO в разделе "Сопоставление атрибутов". Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления учетных записей пользователей в едином входе Tanium для операций обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API единого входа Tanium поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип Поддерживается для фильтрации Требуется единый вход Tanium userName Строка ✓ ✓ active Логический ✓ displayName Строка ✓ externalId Строка ✓ В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с tanium SSO.
Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra id и Tanium SSO в разделе "Сопоставление атрибутов". Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления групп в едином входе Tanium для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип Поддерживается для фильтрации Требуется единый вход Tanium displayName Строка ✓ ✓ externalId Строка ✓ members Справочные материалы Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, предоставленными в руководстве по фильтрам области.
Чтобы включить службу подготовки Microsoft Entra для единого входа Tanium, измените состояние подготовки на On в разделе Параметры.
Определите пользователей и (или) группы, которые вы хотите подготовить к единому входу Tanium, выбрав нужные значения в области в разделе Параметры.
Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.
После этого начнется цикл начальной синхронизации всех пользователей и групп, определенных в поле Область в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут до запуска службы подготовки Microsoft Entra.
Шаг 6. Мониторинг развертывания
После настройки подготовки используйте следующие ресурсы для мониторинга развертывания.
- Используйте журналы подготовки, чтобы определить, какие пользователи были подготовлены успешно или неудачно.
- Используйте индикатор выполнения, чтобы узнать состояние цикла подготовки и приблизительное время до его завершения
- Если конфигурация подготовки находится в неработоспособном состоянии, приложение перейдет в режим карантина. Дополнительные сведения о режимах карантина см. здесь.
Дополнительные ресурсы
- Управление подготовкой учетных записей пользователей для корпоративных приложений
- Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?