Kurz: Integrace jednotného přihlašování (SSO) Microsoft Entra s pracovištěm podle meta

V tomto kurzu se dozvíte, jak integrovat pracoviště meta s Microsoft Entra ID. Když integrujete pracoviště podle meta s Microsoft Entra ID, můžete:

• Řízení v Microsoft Entra ID, který má přístup k pracovišti podle meta.
• Povolte uživatelům, aby se k pracovišti automaticky přihlásili pomocí svých účtů Microsoft Entra.
• Spravujte účty v jednom centrálním umístění.

Předpoklady

Abyste mohli začít, potřebujete následující položky:

• Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
• Pracoviště podle předplatného s povoleným jednotným přihlašováním (SSO).

Poznámka:

Meta má dva produkty, Workplace Standard (zdarma) a Workplace Premium (placené). Každý tenant Workplace Premium může nakonfigurovat integraci SCIM a jednotného přihlašování bez dalších dopadů na náklady nebo licence. Jednotné přihlašování a SCIM nejsou k dispozici v instancích úrovně Workplace Standard.

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

• Pracoviště podle meta podporuje jednotné přihlašování iniciované službou SP .
• Pracoviště podle meta podporuje zřizování za běhu.
• Pracoviště podle meta podporuje automatické zřizování uživatelů.
• Pracoviště podle metamobilní aplikace je teď možné nakonfigurovat s ID Microsoft Entra pro povolení jednotného přihlašování. V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

Přidání pracoviště podle meta z galerie

Pokud chcete nakonfigurovat integraci pracoviště podle meta do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat pracoviště podle metadat z galerie.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
3. Do vyhledávacího pole v části Přidat z galerie zadejte Do vyhledávacího pole pracoviště podle metadat.
4. Na panelu výsledků vyberte Pracoviště podle metadat a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro pracoviště podle meta

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s pracovištěm pomocí meta pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem na pracovišti podle meta.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s pracovištěm podle meta, proveďte následující kroky:

1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
   1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
   2. Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
2. Nakonfigurujte pracoviště pomocí jednotného přihlašování pomocí metasso – nakonfigurujte nastavení jednotného přihlašování na straně aplikace.
   1. Vytvořit pracoviště podle uživatele metatestu – aby měl protějšek B.Simon in Workplace by Meta, který je propojený s reprezentací uživatele Microsoft Entra.
3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte na stránku integrace podnikových aplikací Identita>aplikací>>podle meta aplikací, vyhledejte oddíl Spravovat a vyberte Jednotné přihlašování.

3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

4. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

   

5. V části Základní konfigurace SAML zadejte hodnoty pro následující pole:

   a. Do textového pole Sign on URL (found in WorkPlace as the Recipient URL) zadejte adresu URL pomocí následujícího vzoru: https://.workplace.com/work/saml.php

   b. Do textového pole Identifikátor (ID entity) (nalezené v WorkPlace jako adresa URL cílové skupiny) zadejte adresu URL pomocí následujícího vzoru: https://www.workplace.com/company/

   c. Do textového pole Adresa URL odpovědi (nalezená v WorkPlace jako služba Assertion Consumer Service) zadejte adresu URL pomocí následujícího vzoru: https://.workplace.com/work/saml.php

   Poznámka:

   Tyto hodnoty nejsou skutečné. Aktualizujte tyto hodnoty skutečným přihlašovacím adresou URL, identifikátorem a adresou URL odpovědi. Na stránce Ověřování na řídicím panelu společnosti na pracovišti najdete správné hodnoty pro komunitu pracoviště. To je vysvětlené dále v tomto kurzu.

6. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte certifikát (Base64) a vyberte stáhnout certifikát a uložit ho do počítače.

   

7. V části Nastavit pracoviště podle metadat zkopírujte odpovídající adresy URL podle vašeho požadavku.

   

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
2. Přejděte k identitě>Uživatelé>Všichni uživatelé.
3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
4. Ve vlastnostech uživatele postupujte takto:
   1. Do pole Zobrazovaný název zadejte B.Simon.
   2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například, B.Simon@contoso.com.
   3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
   4. Vyberte Zkontrolovat a vytvořit.
5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k pracovišti podle meta.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte na Podnikové aplikace>Identity>Applications>Workplace by Meta.
3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
   1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
   2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
   3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace pracoviště pomocí jednotného přihlašování k metadatu

1. V jiném okně webového prohlížeče se přihlaste k pracovišti podle webu společnosti Meta jako správce.

   Poznámka:

   V rámci procesu ověřování SAML může pracoviště využívat řetězce dotazů o velikosti až 2,5 kilobajtů, aby bylo možné předat parametry do Microsoft Entra ID.

2. Přejděte na kartu ověřování zabezpečení> panelu>Správa.

   

   a. Zaškrtněte možnost jednotného přihlašování (SSO).

   b. Vyberte jednotné přihlašování jako výchozí pro nové uživatele.

   c. Klikněte na +Přidat nového zprostředkovatele jednotného přihlašování.

   Poznámka:

   Nezapomeňte také zaškrtnout políčko Pro přihlášení pomocí hesla. Správa s může tuto možnost potřebovat pro přihlášení při přechodu certifikátu, aby se přestaly zamknout.

3. V automaticky otevíraných oknech nastavení jednotného přihlašování proveďte následující kroky:

   

   a. Do názvu zprostředkovatele jednotného přihlašování zadejte název instance jednotného přihlašování, jako je Azureadsso.

   b. Do textového pole adresy URL SAML vložte hodnotu přihlašovací adresy URL.

   c. Do textového pole adresy URL vystavitele SAML vložte hodnotu identifikátoru Microsoft Entra.

   d. Otevřete stažený certifikát (Base64) do Poznámkový blok, zkopírujte obsah do schránky a vložte ho do textového pole certifikátu SAML.

   e. Zkopírujte adresu URL cílové skupiny pro vaši instanci a vložte ji do textového pole Identifikátor (ID entity) v části Základní konfigurace SAML.

   f. Zkopírujte adresu URL příjemce pro vaši instanci a vložte ji do textového pole Přihlásit se k adrese URL v části Základní konfigurace SAML.

   g. Zkopírujte adresu URL služby ACS (Assertion Consumer Service) pro vaši instanci a vložte ji do textového pole Adresa URL odpovědi v části Základní konfigurace SAML.

   h. Posuňte se do dolní části oddílu a klikněte na tlačítko Test jednotného přihlašování . Výsledkem je zobrazení automaticky otevíraných oken se zobrazenou přihlašovací stránkou Microsoft Entra. Zadejte svoje přihlašovací údaje jako obvykle, abyste je mohli ověřit.

   Řešení potíží: Ujistěte se, že e-mailová adresa vrácená z ID Microsoft Entra je stejná jako účet pracoviště, pomocí kterého jste přihlášení.

   i. Po úspěšném dokončení testu se posuňte do dolní části stránky a klikněte na tlačítko Uložit .

   j. Všichni uživatelé, kteří používají pracoviště, se teď zobrazí přihlašovací stránka Microsoft Entra pro ověřování.

4. Přesměrování odhlášení SAML (volitelné) -

   Volitelně můžete nakonfigurovat adresu URL odhlášení SAML, která se dá použít k nasměrování na stránku odhlášení z Microsoft Entra ID. Pokud je toto nastavení povolené a nakonfigurované, uživatel už nebude přesměrován na stránku odhlášení pracovního místa. Místo toho se uživatel přesměruje na adresu URL přidanou v nastavení přesměrování odhlášení SAML.

Konfigurace frekvence opětovného ověření

Pracoviště můžete nakonfigurovat tak, aby se zobrazila výzva ke kontrole SAML každý den, tři dny, týden, dva týdny, měsíc nebo nikdy.

Poznámka:

Minimální hodnota kontroly SAML u mobilních aplikací je nastavená na jeden týden.

Resetování SAML můžete také vynutit pro všechny uživatele pomocí tlačítka: Vyžadovat ověřování SAML pro všechny uživatele.

Vytvoření pracoviště podle uživatele metatestování

V této části se uživatel S názvem B.Simon vytvoří na pracovišti pomocí meta. Pracoviště podle meta podporuje zřizování za běhu, které je ve výchozím nastavení povolené.

V této části není žádná akce. Pokud uživatel na pracovišti neexistuje podle meta, vytvoří se při pokusu o přístup k pracovišti pomocí meta nový.

Poznámka:

Pokud potřebujete uživatele vytvořit ručně, obraťte se na pracoviště týmem podpory meta clientů.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

• Klikněte na Otestovat tuto aplikaci. Tím se přesměruje na pracoviště pomocí adresy URL pro přihlášení meta, kde můžete zahájit tok přihlášení.

• Přejděte přímo na pracoviště pomocí adresy URL pro přihlášení meta a spusťte tok přihlášení odtud.

• Můžete použít Microsoft Moje aplikace. Když kliknete na dlaždici Pracoviště podle metadat v Moje aplikace, přesměruje se na pracoviště pomocí adresy URL pro přihlašování meta. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Testování jednotného přihlašování pro pracoviště podle meta (mobilní verze)

1. Otevřete pracoviště podle aplikace Meta Mobile. Na přihlašovací stránce klikněte na PŘIHLÁSIT.

   

2. Zadejte svůj firemní e-mail a klikněte na POKRAČOVAT.

   

3. Klikněte jen jednou.

   

4. Klikněte na Povolit.

   

5. Po úspěšném přihlášení se zobrazí domovská stránka aplikace.

   

Další kroky

Jakmile nakonfigurujete pracoviště podle meta, můžete vynutit řízení relace, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.