บทนำ
บทความนี้อธิบายวิธีการซิงค์ผู้ใช้จาก Azure Active Directory (Microsoft Entra ID) เข้าสู่ Sangfor Access Secure ผ่านการลงทะเบียน Application ใน Azure และให้สิทธิ์ Microsoft Graph API เพื่อให้ SASE สามารถดึงข้อมูลผู้ใช้และกลุ่มได้โดยตรงจากคลาวด์
ข้อกำหนดเบื้องต้น (Prerequisites)
- มีสิทธิ์ผู้ดูแลระบบบน Azure AD (Microsoft Entra ID) สำหรับสร้าง Enterprise Application
- มีสิทธิ์ผู้ดูแลระบบบน Sangfor Access Secure Console
- เตรียม Tenant ID, Application (Client) ID และ Client Secret จาก Azure
ขั้นตอนการตั้งค่า (Configuration Steps)
- เข้า Azure AD Console (Microsoft Entra Admin Center) ไปที่ Manage Microsoft Entra ID > View > Add > Enterprise application
- เลือก Create your own application ระบุชื่อ Application เลือก Integrate any other application you don't find in the gallery (Non-gallery) แล้วคลิก Create
- ไปที่ App registrations > All applications เลือก Application ที่สร้าง จดบันทึก Application (Client) ID และ Tenant ID
- สร้าง Client Secret ที่ Certificates & secrets และจดบันทึกค่า
- ไปที่ API permissions > Add a permission > Microsoft Graph > Application permissions ค้นหาและเพิ่ม User.Read.All
- ค้นหา group และเพิ่ม Group.Create, Group.Read.All, Group.ReadWrite.All
- ใน Delegated permissions ให้เพิ่ม User.Read.All
- คลิก Grant admin consent เพื่ออนุมัติสิทธิ์ทั้งหมด ตรวจสอบสถานะให้เป็น Granted
- กลับสู่ Sangfor Access Secure Console ไปที่ Platform Management > Identity Management > User Management > Departments คลิก Manage User Sources > Add User Source > Azure Active Directory
- ใน Basics กรอก Tenant ID, App ID และ App Secret ที่ได้จาก Azure
- กำหนด Account Mapping และ Attribute Mapping เช่น userPrincipalName ไปยัง Username, email ไปยัง Email
- กำหนด Sync Settings โดยเลือก Sync to Department และเปิด Sync Schedule แล้วคลิก OK
- คลิก Enable และ Sync ที่มุมขวาบนของ Details panel
การตรวจสอบ (Verification)
ตรวจสอบที่หน้า Departments ว่าผู้ใช้และโครงสร้างจาก Azure AD ถูกซิงค์เข้ามาเรียบร้อย และสามารถเปิด Push Changes ใน Event Callback เพื่อให้ Azure AD ส่ง update ทันทีเมื่อมีการเปลี่ยนแปลง
หมายเหตุ (Notes)
- การซิงค์จาก Azure AD ไม่จำเป็นต้องติดตั้ง IDaaS Connector เพราะใช้ Microsoft Graph API โดยตรง
- Client Secret มีอายุการใช้งาน ควรบันทึกวันหมดอายุและต่ออายุก่อนหมด
- หากเปิดใช้ Event Callback ทั้งสองฝั่ง Azure AD จะ push การเปลี่ยนแปลง contact ไปยัง Access Secure อัตโนมัติ
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น