Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны шаги, которые необходимо выполнить как в Tanium SSO, так и в Microsoft Entra ID для настройки автоматического предоставления пользователей. При настройке идентификатор Microsoft Entra ID автоматически подготавливает и отменяет подготовку пользователей и групп в Tanium SSO с помощью службы подготовки Microsoft Entra. Эти возможности поддерживаются только для клиентов Tanium Cloud. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизация предоставления и прекращения доступа пользователей к SaaS приложениям с помощью Microsoft Entra ID.
Поддерживаемые возможности
- Создание пользователей в системе единого входа Tanium.
- Удалите пользователей в едином входе Tanium, если им больше не нужен доступ.
- Поддерживайте синхронизацию атрибутов пользователей между Microsoft Entra ID и Tanium SSO.
- Настройка групп и членства в группах в Tanium SSO.
- Единый вход в Tanium SSO (рекомендуется).
Предпосылки
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:
- Клиент Microsoft Entra
- Одна из следующих ролей: администратор приложений, администратор облачных приложений или владелец приложения.
- Учетная запись пользователя в системе единого входа Tanium с разрешениями администратора.
Шаг 1. Планирование развертывания снабжения
- Узнайте, как работает служба обеспечения.
- Определите, кто входит в зону ответственности для обеспечения.
- Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и единым входом Tanium.
Шаг 2: Включение SCIM провиженинга на портале управления облаком Tanium (CMP)
- Выполните действия, описанные в руководстве по развертыванию Tanium Cloud: настройте подготовку SCIM , чтобы включить автоматическую подготовку пользователей в Tanium Cloud.
- Сохраните значения токена и URL SCIM API для последующего использования при настройке единого входа Tanium. Скопируйте всю строку токена, отформатированную как
token-\<58 alphanumeric characters\>.
Шаг 3. Добавление единого входа Tanium из коллекции приложений Microsoft Entra
Добавьте платформу Tanium SSO из коллекции приложений Microsoft Entra для начала управления предоставлением доступа к Tanium SSO. Если ранее вы настроили SSO для Tanium, можно использовать то же самое приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Узнайте больше о добавлении приложения из галереи здесь.
Шаг 4. Определение того, кто подлежит обеспечению
Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.
Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем внедрить это для всех. Если область предоставления доступа задана для назначенных пользователей и групп, вы можете управлять этим, назначив одному или двум пользователям или группам доступ к приложению. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.
Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.
Шаг 5. Настройка автоматического предоставления пользователей в Tanium SSO
В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и (или) групп в Tanium на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.
Настройка автоматической подготовки пользователей для единого входа Tanium в идентификаторе Microsoft Entra
Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.
Перейдите к Entra ID>приложениям для предприятий
В списке приложений выберите "Tanium SSO".
Выберите вкладку Подготовка.
Выберите + Новая конфигурация.
В поле URL-адрес клиента введите URL-адрес клиента Tanium SSO и секретный маркер. Выберите «Проверить подключение», чтобы убедиться, что Microsoft Entra ID может соединиться с единой системой входа Tanium. Если подключение завершается ошибкой, убедитесь, что учетная запись Единого входа Tanium имеет необходимые разрешения администратора и повторите попытку.
Нажмите кнопку "Создать", чтобы создать конфигурацию.
Выберите "Свойства " на странице обзора .
Щелкните значок "Изменить ", чтобы изменить свойства. Включите уведомления по электронной почте и предоставьте сообщение электронной почты для получения уведомлений о карантине. Включение предотвращения случайных удалений. Выберите Применить, чтобы сохранить изменения.
Выберите сопоставление атрибутов на левой панели и выберите пользователей.
Просмотрите атрибуты пользователя, синхронизированные из Microsoft Entra ID в Tanium SSO в разделе Сопоставление атрибутов. Атрибуты, выбранные в качестве свойств сопоставления, используются для сопоставления учетных записей пользователей в системе Tanium SSO при обновлении. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API единого входа Tanium поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип Поддерживается для фильтрации Требуется единый вход Tanium userName Струна ✓ ✓ активный булевый ✓ отображаемое имя Струна ✓ externalId (внешний идентификатор) Струна ✓ Выберите Группы.
Просмотрите атрибуты группы, синхронизированные с Microsoft Entra ID в Tanium SSO в разделе Сопоставление атрибутов. Атрибуты, выбранные в качестве свойств сопоставления с SSO Tanium, используются для сопоставления групп в рамках операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип Поддерживается для фильтрации Требуется единый вход Tanium отображаемое имя Струна ✓ ✓ externalId (внешний идентификатор) Струна ✓ члены Ссылка Чтобы настроить фильтры области, ознакомьтесь с инструкциями, приведенными в статье о фильтре области.
Используйте подготовку по запросу для проверки синхронизации с небольшим количеством пользователей перед развертыванием в организации.
Когда вы будете готовы к подготовке, выберите "Начать подготовку " на странице обзора .
Шаг 6. Мониторинг развертывания
После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:
- Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
- Проверьте индикатор прогресса, чтобы увидеть состояние цикла подготовки и насколько он близок к завершению
- Если конфигурация предоставления ресурсов кажется неисправной, приложение переходит в режим изоляции. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .
Дополнительные ресурсы
- Управление подготовкой учетных записей пользователей для корпоративных приложений
- Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?