Поделиться через

Руководство по интеграции единого входа Microsoft Entra с Cloud Academy

  • Статья

В этом руководстве описано, как интегрировать Cloud Academy с идентификатором Microsoft Entra ID. Интеграция Cloud Academy с идентификатором Microsoft Entra ID позволяет:

  • Используйте идентификатор Microsoft Entra для управления доступом к Cloud Academy.
  • Включите автоматический вход пользователей в Cloud Academy с помощью учетных записей Microsoft Entra.
  • Централизованное управление учетными записями через портал Azure.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Подписка на приложение Cloud Academy с поддержкой единого входа.

Описание учебника

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Приложение Cloud Academy поддерживает единый вход, инициированный поставщиком услуг.
  • Приложение Cloud Academy поддерживает JIT-подготовку пользователей.
  • Приложение Cloud Academy поддерживает автоматическую подготовку пользователей.

Чтобы настроить интеграцию Cloud Academy с идентификатором Microsoft Entra ID, необходимо добавить Cloud Academy из коллекции в список управляемых приложений SaaS:

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите Cloud Academy.
  4. Выберите Cloud Academy в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и выполнить настройку единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Cloud Academy

Вы настроите и проверьте единый вход Microsoft Entra в Cloud Academy с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Cloud Academy.

Чтобы настроить и проверить единый вход Microsoft Entra в Cloud Academy, выполните следующие высокоуровневые действия:

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra.
    2. Предоставьте пользователю-тесту доступ, чтобы разрешить пользователю использовать единый вход Microsoft Entra.
  2. Настройка единого входа для приложения Cloud Academy на стороне приложения.
    1. Создайте тестового пользователя Cloud Academy в качестве аналога представления Microsoft Entra пользователя.
  3. Проверка единого входа необходима, чтобы убедиться в корректной работе конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra в портал Azure:

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите на страницу интеграции приложений>Identity>Applications>Enterprise Cloud Academy в разделе "Управление" выберите единый вход.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить эти параметры:

    Screenshot that shows the pencil button for editing the basic SAML configuration.

  5. В разделе Базовая конфигурация SAML обновите поле Идентификатор, введите следующие URL-адреса и перейдите к следующему шагу:

    Идентификатор
    urn:federation:cloudacademy

  6. В разделе Базовая конфигурация SAML обновите поле URL-адрес ответа, введите один из следующих URL-адресов и перейдите к следующему шагу:

    URL-адрес ответа
    https://cloudacademy.com/labs/social/complete/saml/
    https://app.qa.com/labs/social/complete/saml/

  7. В разделе Базовая конфигурация SAML обновите поле URL-адрес входа, введите один из следующих URL-адресов и сохраните его:

    URL-адрес входа
    https://cloudacademy.com/login/enterprise/
    https://app.qa.com/login/enterprise/

  8. Нажмите кнопку с изображением карандаша для сертификата подписи SAML, чтобы изменить параметры.

    Screenshot that shows how to edit the certificate.

  9. Скачайте сертификат PEM.

    Screenshot that shows how to download the P E M certificate.

  10. В разделе Настройка Cloud Academy скопируйте URL-адрес для входа.

    Screenshot that shows the copy button for the login U R L.

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
  2. Перейдите ко всем пользователям удостоверений>>.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Review + create (Просмотреть и создать).
  5. Нажмите кнопку создания.

Предоставление доступа тестовому пользователю

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход Azure, предоставив этому пользователю доступ к Cloud Academy.

  1. Перейдите к приложениям Identity>Applications>Enterprise.
  2. Из списка приложений выберите Cloud Academy.
  3. В разделе Управление на странице сводных данных о приложении выберите Пользователи и группы:
  4. Выберите Добавить пользователя, а в диалоговом окне Добавление назначения — Пользователи и группы:
  5. В диалоговом окне Пользователи и группы выберите B. Simon в списке Пользователи, а затем в нижней части экрана нажмите кнопку Выбрать.
  6. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
  7. В диалоговом окне Добавление назначения выберите Назначить.

Настройка единого входа для Cloud Academy

  1. В другом окне браузера войдите на корпоративный веб-сайт приложения Cloud Academy с правами администратора.

  2. На домашней странице щелкните значок Команда интеграции с Azure, а затем в меню слева выберите пункт Параметры.

  3. На вкладке ИНТЕГРАЦИИ выберите карточку Единый вход.

    Screenshot that shows the Settings & Integrations option.

  4. Щелкните Начать настройку, чтобы настроить единый вход.

    Screenshot that shows the Integrations and S S O page.

  5. На странице Общие параметры выполните указанные ниже действия.

    Screenshot that shows integrations in general settings.

    1. В поле URL-адрес единого входа (расположение) вставьте скопированное значение URL-адреса входа на шаге 9 настройки единого входа Microsoft Entra.

    2. Откройте скачанный сертификат Base64 в Блокнот. Вставьте его содержимое в поле Certificate (Сертификат).

  6. Выполните описанные ниже действия на следующей странице:

    Screenshot that shows the Integrations in additional settings.

    1. В разделе Сопоставление атрибутов SAML заполните необходимые поля, указав значения исходных атрибутов.

      http://schemas.microsoft.com/identity/claims/objectidentifier http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    2. В разделе Параметры безопасности установите флажок Подписанные запросы проверки подлинности?, чтобы установить значение True для этого параметра.

    3. В разделе "Дополнительные Параметры(необязательно) заполните поле URL-адреса выхода со значением URL-адреса выхода, скопированным на шаге 9 настройки единого входа Microsoft Entra.

  7. Выберите Сохранить и проверить.

  8. Появится диалоговое окно со сведениями о поставщике услуг. Скачайте XML-файл.

    Screenshot that shows downloading the metadata configuration file.

  9. Теперь, когда у вас есть XML-файл поставщика услуг, вернитесь к созданному приложению. В разделе Единый вход отправьте файл метаданных.

    Screenshot that shows uploading the metadata in the Azure application.

  10. Теперь, когда вы обновили метаданные поставщика услуг, вы можете вернуться на панель единого входа на сайте Cloud Academy компании и перейти к тестированию и активации. В диалоговом окне поставщика услуг выберите Продолжить.

    Screenshot that shows the service provider dialog.

  11. Выберите Проверить подключение единого входа, чтобы запустить поток тестирования.

    Screenshot that shows the Test S S O connection button.

    Примечание.

    Если вы вошли в Cloud Academy с помощью созданной учетной записи тестового пользователя, перейдите к последовательности тестирования. В противном случае закройте диалоговое окно, прокрутите экран вверх до раздела Общие параметры, скопируйте URL-адрес поддомена, вставьте его на вкладке браузера в закрытом режиме или режиме инкогнито, а затем войдите в систему как тестовый пользователь. Если вход выполнен успешно, можно закрыть вкладку браузера и выбрать команду Сохранить и проверить. На вкладке браузера снова откроется диалоговое окно поставщика услуг. Нажмите кнопку Продолжить, а затем снова выберите Проверить подключение единого входа. Наконец, выберите Тест пройден успешно, так как вы уже протестировали вход с помощью вкладки в закрытом режиме или режиме инкогнито.

    Перейдите к следующему шагу.

  12. Если вход выполнен успешно, можно активировать интеграцию единого входа для всей организации.

    Screenshot that shows S S O activation is successful.

Примечание.

Дополнительные сведения о настройке Cloud Academy см. в этой статье.

Создание тестового пользователя приложения "Единый вход для Cloud Academy"

В этом разделе вы создадите в приложении Cloud Academy пользователя с именем B.Simon. Приложение Cloud Academy поддерживает JIT-подготовку пользователей, которая включена по умолчанию. В рамках этого раздела никакие действия с вашей стороны не требуются. Если пользователь еще не существует в приложении Cloud Academy, он создается после проверки подлинности.

Cloud Academy также поддерживает автоматическую подготовку пользователей. Дополнительные сведения см. в руководстве по подготовке единого входа в Cloud Academy.

Проверка единого входа

В этом разделе описано, как протестировать конфигурацию единого входа Microsoft Entra с помощью одного из следующих параметров:

  • На портале Azure выберите Проверить это приложение. Вы будете перенаправлены по URL-адресу для входа в Cloud Academy, где можно инициировать поток входа.

  • Перейдите по URL-адресу для входа в приложение Cloud Academy и инициируйте поток входа.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку Cloud Academy на портале "Мои приложения", вы перейдете по URL-адресу входа в приложение Cloud Academy. Дополнительные сведения о портале "Мои приложения" см. в статье Общие сведения о портале "Мои приложения".

Следующие шаги

После настройки приложения Cloud Academy вы можете применить функцию управления сеансом, которая в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью Microsoft Cloud App Security.