Esempio di federazione dell'identità con Microsoft EntraID

Ecco un esempio di configurazione del repository di autenticazione di un'organizzazione Cloud Temple con Microsoft EntraID (Azure Active Directory).

La configurazione del tuo repository Microsoft a livello di organizzazione Cloud Temple semplifica l'autenticazione degli utenti sulla Console. Ciò permette di evitare la moltiplicazione dei fattori di autenticazione e di ridurre la superficie di attacco.

Se gli utenti sono autenticati con il loro account Microsoft, l'autenticazione ai servizi della Console avverrà in modo trasparente.

Di seguito sono riportati i diversi passaggi necessari per completare questa configurazione:

Step 1: SSO configuration on Microsoft Azure side

Registration of a new Azure application (Azure portal)

To create the app registration, go to the Microsoft Azure portal, then navigate to Microsoft Entra ID, and select "Add > App Registration".

In the "Register an application" page, please specify:

- __Name__ : Enter "__SHIVA__"
- __Supported account types__ : __Accounts in this organizational directory only__ (__<Your Azure Tenant>__ only - Single tenant)
- __Redirect URL__ : Do not configure this field at this stage. The URL will be provided by Cloud Temple support and should be added to this field later.

The Application (client) ID and Directory (tenant) ID are the key details to provide in your support request to the Cloud Temple team to enable Microsoft Entra ID authentication for your organization.

Definizione di un segreto

Nella scheda "Certificates & secrets", creare un nuovo segreto.

Nota: la data di scadenza del segreto non può essere superiore a 24 mesi, anche con una data di scadenza personalizzata.

Il segreto generato dovrà essere fornito nella richiesta di supporto:

Definizione del token EntraID

Il token EntraID è necessario per la configurazione dell'autenticazione.

Nel menu "Token Configuration", fare clic su "Add optional claim". Selezionare "ID" come tipo di token e selezionare la voce "email".

L'interfaccia Azure vi chiederà se desiderate aggiungere un'autorizzazione che vi permetterà di leggere l'email di un utente (Microsoft Graph email), selezionare la casella e confermare.

Successivamente, recarsi su "API permissions" e fare clic su "Grant admin consent for Cloud Temple".

Additional security configurations (optional but recommended)

By default, Microsoft Entra ID, as configured, will allow any user from your Azure tenant to sign in to your Cloud Temple organization.
It is possible to restrict access at the "App Registration" level, allowing only a specific list of users or groups to sign in to your Cloud Temple organization.

Follow these steps:

Accedere alle impostazioni aggiuntive "App Registration"

Opzione 1

Vai sulla scheda "Overview" e fai clic sul nome dell'applicazione (il collegamento situato dopo "Managed application").

Opzione 2

Passare alle "Applicazioni aziendali" e cercare utilizzando il nome dell'applicazione creata in precedenza.

Authentication restriction to users assigned to the application

Indicate here the need for user assignment to the application to allow authentication:

Assegnazione di utenti e gruppi all'applicazione

Solo gli utenti e i gruppi assegnati all'applicazione potranno accedere alla vostra organizzazione Cloud Temple tramite la registrazione dell'applicazione.

Infine, dovrete applicare l'assegnazione facendo clic su "Assegna".

A partire da ora, gli utenti assegnati all'applicazione potranno accedere alla vostra organizzazione Cloud Temple tramite l'applicazione creata.

Step 2: Request your organization's SSO (Single Sign-On) configuration

This configuration step is performed at the organization level by the Cloud Temple team.

To proceed, please submit a support request in the console indicating your intention to set up Microsoft Entra ID SSO.

Please include the following information in your support request:

Name of your Organization
Name of a contact person, along with their email address and phone number, to finalize the configuration
Application ID (unique identifier associated with the previously created application)
Directory ID (corresponds to the Azure AD tenant ID of your Azure environment)
Secret (secret associated with the previously created application)

Once the configuration is completed on the Console side, the designated contact will be notified.

Step 3: Finalization of the configuration

On the App Registration home page, in the Overview menu, click on "Add a Redirect URL".

Next, go to "Add a platform" and add one of type Web.

Enter the "Redirect URL" provided by the Applications Product Team.

You should see this result once the "Redirect URL" has been added.

The configuration of the "Redirect URL" may take a few minutes to take effect.
Once all steps are completed, you can authenticate to your Cloud Temple organization via your SSO.

Step 1: SSO configuration on Microsoft Azure side​

Registration of a new Azure application (Azure portal)​

Definizione di un segreto​

Definizione del token EntraID​

Additional security configurations (optional but recommended)​

Accedere alle impostazioni aggiuntive "App Registration"​

Opzione 1​

Opzione 2​

Authentication restriction to users assigned to the application​

Assegnazione di utenti e gruppi all'applicazione​

Step 2: Request your organization's SSO (Single Sign-On) configuration​

Step 3: Finalization of the configuration​