调配用户和组以通过Entra ID保护访问
简介
本文档介绍如何将用户和组从Entra ID调配到Cisco Secure Access。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科安全访问
- Entra ID
使用的组件
本文档不限于特定的软件和硬件版本。
- 管理员对思科安全访问控制面板的访问权限
- 对Entra ID控制面板的管理员访问权限
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
Cisco Secure Access支持从Microsoft Entra ID(以前称为Azure Active Directory)调配用户和组。
此调配使Secure Access能够维护授权以下用户的目录:
- 注册零信任访问(ZTA)。
- 连接到VPNaaS。
- 将基于身份的策略应用于Umbrella漫游用户。
注意:本文档专门介绍如何通过Entra ID调配用户和组。为ZTA注册、VPNaaS身份验证或特定Umbrella漫游设置配置Entra ID或其他身份提供程序(IdP)不属于本指南的范围。
配置
配置思科安全访问
要开始调配流程,您必须首先在Cisco Secure Access控制面板中配置目录集成。此步骤生成与Microsoft Entra ID建立安全连接所需的必要凭证和配置参数。
- 登录思科安全访问控制面板.
登录到CSA - 导航到Connect > Users, Groups and Endpoint Devices。
用户和组 - 单击Configuration management。
配置管理 - 单击集成目录。
Integrate Directory - 在Provision Method下,单击Identity Provider。
- IdP目录名称:Entra ID集成。
- 选择身份提供程序:Entra ID(以前称为Azure)。
- 单击 Next。
目录配置
- 单击Generate token。保存生成的令牌和调配URL,然后单击Done。
生成令牌
在Microsoft Entra ID中配置调配
在Cisco Secure Access控制面板中生成凭证后,必须在Microsoft Entra ID租户中配置调配设置,以启用用户和组的同步。
- 登录到Entra ID。
- 导航到企业应用>新应用.
新企业应用 - 在Entra App Gallery中查找Cisco User Management for Secure Access,然后单击Create。
New App - 导航到用户和组>添加用户/组。
Entra用户和组 - 将要调配的用户/组分配到Cisco Secure Access,然后单击Select,然后单击Assign。
Assign Users and Groups - 导航至调配。
Entra ID调配 - 单击Overview,然后单击New Configuration。
新建配置 - 输入从安全访问配置的步骤#6保存的租户URL和加密令牌。单击Test Configuration,然后单击Create。
创建配置后,您将进入配置详细信息页面以管理高级设置。
测试集成 - 导航到概述>开始调配。
开始调配
注意:如果初始调配周期无法调配用户/组,请单击Restart provisioning。此操作会强制Entra ID再次尝试用户和组的第一次同步。
验证
思科安全访问中的真实性
- 导航到Connect > Users, Groups and Endpoint Devices。
Users and Groups in CSA - 单击Users。
验证CSA中的用户 - 单击Groups and Organizational Units。
Verify Groups in CSA
在Entra ID中验证
- 导航到企业应用,然后单击Cisco User Management for Secure Access。
在Entra中验证
- 点击调配。
Verify in Entra ID - 单击Overview。
Verify Provisioning in Entra
- 点击调配日志。
Provisioning Logs
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
11-May-2026
|
初始版本 |
反馈