教程:Microsoft Entra 与 HighGear 的集成

  • 项目

本教程介绍如何将 HighGear 与 Microsoft Entra ID 相集成。 将 HighGear 与 Microsoft Entra ID 相集成可提供以下优势:

  • 可以在 Microsoft Entra ID 中控制谁有权访问 HighGear。
  • 可让用户使用其 Microsoft Entra 帐户自动登录到 HighGear(单一登录)。
  • 可以在一个集中位置管理帐户。

如果要了解有关 SaaS 应用与 Microsoft Entra ID 集成的更多详细信息,请参阅 Microsoft Entra ID 的应用程序访问与单一登录是什么。 如果没有 Azure 订阅,可以在开始前创建一个免费帐户

先决条件

若要配置 Microsoft Entra 与 HighGear 的集成,需要以下项:

  • 一个 Microsoft Entra 订阅。 如果没有 Microsoft Entra 环境,可以在此处获取一个月的试用版
  • 具有“企业”或“无限制”许可证的 HighGear 系统

方案描述

本教程介绍如何在测试环境中配置和测试 Microsoft Entra 单一登录。

  • HighGear 支持 SP 和 IdP 发起的 SSO

若要配置 HighGear 与 Microsoft Entra ID 的集成,需要从库中将 HighGear 添加到托管 SaaS 应用列表。

若要从库中添加 HighGear,请执行以下步骤:

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
  3. 在“从库中添加”部分的搜索框中,键入 HighGear
  4. 从结果窗格中选择“HighGear”,然后添加该应用。 在该应用添加到租户时等待几秒钟。

配置并测试 Microsoft Entra 单一登录

本部分介绍如何基于名为 Britta Simon 的测试用户,配置并测试 HighGear 系统的 Microsoft Entra 单一登录。 若要运行单一登录,需要在 Microsoft Entra 用户与 HighGear 系统中的相关用户之间建立链接关系。

若要配置并测试 HighGear 系统的 Microsoft Entra 单一登录,需要完成以下构建基块:

  1. 配置 Microsoft Entra 单一登录 - 使用户能够使用此功能。
  2. 配置 HighGear 单一登录 - 在 HighGear 应用程序端配置单一登录设置。
  3. 创建 Microsoft Entra 测试用户 - 使用 Britta Simon 测试 Microsoft Entra 单一登录。
  4. 分配 Microsoft Entra 测试用户 - 使 Britta Simon 能够使用 Microsoft Entra 单一登录。
  5. 创建 HighGear 测试用户 - 在 HighGear 中创建 Britta Simon 的对应用户,并将其链接到该用户的 Microsoft Entra 表示形式。
  6. 测试单一登录 - 验证配置是否正常工作。

配置 Microsoft Entra 单一登录

本部分介绍如何启用 Microsoft Entra 单一登录。

若要配置 HighGear 系统的 Microsoft Entra 单一登录,请执行以下步骤:

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“HighGear”应用程序集成页,选择“单一登录”

    Configure single sign-on link

  3. 在“选择单一登录方法”对话框中,选择“SAML/WS-Fed”模式以启用单一登录。

    Single sign-on select mode

  4. 在“使用 SAML 设置单一登录”页上,单击“编辑”图标打开“基本 SAML 配置”对话框。

    Edit Basic SAML Configuration

  5. 在“基本 SAML 配置”部分中,按照以下步骤操作:

    Screenshot shows the Basic SAML Configuration, where you can enter Identifier, Reply U R L, and select Save.

    1. 在“标识符”文本框中,粘贴 HighGear 系统中“单一登录设置”页上的“服务提供商实体 ID”字段值。

      The Service Provider Entity ID field

      注意

      需要登录到 HighGear 系统才能访问“单一登录设置”页。 登录后,将鼠标移到 HighGear 中的“管理”选项卡上,然后单击“单一登录设置”菜单项。

      The Single Sign-On Settings menu item

    2. 在“回复 URL”文本框中,粘贴 HighGear 系统中“单一登录设置”页上的“断言使用者服务(ACS) URL”值。

      The Assertion Consumer Service (ACS) URL field

    3. 如果要在 SP 发起的模式下配置应用程序,请单击“设置其他 URL” ,并执行以下步骤:

      Screenshot shows Set additional U R Ls where you can enter a Sign on U R L.

      在“登录 URL”文本框中,粘贴 HighGear 系统中“单一登录设置”页上的“服务提供商实体 ID”字段值。 (此实体 ID 也是 HighGear 系统的基 URL,用于 SP 发起的单一登录。)

      The Service Provider Entity ID field

      注意

      这些不是实际值。 请这些值更新为 HighGear 系统中“单一登录设置”页上的实际“标识符”、“回复 URL”和“登录 URL”值。 如需帮助,请联系 HighGear 支持团队

  6. 在“使用 SAML 设置单一登录” 页的“SAML 签名证书” 部分中,单击“下载” 以下载“证书 (Base64)” 并将其保存在计算机上。 在稍后的单一登录配置步骤中,需要用到此证书。

    The Certificate download link

  7. 在“设置 HighGear”部分,记下以下 URL 的位置。

    Copy configuration URLs

    1. 登录 URL。 在执行下述“配置 HighGear 单一登录”的步骤 2 时,需要用到此值。

    2. Microsoft Entra 标识符。 在执行下述“配置 HighGear 单一登录”的步骤 3 时,需要用到此值。

    3. 注销 URL。 在执行下述“配置 HighGear 单一登录”的步骤 4 时,需要用到此值。

配置 HighGear 单一登录

若要配置 HighGear 单一登录,请登录到 HighGear 系统。 登录后,将鼠标移到 HighGear 中的“管理”选项卡上,然后单击“单一登录设置”菜单项。

The Single Sign-On Settings menu item

  1. 在“标识提供者名称”中,键入在“登录”页上单击“HighGear 单一登录”按钮时要显示的简短说明。 例如:Microsoft Entra ID

  2. 在 HighGear 中的“单一登录(SSO) URL”字段内,粘贴 Azure 中的“设置 HighGear”部分显示的“登录 URL”字段值。

  3. 在 HighGear 中的“标识提供者实体 ID”字段内,粘贴 Azure 中的“设置 HighGear”部分显示的“Microsoft Entra 标识符”字段值。

  4. 在 HighGear 中的“单一注销(SLO) URL”字段内,粘贴 Azure 中的“设置 HighGear”部分显示的“注销 URL”字段值。

  5. 使用记事本打开从 Azure 中的“SAML 签名证书”部分下载的证书。 应已下载“证书(Base64)”格式的证书。 将记事本中的证书内容复制并粘贴到 HighGear 中的“标识提供者证书”字段。

  6. HighGear 支持团队发送电子邮件以请求 HighGear 证书。 遵照该团队的说明填写“HighGear 证书”和“HighGear 证书密码”字段。

  7. 单击“保存”按钮保存 HighGear 单一登录配置。

创建 Microsoft Entra 测试用户

本部分的目标是创建名为 Britta Simon 的测试用户。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“用户”>“所有用户”。
  3. 选择屏幕顶部的“新建用户”>“创建新用户”。
  4. 在“用户”属性中执行以下步骤
    1. 在“显示名称”字段中输入 B.Simon
    2. 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如 B.Simon@contoso.com
    3. 选中“显示密码”复选框,然后记下“密码”框中显示的值。
    4. 选择“查看 + 创建”。
  5. 选择“创建”。

分配 Microsoft Entra 测试用户

在本部分,我们向 Britta Simon 授予 HighGear 的访问权限,使其能够使用 Azure 单一登录。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“HighGear”

    The HighGear link in the Applications list

  3. 在应用的概述页面中,选择“用户和组”。

  4. 选择“添加用户/组”,然后在“添加分配”对话框中选择“用户和组” 。

    1. 在“用户和组”对话框中,从“用户”列表中选择“B.Simon”,然后单击屏幕底部的“选择”按钮。
    2. 如果你希望将某角色分配给用户,可以从“选择角色”下拉列表中选择该角色。 如果尚未为此应用设置任何角色,你将看到选择了“默认访问权限”角色。
    3. 在“添加分配”对话框中,单击“分配”按钮。

创建 HighGear 测试用户

若要创建 HighGear 测试用户用于测试单一登录配置,请登录到 HighGear 系统。

  1. 单击“创建新联系人”按钮。

    The Create New Contact button

    此时会显示一个菜单,可在其中选择要创建的联系人类型。

  2. 单击“个人”菜单项以创建 HighGear 用户。

    右侧将滑出一个窗格,可在其中键入新用户的信息。
    The New Contact form

  3. 在“姓名”字段中,键入联系人的姓名。 例如:Britta Simon

  4. 单击“更多选项”菜单,然后选择“帐户信息”菜单项。

    Clicking the Account Info menu item

  5. 将“可以登录”字段设置为“是”。

    “启用单一登录”字段也会自动设置为“是”。

  6. 在“单一登录用户 ID”字段中,键入该用户的 ID。 例如: BrittaSimon@contoso.com

    现在,“帐户信息”部分的外观应如下所示:
    The finished Account Info section

  7. 若要保存该联系人,请单击窗格底部的“保存”按钮。

测试单一登录

本部分需使用访问面板测试 Microsoft Entra 单一登录配置。

在访问面板中单击“HighGear”磁贴时,应会自动登录到为其设置了 SSO 的 HighGear。 有关访问面板的详细信息,请参阅 Introduction to the Access Panel(访问面板简介)。

其他资源