教程:Microsoft Entra 单一登录 (SSO) 与 CylancePROTECT 的集成
本教程介绍如何将 CylancePROTECT 与 Microsoft Entra ID 相集成。 将 CylancePROTECT 与 Microsoft Entra ID 集成后,可以:
- 在 Microsoft Entra ID 中控制谁有权访问 CylancePROTECT。
- 让用户使用其 Microsoft Entra 帐户自动登录到 CylancePROTECT。
- 在中心位置管理帐户。
先决条件
若要开始操作,需备齐以下项目:
- 一个 Microsoft Entra 订阅。 如果没有订阅,可以获取一个免费帐户。
- 启用了单一登录的 CylancePROTECT 订阅。
方案描述
在本教程中,你将在测试环境中配置并测试 Microsoft Entra SSO。
- CylancePROTECT 支持 IDP 发起的 SSO。
注意
此应用程序的标识符是一个固定字符串值,因此只能在一个租户中配置一个实例。
从库中添加 CylancePROTECT
若要配置 CylancePROTECT 与 Microsoft Entra ID 的集成,需要从库中将 CylancePROTECT 添加到托管 SaaS 应用列表。
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
- 在“从库中添加”部分中,在搜索框中键入“CylancePROTECT”。
- 在结果面板中选择“CylancePROTECT”,然后添加该应用。 在该应用添加到租户时等待几秒钟。
或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户、将用户/组添加到应用、分配角色,以及逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。
配置并测试 CylancePROTECT 的 Microsoft Entra SSO
使用名为 B.Simon 的测试用户配置和测试 CylancePROTECT 的 Microsoft Entra SSO。 若要使 SSO 正常工作,需要在 Microsoft Entra 用户与 CylancePROTECT 中的相关用户之间建立关联。
若要配置并测试 CylancePROTECT 的 Microsoft Entra SSO,请执行以下步骤:
- 配置 Microsoft Entra SSO - 使用户能够使用此功能。
- 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
- 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
- 配置 CylancePROTECT SSO - 在应用程序端配置单一登录设置。
- 创建 CylancePROTECT 测试用户 - 在 CylancePROTECT 中创建 B.Simon 的对应用户,并将其链接到该用户的 Microsoft Entra 表示形式。
- 测试 SSO - 验证配置是否正常工作。
配置 Microsoft Entra SSO
按照以下步骤启用 Microsoft Entra SSO。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”>“CylancePROTECT”>“单一登录”。
在“选择单一登录方法”页上选择“SAML” 。
在“设置 SAML 单一登录”页面上,单击“基本 SAML 配置”旁边的铅笔图标以编辑设置 。
在“使用 SAML 设置单一登录”页上,输入以下字段的值:
a. 在“标识符”文本框中,键入以下 URL 之一:
区域 URL 值 亚太东北部 (APNE1) https://login-apne1.cylance.com/EnterpriseLogin/ConsumeSaml
亚太东南部 (AU) https://login-au.cylance.com/EnterpriseLogin/ConsumeSaml
欧洲中部 (EUC1) https://login-euc1.cylance.com/EnterpriseLogin/ConsumeSaml
北美 https://login.cylance.com/EnterpriseLogin/ConsumeSaml
南美洲 (SAE1) https://login-sae1.cylance.com/EnterpriseLogin/ConsumeSaml
b. 在“回复 URL”文本框中,键入以下 URL 之一:
区域 URL 值 亚太东北部 (APNE1) https://login-apne1.cylance.com/EnterpriseLogin/ConsumeSaml
亚太东南部 (AU) https://login-au.cylance.com/EnterpriseLogin/ConsumeSaml
欧洲中部 (EUC1) https://login-euc1.cylance.com/EnterpriseLogin/ConsumeSaml
北美 https://login.cylance.com/EnterpriseLogin/ConsumeSaml
南美洲 (SAE1) https://login-sae1.cylance.com/EnterpriseLogin/ConsumeSaml
CylancePROTECT 应用程序需要特定格式的 SAML 断言,这要求向 SAML 令牌属性配置添加自定义属性映射。 以下屏幕截图显示了默认属性的列表,其中的 nameidentifier 通过 user.userprincipalname 进行映射。 CylancePROTECT 应用程序要求通过 user.mail 对 nameidentifier 进行映射并删除所有其余声明,因此需单击“编辑”图标对属性映射进行编辑,然后更改属性映射。
在“使用 SAML 设置单一登录”页的“SAML 签名证书”部分中,找到“证书(Base64)”,选择“下载”以下载该证书并将其保存到计算机上 。
在“设置 CylancePROTECT”部分中,根据你的需要复制相应的 URL。
注意
在文本编辑器中打开下载的 Base64 编码的证书,仅复制 START 和 END 标记之间的文本,并将其粘贴到 Cylance 管理门户中。
创建 Microsoft Entra 测试用户
在本部分,你将创建名为 B.Simon 的测试用户。
- 至少以用户管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“用户”>“所有用户”。
- 选择屏幕顶部的“新建用户”>“创建新用户”。
- 在“用户”属性中执行以下步骤:
- 在“显示名称”字段中输入
B.Simon
。 - 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如
B.Simon@contoso.com
。 - 选中“显示密码”复选框,然后记下“密码”框中显示的值。
- 选择“查看 + 创建”。
- 在“显示名称”字段中输入
- 选择“创建”。
分配 Microsoft Entra 测试用户
在本部分,将通过授予 B.Simon 访问 CylancePROTECT 的权限,使其能够使用单一登录。
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“应用程序”>“企业应用程序”>“CylancePROTECT”。
- 在应用的概述页面中,选择“用户和组”。
- 选择“添加用户/组”,然后在“添加分配”对话框中选择“用户和组” 。
- 在“用户和组”对话框中,从“用户”列表中选择“B.Simon”,然后单击屏幕底部的“选择”按钮。
- 如果你希望将某角色分配给用户,可以从“选择角色”下拉列表中选择该角色。 如果尚未为此应用设置任何角色,你将看到选择了“默认访问权限”角色。
- 在“添加分配”对话框中,单击“分配”按钮。
配置 CylancePROTECT SSO
若要在 CylancePROTECT 端配置单一登录,需要将下载的“证书(Base64)”以及从应用程序配置复制的相应 URL 发送给 CylancePROTECT 支持团队。 他们会对此进行设置,使两端的 SAML SSO 连接均正确设置。 有关详细信息,请参阅 Cylance 文档:https://support.cylance.com/s/。
创建 CylancePROTECT 测试用户
在本部分中,你将在 CylancePROTECT 中创建名为 Britta Simon 的用户。 在控制台管理员的协助下,将用户添加到 CylancePROTECT 平台。 Microsoft Entra 帐户持有者将收到一封电子邮件,并打开用于在激活帐户前确认其帐户的链接。
测试 SSO
在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。
单击“测试此应用程序”后,你应当会自动登录到为其设置了 SSO 的 CylancePROTECT。
你可使用 Microsoft 的“我的应用”。 单击“我的应用”中的 CylancePROTECT 磁贴时,应当会自动登录到已为其设置了 SSO 的 CylancePROTECT。 有关“我的应用”的详细信息,请参阅“我的应用”简介。
后续步骤
配置 CylancePROTECT 后,可以强制实施会话控制,从而实时保护组织的敏感数据免于外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制。