Configurare l'accesso Single Sign-On per la console del sensore

  • Articolo

Questo articolo illustra come configurare l'accesso Single Sign-On (SSO) per la console del sensore Defender per IoT usando Microsoft Entra ID. Con l'accesso Single Sign-On, gli utenti dell'organizzazione possono semplicemente accedere alla console del sensore e non necessitano di più credenziali di accesso in diversi sensori e siti.

L'uso di Microsoft Entra ID semplifica i processi di onboarding e offboarding, riduce il sovraccarico amministrativo e garantisce controlli di accesso coerenti all'interno dell'organizzazione.

Nota

L'accesso tramite SSO è attualmente in ANTEPRIMA. Le condizioni supplementari per l'anteprima di Azure includono altri termini legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Prerequisiti

Prima di iniziare:

  • Sincronizzare Active Directory locale con Microsoft Entra ID.
  • Aggiungere regole di autorizzazione in uscita al firewall, al server proxy e così via. È possibile accedere all'elenco degli endpoint necessari dalla pagina Siti e sensori.
  • Se non si dispone di gruppi di utenti di Microsoft Entra ID esistenti da usare per l'autorizzazione SSO, collaborare con il gestore delle identità dell'organizzazione per creare gruppi di utenti pertinenti.
  • Verificare di avere le autorizzazioni seguenti:
    • Utente membro in Microsoft Entra ID.
    • Amministrazione, collaboratore o autorizzazioni di Amministrazione di sicurezza per la sottoscrizione di Defender per IoT.
  • Assicurarsi che ogni utente abbia un nome, un cognome e un nome dell'entità utente.
  • Se necessario, configurare l'autenticazione a più fattori (MFA).

Creare l'ID applicazione in Microsoft Entra ID

  1. Nella portale di Azure aprire Microsoft Entra ID.

  2. Selezionare Aggiungi > registrazione app.

    Screenshot dell'aggiunta di una nuova registrazione dell'app nella pagina Panoramica di Microsoft Entra ID.

  3. Nella pagina Registra un'applicazione :

    • In Nome digitare un nome per l'applicazione.
    • In Tipi di account supportati selezionare Account solo in questa directory organizzativa (solo Microsoft - tenant singolo).
    • In URI di reindirizzamento aggiungere un indirizzo IP o un nome host per il primo sensore in cui si vuole abilitare l'accesso SSO. Continuare ad aggiungere URI per gli altri sensori nel passaggio successivo, aggiungere gli URI del sensore.

    Nota

    L'aggiunta dell'URI in questa fase è necessaria per il funzionamento dell'accesso Single Sign-On.

    Screenshot della registrazione di un'applicazione in Microsoft Entra ID.

  4. Selezionare Registra. L'ID Microsoft Entra visualizza l'applicazione appena registrata.

Aggiungere gli URI del sensore

  1. Nella nuova applicazione selezionare Autenticazione.

  2. In URI di reindirizzamento, l'URI per il primo sensore aggiunto nel passaggio precedente viene visualizzato in URI di reindirizzamento. Per aggiungere il resto degli URI:

    1. Selezionare Aggiungi URI per aggiungere un'altra riga e digitare un INDIRIZZO IP o un nome host.

    2. Ripetere questo passaggio per il resto dei sensori connessi.

      Quando Microsoft Entra ID aggiunge correttamente gli URI, viene visualizzato un messaggio "L'URI di reindirizzamento è idoneo per il flusso del codice di autorizzazione con PKCE".

      Screenshot della configurazione degli URI per l'applicazione nella pagina Autenticazione ID Entra Di Microsoft.

  3. Seleziona Salva.

Concedere l'accesso all'applicazione

  1. Nella nuova applicazione selezionare Autorizzazioni API.

  2. Accanto a Aggiungi un'autorizzazione selezionare Concedi consenso amministratore per <Nome> directory.

    Screenshot della configurazione delle autorizzazioni API in Microsoft Entra ID.

Creare la configurazione dell'accesso Single Sign-On

  1. In Defender per IoT nella portale di Azure selezionare Siti e sensori>Impostazioni sensore.

  2. Nella pagina Impostazioni sensore selezionare + Aggiungi. Nella scheda Informazioni di base:

    1. Selezionare la propria sottoscrizione.

    2. Accanto a Tipo selezionare Single Sign-On.

    3. Accanto a Nome digitare un nome per il sito pertinente e selezionare Avanti.

      Screenshot della creazione di una nuova impostazione del sensore Single Sign-On in Defender per IoT.

  3. Nella scheda Impostazioni:

    1. Accanto a Nome applicazione selezionare l'ID dell'applicazione creata in Microsoft Entra ID.

    2. In Gestione autorizzazioni assegnare le autorizzazioni Amministrazione, analista della sicurezza e sola lettura ai gruppi di utenti pertinenti. È possibile selezionare più gruppi di utenti.

      Screenshot della configurazione delle autorizzazioni nelle impostazioni del sensore Defender per IoT.

    3. Seleziona Avanti.

    Nota

    Assicurarsi di aver aggiunto regole di autorizzazione nel firewall o nel proxy per gli endpoint specificati. È possibile accedere all'elenco degli endpoint necessari dalla pagina Siti e sensori.

  4. Nella scheda Applica selezionare i siti pertinenti.

    Screenshot della scheda Applica nelle impostazioni del sensore Defender per IoT.

    Facoltativamente, è possibile attivare Aggiungi selezione per zona/sensore specifico per applicare l'impostazione a zone e sensori specifici.

  5. Selezionare Avanti, esaminare la configurazione e selezionare Crea.

Accedere con SSO

Per testare l'accesso con SSO:

  1. Aprire Defender per IoT nel portale di Azure e selezionare Accesso SSO.

    Screenshot della schermata di accesso della console del sensore con SSO.

  2. Per il primo accesso, nella pagina Di accesso digitare le credenziali personali (indirizzo di posta elettronica e password aziendali).

    Screenshot della schermata Di accesso quando si accede a Defender per IoT nel portale di Azure tramite SSO.

Viene visualizzata la pagina Panoramica di Defender per IoT. ​ ​

Passaggi successivi

Per altre informazioni, vedi: