Samouczek: integracja aplikacji Microsoft Entra SSO z usługą Cloud Academy
Z tego samouczka dowiesz się, jak zintegrować platformę Cloud Academy z usługą Microsoft Entra ID. Po zintegrowaniu platformy Cloud Academy z usługą Microsoft Entra ID można wykonywać następujące czynności:
- Użyj identyfikatora Entra firmy Microsoft, aby kontrolować, kto może uzyskiwać dostęp do usługi Cloud Academy.
- Zezwalaj swoim użytkownikom na automatyczne logowanie do usługi Cloud Academy przy użyciu kont Microsoft Entra.
- Zarządzaj kontami w jednej centralnej lokalizacji: w witrynie Azure Portal.
Wymagania wstępne
Do rozpoczęcia pracy potrzebne są następujące elementy:
- Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
- Subskrypcja usługi Cloud Academy z włączonym logowaniem jednokrotnym.
Opis samouczka
W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.
- Aplikacja Cloud Academy obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.
- Aplikacja Cloud Academy obsługuje aprowizowanie użytkowników just in time .
- Usługa Cloud Academy obsługuje automatyczną aprowizację użytkowników.
Dodawanie aplikacji Cloud Academy z galerii
Aby skonfigurować integrację aplikacji Cloud Academy z aplikacją Microsoft Entra ID, musisz dodać aplikację Cloud Academy z galerii do swojej listy zarządzanych aplikacji SaaS:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
- W sekcji Dodawanie z galerii wprowadź ciąg Cloud Academy w polu wyszukiwania.
- Wybierz pozycję Cloud Academy na panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.
Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role i przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.
Konfigurowanie i testowanie aplikacji Microsoft Entra SSO for Cloud Academy
Skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w usłudze Cloud Academy przy użyciu użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i odpowiednim użytkownikiem w usłudze Cloud Academy.
Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft w usłudze Cloud Academy, wykonaj następujące ogólne kroki:
- Skonfiguruj logowanie jednokrotne microsoft Entra, aby umożliwić użytkownikom korzystanie z tej funkcji.
- Tworzenie użytkownika testowego aplikacji Microsoft Entra w celu przetestowania logowania jednokrotnego firmy Microsoft Entra.
- Udziel użytkownikowi testowemu dostępu, aby umożliwić użytkownikowi korzystanie z logowania jednokrotnego firmy Microsoft Entra.
- Skonfiguruj logowanie jednokrotne dla aplikacji Cloud Academy .
- Tworzenie użytkownika testowego platformy Cloud Academy jako odpowiednika reprezentacji użytkownika w usłudze Microsoft Entra.
- Przetestuj logowanie jednokrotne , aby sprawdzić, czy konfiguracja działa.
Konfigurowanie logowania jednokrotnego firmy Microsoft
Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft w witrynie Azure Portal:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do strony integracji aplikacji>Identity>Applications>Dla przedsiębiorstw Cloud Academy w sekcji Zarządzanie wybierz pozycję Logowanie jednokrotne.
Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz przycisk ołówka dla pozycji Podstawowa konfiguracja protokołu SAML, aby edytować ustawienia:
W sekcji Podstawowa konfiguracja protokołu SAML zaktualizuj pole tekstowe Identyfikator , wpisz następujące adresy URL i kontynuuj:
Identyfikator urn:federation:cloudacademy
W sekcji Podstawowa konfiguracja protokołu SAML zaktualizuj pole tekstowe Adres URL odpowiedzi, wpisz jeden z następujących adresów URL i kontynuuj:
Adres URL odpowiedzi https://cloudacademy.com/labs/social/complete/saml/
https://app.qa.com/labs/social/complete/saml/
W sekcji Podstawowa konfiguracja protokołu SAML zaktualizuj pole tekstowe Adres URL logowania, wpisz jeden z następujących adresów URL i zapisz go:
Adres URL logowania https://cloudacademy.com/login/enterprise/
https://app.qa.com/login/enterprise/
Wybierz przycisk ołówka dla certyfikatu podpisywania SAML, aby edytować ustawienia:
Pobierz certyfikat PEM:
W sekcji Konfigurowanie aplikacji Cloud Academy skopiuj adres URL logowania:
Tworzenie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
- We właściwościach użytkownika wykonaj następujące kroki:
- W polu Nazwa wyświetlana wprowadź wartość
B.Simon
. - W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład
B.Simon@contoso.com
. - Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
- Wybierz pozycję Przejrzyj i utwórz.
- W polu Nazwa wyświetlana wprowadź wartość
- Wybierz pozycję Utwórz.
Udzielanie dostępu użytkownikowi testowemu
W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego platformy Azure, udzielając temu użytkownikowi dostępu do aplikacji Cloud Academy.
- Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
- Na liście aplikacji wybierz pozycję Cloud Academy.
- Na stronie przeglądu aplikacji w sekcji Zarządzanie wybierz pozycję Użytkownicy i grupy:
- Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania :
- W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon na liście Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
- Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz ją wybrać z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
- W oknie dialogowym Dodawanie przypisania wybierz pozycję Przypisz.
Konfigurowanie logowania jednokrotnego dla platformy Cloud Academy
W innym oknie przeglądarki zaloguj się do firmowej witryny cloud Academy jako administrator.
Na stronie głównej kliknij ikonę Zespół integracji platformy Azure, a następnie wybierz pozycję Ustawienia w menu po lewej stronie.
Na karcie INTEGRATIONS (INTEGRACJA) wybierz kartę SSO (Logowanie jednokrotne).
Wybierz pozycję Rozpocznij konfigurowanie logowania jednokrotnego.
Na stronie Ustawienia ogólne wykonaj następujące kroki:
W polu Adres URL logowania jednokrotnego (lokalizacja) wklej skopiowaną wartość adresu URL logowania w kroku 9 sekcji Konfigurowanie logowania jednokrotnego firmy Microsoft.
Otwórz pobrany certyfikat Base64 w Notatniku. Wklej jego zawartość w polu Certyfikat .
Wykonaj następujące kroki na poniższej stronie:
W sekcji Mapowanie atrybutów JĘZYKA SAML wypełnij wymagane pola wartościami atrybutów źródłowych:
http://schemas.microsoft.com/identity/claims/objectidentifier
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
W sekcji Ustawienia zabezpieczeń zaznacz pole wyboru Żądania uwierzytelniania podpisane? aby ustawić tę wartość na True.
W sekcji Dodatkowe ustawienia (opcjonalne) wypełnij pole Adres URL wylogowywania skopiowaną wartością adresu URL wylogowywania w kroku 9 sekcji Konfigurowanie logowania jednokrotnego firmy Microsoft Entra.
Wybierz pozycję Zapisz i przetestuj.
Następnie zostanie wyświetlone okno dialogowe z informacjami o dostawcy usług. Pobierz plik XML:
Teraz, gdy masz plik XML dostawcy usług, wróć do utworzonej aplikacji. W sekcji Logowanie jednokrotne przekaż plik metadanych:
Po zaktualizowaniu metadanych dostawcy usług możesz wrócić do panelu logowania jednokrotnego w witrynie firmy Cloud Academy i przejść do testu i aktywacji. W oknie dialogowym dostawcy usług wybierz pozycję Kontynuuj:
Wybierz pozycję Testuj połączenie logowania jednokrotnego, aby uruchomić przepływ testu:
Uwaga
Jeśli zalogowano się do usługi Cloud Academy przy użyciu utworzonego konta użytkownika testowego, przejdź do przepływu testowego. W przeciwnym razie zamknij okno dialogowe, przewiń w górę do pozycji Ustawienia ogólne, skopiuj i wklej adres URL poddomeny na prywatnej karcie przeglądarki lub incognito, a następnie zaloguj się jako użytkownik testowy. Jeśli logowanie zakończy się pomyślnie, możesz zamknąć kartę przeglądarki i wybrać pozycję Zapisz i przetestuj. Karta przeglądarki otworzy okno dialogowe dostawcy usług. Wybierz pozycję Kontynuuj, a następnie ponownie wybierz pozycję Testuj połączenie logowania jednokrotnego. Na koniec wybierz pozycję Test zakończył się pomyślnie , ponieważ logowanie zostało już przetestowane przy użyciu karty prywatnej lub incognito.
Przejdź do następnego kroku.
Jeśli logowanie zakończy się pomyślnie, możesz aktywować integrację logowania jednokrotnego dla całej organizacji:
Uwaga
Aby uzyskać więcej informacji na temat konfigurowania aplikacji Cloud Academy, zobacz Konfigurowanie logowania jednokrotnego.
Tworzenie użytkownika testowego aplikacji Cloud Academy
W tej sekcji w usłudze Cloud Academy jest tworzony użytkownik o nazwie B.Simon. Usługa Cloud Academy obsługuje aprowizację użytkowników typu just in time, która jest domyślnie włączona. W tej sekcji nie ma elementu akcji. Jeśli użytkownik jeszcze nie istnieje w Usłudze Cloud Academy, zostanie utworzony po uwierzytelnieniu.
Usługa Cloud Academy obsługuje również automatyczną aprowizację użytkowników. Aby uzyskać więcej informacji, zobacz samouczek aprowizacji logowania jednokrotnego w usłudze Cloud Academy.
Testowanie logowania jednokrotnego
W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft w usłudze Entra przy użyciu jednej z następujących opcji:
W witrynie Azure Portal wybierz pozycję Przetestuj tę aplikację. Nastąpi przekierowanie do adresu URL logowania w akademii chmury i możesz zainicjować przepływ logowania.
Przejdź bezpośrednio do adresu URL logowania aplikacji Cloud Academy i zainicjuj przepływ logowania z tego miejsca.
Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Cloud Academy w portalu Moje aplikacje nastąpi przekierowanie do adresu URL logowania w akademii chmury. Aby uzyskać więcej informacji na temat portalu Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.
Następne kroki
Po skonfigurowaniu usługi Cloud Academy możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Cloud App Security.