Udostępnij za pośrednictwem

Samouczek: integracja logowania jednokrotnego (SSO) firmy Microsoft z aplikacją Workplace by Meta

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować aplikację Workplace by Meta z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji Workplace by Meta z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Workplace by Meta.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Workplace by Meta przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji Workplace by Meta z obsługą logowania jednokrotnego.

Uwaga

Meta ma dwa produkty, Workplace Standard (wersja bezpłatna) i Workplace Premium (płatne). W przypadku dowolnej dzierżawy Workplace Premium można skonfigurować integrację ze standardem SCIM i logowaniem jednokrotnym bez żadnych dodatkowych kosztów czy licencji. Logowanie jednokrotne i standard SCIM nie są dostępne w wystąpieniach Workplace Standard.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

  • Aplikacja Workplace by Meta obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.
  • Aplikacja Workplace by Meta obsługuje aprowizację typu just in time.
  • Aplikacja Workplace by Meta obsługuje automatyczną aprowizację użytkowników.
  • Aplikację Workplace by Meta Mobile można teraz skonfigurować przy użyciu identyfikatora Entra firmy Microsoft na potrzeby włączania logowania jednokrotnego. W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

Aby skonfigurować integrację aplikacji Workplace by Meta z identyfikatorem Entra firmy Microsoft, należy dodać aplikację Workplace by Meta z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz Workplace by Meta w polu wyszukiwania.
  4. Wybierz pozycję Workplace by Meta z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego microsoft Entra dla aplikacji Workplace by Meta

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO z aplikacją Workplace by Meta przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji Workplace by Meta.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z aplikacją Workplace by Meta, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
    2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
  2. Konfigurowanie aplikacji Workplace by Meta SSO — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Tworzenie użytkownika testowego aplikacji Workplace by Meta — aby mieć w aplikacji Workplace by Meta odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do strony integracji aplikacji dla przedsiębiorstw>Identity>Applications>Workplace by Meta, znajdź sekcję Zarządzanie i wybierz pozycję Logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Edit Basic SAML Configuration

  5. W sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

    a. W polu tekstowym Adres URL logowania (znajdującym się w aplikacji WorkPlace jako adres URL odbiorcy) wpisz adres URL, korzystając z następującego wzorca: https://.workplace.com/work/saml.php

    b. W polu tekstowym Identyfikator (identyfikator jednostki) (znaleziony w aplikacji WorkPlace jako adres URL odbiorców) wpisz adres URL, korzystając z następującego wzorca: https://www.workplace.com/company/

    c. W polu tekstowym Adres URL odpowiedzi (znaleziony w aplikacji WorkPlace jako usługa Assertion Consumer Service) wpisz adres URL, korzystając z następującego wzorca: https://.workplace.com/work/saml.php

    Uwaga

    Te wartości nie są rzeczywiste. Zastąp je rzeczywistymi wartościami adresu URL logowania, identyfikatora i adresu URL odpowiedzi. Zobacz stronę Uwierzytelnianie pulpitu nawigacyjnego firmy w miejscu pracy, aby uzyskać poprawne wartości dla społeczności w miejscu pracy. W dalszej części tego samouczka wyjaśniono to.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź pozycję Certyfikat (Base64) i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    The Certificate download link

  7. W sekcji Konfigurowanie aplikacji Workplace by Meta skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Copy configuration URLs

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji Workplace by Meta.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do obszaru>Identity>Applications Enterprise Applications>Workplace by Meta.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie aplikacji Workplace by Meta SSO

  1. W innym oknie przeglądarki internetowej zaloguj się do witryny firmowej Workplace by Meta jako administrator

    Uwaga

    W ramach procesu uwierzytelniania SAML miejsce pracy może korzystać z ciągów zapytania o rozmiarze do 2,5 kilobajtów w celu przekazania parametrów do identyfikatora Entra firmy Microsoft.

  2. Przejdź do karty Uwierzytelnianie zabezpieczeń>panelu>Administracja.

    Admin Panel

    a. Sprawdź opcję Logowanie jednokrotne(SSO).

    b. Wybierz opcję Logowanie jednokrotne jako domyślne dla nowych użytkowników.

    c. Kliknij pozycję +Dodaj nowego dostawcę logowania jednokrotnego.

    Uwaga

    Upewnij się, że zaznaczono również pole wyboru Logowanie przy użyciu hasła. Administracja może być potrzebna ta opcja logowania podczas przerzucania certyfikatu, aby zatrzymać się na zablokowaniu.

  3. W oknie podręcznym Konfiguracja logowania jednokrotnego (SSO) wykonaj następujące kroki:

    Authentication Tab

    a. W polu Nazwa dostawcy logowania jednokrotnego wprowadź nazwę wystąpienia logowania jednokrotnego, taką jak Azureadsso.

    b. W polu tekstowym SAML URL (Adres URL protokołu SAML) wklej wartość adresu URL logowania.

    c. W polu tekstowym SAML Issuer URL (Adres URL wystawcy SAML) wklej wartość identyfikatora entra firmy Microsoft.

    d. Otwórz pobrany certyfikat (Base64) do Notatnik, skopiuj jego zawartość do schowka, a następnie wklej ją w polu tekstowym Certyfikat SAML.

    e. Skopiuj adres URL odbiorców wystąpienia i wklej go w polu tekstowym Identyfikator (identyfikator jednostki) w sekcji Podstawowa konfiguracja protokołu SAML.

    f. Skopiuj adres URL odbiorcy dla wystąpienia i wklej go w polu tekstowym Adres URL logowania w sekcji Podstawowa konfiguracja protokołu SAML.

    g. Skopiuj adres URL usługi ACS (Assertion Consumer Service) dla wystąpienia i wklej go w polu tekstowym Adres URL odpowiedzi w sekcji Podstawowa konfiguracja protokołu SAML.

    h. Przewiń w dół do końca sekcji i kliknij przycisk Testuj logowanie jednokrotne. Spowoduje to wyświetlenie wyskakującego okna z wyświetloną stroną logowania firmy Microsoft Entra. Wprowadź swoje poświadczenia jak zwykle w celu uwierzytelnienia.

    Rozwiązywanie problemów: upewnij się, że adres e-mail zwracany z powrotem z identyfikatora Entra firmy Microsoft jest taki sam jak konto w miejscu pracy, za pomocą którego się zalogowano.

    i. Po pomyślnym zakończeniu testu przewiń w dół do końca strony i kliknij przycisk Zapisz.

    j. Wszyscy użytkownicy korzystający z aplikacji Workplace będą teraz prezentowani na stronie logowania firmy Microsoft Entra na potrzeby uwierzytelniania.

  4. Przekierowanie po wylogowaniu SAML (opcjonalnie) -

    Opcjonalnie możesz skonfigurować adres URL wylogowywania SAML, który może służyć do wskazywania na stronie wylogowywania microsoft Entra ID. Gdy to ustawienie jest włączone i skonfigurowane, użytkownik nie będzie przekierowywany do strony wylogowywania aplikacji Workplace. Zamiast tego użytkownik zostanie przekierowany do adresu URL dodanego w ustawieniu przekierowania wylogowywania SAML.

Konfigurowanie częstotliwości ponownego uwierzytelniania

Możesz skonfigurować aplikację Workplace, aby wyświetlała monit o sprawdzenie protokołu SAML codziennie, co tydzień, co 2 tygodnie, co miesiąc lub aby nie wyświetlała go wcale.

Uwaga

Minimalna wartość sprawdzania protokołu SAML w przypadku aplikacji mobilnych to 1 tydzień.

Możesz również wymusić zresetowanie protokołu SAML dla wszystkich użytkowników przy użyciu przycisku: Wymagaj teraz uwierzytelniania SAML dla wszystkich użytkowników.

Tworzenie użytkownika testowego aplikacji Workplace by Meta

W tej sekcji w aplikacji Workplace by Meta jest tworzony użytkownik o nazwie B.Simon. Aplikacja Workplace by Meta obsługuje aprowizację typu just in time, która jest domyślnie włączona.

W tej sekcji nie musisz niczego robić. Jeśli użytkownik nie istnieje w aplikacji Workplace by Meta, zostanie utworzony podczas próby uzyskania dostępu do aplikacji Workplace by Meta.

Uwaga

Jeśli musisz ręcznie utworzyć użytkownika, skontaktuj się z zespołem pomocy technicznej aplikacji Meta Client aplikacji Workplace by Meta.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania meta miejsca pracy, w którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania meta aplikacji Workplace by i zainicjuj przepływ logowania z tego miejsca.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Workplace by Meta w Moje aplikacje nastąpi przekierowanie do adresu URL logowania meta aplikacji Workplace by. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Testowanie logowania jednokrotnego dla aplikacji Workplace by Meta (dla urządzeń przenośnych)

  1. Otwórz aplikację Workplace by Meta Mobile. Na stronie logowania kliknij pozycję ZALOGUJ.

    The sign in

  2. Wprowadź firmowy adres e-mail i kliknij przycisk KONTYNUUJ.

    The email

  3. Kliknij pozycję JUST ONCE (TYLKO RAZ).

    The once

  4. Kliknij przycisk Zezwalaj.

    The Allow

  5. Na koniec po pomyślnym zalogowaniu zostanie wyświetlona strona główna aplikacji.

    The Home page

Następne kroki

Po skonfigurowaniu aplikacji Workplace by Meta możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.