教程:Microsoft Entra SSO 与 New Relic 的集成

  • 项目

本教程介绍如何将 New Relic 与 Microsoft Entra ID 相集成。 将 New Relic 与 Microsoft Entra ID 集成后,可以:

  • 在 Microsoft Entra ID 中控制谁有权访问 New Relic。
  • 让用户能够使用其 Microsoft Entra 帐户自动登录到 New Relic。
  • 在一个中心位置(Azure 门户)管理帐户。

先决条件

要开始,需要:

注意

此集成也可以通过 Microsoft Entra 美国政府云环境使用。 你可以在“Microsoft Entra 美国政府云应用程序库”中找到此应用程序,并以公有云相同的方式对其进行配置。

方案描述

在本教程中,将在测试环境中配置并测试 Microsoft Entra SSO。

  • New Relic 支持由标识提供商或标识提供者发起的 SSO。

  • New Relic 支持自动用户预配

若要配置 New Relic 与 Microsoft Entra ID 的集成,需要从库中将 New Relic (By Organization) 添加到托管 SaaS 应用列表。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
  3. 在“浏览 Microsoft Entra 库”页面上,在搜索框中键入“New Relic (By Organization)”。
  4. 从结果中选择“New Relic (By Organization)”,然后选择“创建” 。 在该应用添加到租户时等待几秒钟。

或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户、将用户/组添加到应用、分配角色,以及逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。

配置并测试 New Relic 的 Microsoft Entra SSO

使用名为B.Simon 的测试用户配置并测试 New Relic 的 Microsoft Entra SSO。 若要正常使用 SSO,需要在 Microsoft Entra 用户与 New Relic 中的相关用户之间建立关联。

配置并测试 New Relic 的 Microsoft Entra SSO:

  1. 配置 Microsoft Entra SSO,以使用户能够使用此功能。
    1. 创建 Microsoft Entra 测试用户,以使用 B.Simon 测试 Microsoft Entra 单一登录。
    2. 分配 Microsoft Entra 测试用户,以使 B.Simon 能够使用 Microsoft Entra 单一登录。
  2. 配置 New Relic SSO - 在 New Relic 端配置单一登录设置。
    1. 创建 New Relic 测试用户 - 在 New Relic 中创建 B.Simon 的对应用户,并将其链接到 Microsoft Entra 用户。
  3. 测试 SSO ,验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“New Relic by Organization”应用程序集成页,找到“管理”部分。 然后选择“单一登录”。

  3. 在“选择单一登录方法”页上选择“SAML” 。

  4. 在“设置 SAML 单一登录”页上,选择“基本 SAML 配置”对应的铅笔图标以编辑设置 。

    Screenshot of Set up Single Sign-On with SAML, with pencil icon highlighted.

  5. 在“基本 SAML 配置”部分中,填入“标识符”和“回复 URL”的值 。

    • New Relic 身份验证域 UI 检索这些值。 由此,可执行以下操作:
      1. 如果有多个身份验证域,请选择需要 Microsoft Entra SSO 连接到的身份验证域。 大多数公司只有一个称为“默认”的身份验证域。 如果只有一个身份验证域,则无需选择任何内容。
      2. 在“身份验证”部分中,“断言使用者 URL”包含用于“回复 URL”的值 。
      3. 在“身份验证”部分中,“实体 ID”包含用于“标识符”的值 。

  6. 在“用户属性和声明”部分中,确保将“唯一用户标识符”映射到包含 New Relic 中使用的电子邮件地址的字段

    • 如果默认字段“user.userprincipalname”的值与 New Relic 电子邮件地址相同,则该字段适用。
    • 如果“user.userprincipalname”不是 New Relic 电子邮件地址,则字段“user.mail”可能更适用。

  7. 在“SAML 签名证书”部分中,复制“应用联合元数据 URL”并保存其值,以供以后使用 。

  8. 在“设置 New Relic by Organization”部分中,复制“登录 URL”并保存其值,以供以后使用 。

创建 Microsoft Entra 测试用户

在本部分,你将创建名为 B.Simon 的测试用户。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“用户”>“所有用户”。
  3. 选择屏幕顶部的“新建用户”>“创建新用户”。
  4. 在“用户”属性中执行以下步骤
    1. 在“显示名称”字段中输入 B.Simon
    2. 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如 B.Simon@contoso.com
    3. 选中“显示密码”复选框,然后记下“密码”框中显示的值。
    4. 选择“查看 + 创建”。
  5. 选择“创建”。

分配 Microsoft Entra 测试用户

在本部分,你将通过授予 B.Simon 访问 New Relic 的权限,使其能够使用单一登录。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“New Relic”。
  3. 在应用的概述页面中,选择“用户和组”。
  4. 选择“添加用户/组”,然后在“添加分配”对话框中选择“用户和组” 。
    1. 在“用户和组”对话框中,从“用户”列表中选择“B.Simon”,然后单击屏幕底部的“选择”按钮。
    2. 如果你希望将某角色分配给用户,可以从“选择角色”下拉列表中选择该角色。 如果尚未为此应用设置任何角色,你将看到选择了“默认访问权限”角色。
    3. 在“添加分配”对话框中,单击“分配”按钮。

配置 New Relic SSO

请按照以下步骤在 New Relic 上配置 SSO。

  1. 登录 New Relic。

  2. 转到“身份验证域”UI

  3. 选择要 Microsoft Entra SSO 连接到的身份验证域(如果有多个身份验证域)。 大多数公司只有一个称为“默认”的身份验证域。 如果只有一个身份验证域,则无需选择任何内容。

  4. 在“身份验证”部分中,选择“配置” 。

    1. 对于“SAML 元数据源”,输入先前从 Microsoft Entra ID“应用联合元数据 URL”字段保存的值。

    2. 对于“SSO 目标 URL”,输入先前从 Microsoft Entra ID“登录 URL”字段中保存的值。

    3. 验证 Microsoft Entra ID 和 New Relic 端的设置均没有问题后,选择“保存”。 如果这两端的配置不正确,则用户将无法登录到 New Relic。

创建 New Relic 测试用户

本部分将在 New Relic 中创建名为 B.Simon 的用户。

  1. 登录 New Relic。

  2. 转到“用户管理”UI

  3. 选择“添加用户”。

    1. 对于“名称”,请输入“B.Simon” 。

    2. 对于“电子邮件”,输入将由 Microsoft Entra SSO 发送的值。

    3. 为用户选择“类型”和“组” 。 对于测试用户,在“类型”中选择“基本用户”,在“组”中选择“用户”比较合理 。

    4. 若要保存用户,请选择“添加用户”。

注意

New Relic 还支持自动用户预配;有关如何配置自动用户预配的更多详细信息,请参阅此处

测试 SSO

在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。

SP 启动的:

  • 单击“测试此应用程序”,这会重定向到 New Relic 登录 URL,可以从那里启动登录流。

  • 直接转到 New Relic 登录 URL,并从那里启动登录流。

IDP 启动的:

  • 单击“测试此应用程序”后,你应当会自动登录到为其设置了 SSO 的 New Relic。

还可以使用 Microsoft“我的应用”在任何模式下测试此应用程序。 在“我的应用”中单击 New Relic 磁贴时,如果是在 SP 模式下配置的,会重定向到应用程序登录页来启动登录流;如果是在 IDP 模式下配置的,则应会自动登录到为其设置了 SSO 的 New Relic。 有关“我的应用”的详细信息,请参阅“我的应用”简介

后续步骤

完成后,可验证是否已将用户添加到 New Relic,方法是转到“用户管理”UI,查看用户是否存在。

接下来,你可能希望将用户分配到特定 New Relic 帐户或角色。 若要详细了解,请参阅用户管理概念

在 New Relic 的身份验证域 UI 中,可配置其他设置,如会话控制,从而实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制