教程:Microsoft Entra SSO 与 Rackspace SSO 的集成

  • 项目

本教程介绍如何将 Rackspace SSO 与 Microsoft Entra ID 集成。 将 Rackspace SSO 与 Microsoft Entra ID 集成后,可以:

  • 在 Microsoft Entra ID 中控制谁有权访问 Rackspace SSO。
  • 让用户使用其 Microsoft Entra 帐户自动登录到 Rackspace SSO。
  • 在中心位置管理帐户。

先决条件

若要配置 Microsoft Entra 与 Rackspace SSO 的集成,需要以下项:

  • 一个 Microsoft Entra 订阅。 如果没有 Microsoft Entra 环境,可以获取一个免费帐户
  • 已启用 Rackspace SSO 单一登录的订阅。

方案描述

在本教程中,你将在测试环境中配置并测试 Microsoft Entra 单一登录。

  • Rackspace SSO 支持 IDP 发起的 SSO。

注意

此应用程序的标识符是一个固定字符串值,因此只能在一个租户中配置一个实例。

要配置 Rackspace SSO 与 Microsoft Entra ID 的集成,需要从库中将 Rackspace SSO 添加到托管 SaaS 应用列表。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
  3. 在“从库中添加”部分的搜索框中,键入 Rackspace SSO 。
  4. 在结果面板中选择“Rackspace SSO”,然后添加该应用。 在该应用添加到租户时等待几秒钟。

或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户、将用户/组添加到应用、分配角色,以及逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。

配置并测试 Rackspace SSO 的 Microsoft Entra SSO

在本部分中,基于一个名为“Britta Simon”的测试用户使用 Rackspace SSO 配置和测试 Microsoft Entra 单一登录。 将单一登录用于 Rackspace 时,首次登录到 Rackspace 门户时,将自动创建 Rackspace 用户。

若要配置并测试 Rackspace SSO 的 Microsoft Entra 单一登录,请执行以下步骤:

  1. 配置 Microsoft Entra SSO - 使用户能够使用此功能。
    1. 创建 Microsoft Entra 测试用户 - 使用 Britta Simon 测试 Microsoft Entra 单一登录。
    2. 分配 Microsoft Entra 测试用户 - 使 Britta Simon 能够使用 Microsoft Entra 单一登录。
  2. 配置 Rackspace SSO - 在应用程序端配置单一登录设置。
    1. 在 Rackspace 控制面板中设置属性映射 - 为 Microsoft Entra 用户分配 Rackspace 角色。
  3. 测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“Rackspace SSO”>“单一登录”。

  3. 在“选择单一登录方法”页上选择“SAML” 。

  4. 在“设置 SAML 单一登录”页面上,单击“基本 SAML 配置”旁边的铅笔图标以编辑设置 。

    Screenshot shows to edit Basic S A M L Configuration.

  5. 在“基本 SAML 配置”中,上传你可以从 URL 下载的服务提供程序元数据文件,然后执行以下步骤:

    a. 单击“上传元数据文件” 。

    Screenshot shows Basic S A M L Configuration with the Upload metadata file link.

    b. 单击“文件夹徽标” 来选择元数据文件并单击“上传”。

    Screenshot shows a dialog box where you can select and upload a file.

    c. 成功上传元数据文件后,会自动填充所需的 URL。

  6. 在“使用 SAML 设置单一登录”页的“SAML 签名证书”部分,单击“下载”以根据要求下载从给定选项提供的“联合元数据 XML”并将其保存在计算机上 。

    Screenshot shows the Certificate download link.

此文件将上传到 Rackspace 来填充所需的联合身份验证配置设置。

创建 Microsoft Entra 测试用户

在本部分,你将创建名为 B.Simon 的测试用户。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“用户”>“所有用户”。
  3. 选择屏幕顶部的“新建用户”>“创建新用户”。
  4. 在“用户”属性中执行以下步骤
    1. 在“显示名称”字段中输入 B.Simon
    2. 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如 B.Simon@contoso.com
    3. 选中“显示密码”复选框,然后记下“密码”框中显示的值。
    4. 选择“查看 + 创建”。
  5. 选择“创建”。

分配 Microsoft Entra 测试用户

在本部分,将通过授予 B.Simon 访问 Rackspace SSO 的权限,使其能够使用单一登录。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“Rackspace SSO”。
  3. 在应用的概述页面中,选择“用户和组”。
  4. 选择“添加用户/组”,然后在“添加分配”对话框中选择“用户和组” 。
    1. 在“用户和组”对话框中,从“用户”列表中选择“B.Simon”,然后单击屏幕底部的“选择”按钮。
    2. 如果你希望将某角色分配给用户,可以从“选择角色”下拉列表中选择该角色。 如果尚未为此应用设置任何角色,你将看到选择了“默认访问权限”角色。
    3. 在“添加分配”对话框中,单击“分配”按钮。

配置 Rackspace SSO

若要在 Rackspace SSO 端配置单一登录,请执行以下操作:

  1. 请参阅文档向控制面板中添加标识提供者
  2. 它将引导你完成以下步骤:
    1. 创建新的标识提供者。
    2. 指定在登录时用户将用来标识你的公司的电子邮件域。
    3. 上传之前从 Azure 控制面板下载的联合元数据 XML

这将正确配置 Azure 和 Rackspace 进行连接所需的基本 SSO 设置。

在 Rackspace 控制面板中设置属性映射

Rackspace 使用属性映射策略为你的单一登录用户分配 Rackspace 角色和组。 属性映射策略将 Microsoft Entra SAML 声明转换为 Rackspace 所需的用户配置字段。 可以在 Rackspace 属性映射基础知识文档中找到更多文档。 注意事项:

  • 如果希望使用 Microsoft Entra 组分配可变级别的 Rackspace 访问权限,则需要在 Azure Rackspace SSO 单一登录设置中启用组声明。 然后,可以使用属性映射策略将那些组匹配到所需的 Rackspace 角色和组:

    Screenshot shows the Groups claim settings.

  • 默认情况下,Microsoft Entra ID 会在 SAML 声明中发送 Microsoft Entra 组的 UID 而非组名称。 但是,如果要将本地 Active Directory 同步到 Microsoft Entra ID,则可以选择发送组的实际名称:

    Screenshot shows the Groups claim name settings.

下面的示例属性映射策略演示了以下内容:

  1. 将 Rackspace 用户的名称设置为 user.name SAML 声明。 可以使用任何声明,但最常见的做法是将其设置为包含用户电子邮件地址的字段。
  2. 通过按组名称或组 UID 匹配 Microsoft Entra 组来为用户设置 Rackspace 角色 adminbilling:adminroles 字段中使用了替代项 "{0}",它将替换为 remote 规则表达式的结果。
  3. 使用 "{D}" 默认替代项让 Rackspace 通过在 SAML 交换中查找标准且已知的 SAML 声明来检索额外的 SAML 字段。
---
mapping:
    rules:
    - local:
        user:
          domain: "{D}"
          name: "{At(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name)}"
          email: "{D}"
          roles:
              - "{0}"
          expire: "{D}"
      remote:
          - path: |
              (
                if (mapping:get-attributes('http://schemas.microsoft.com/ws/2008/06/identity/claims/groups')='7269f9a2-aabb-9393-8e6d-282e0f945985') then ('admin', 'billing:admin') else (),
                if (mapping:get-attributes('http://schemas.microsoft.com/ws/2008/06/identity/claims/groups')='MyAzureGroup') then ('admin', 'billing:admin') else ()
              )
            multiValue: true
  version: RAX-1

提示

在编辑策略文件时,请确保使用可以验证 YAML 语法的文本编辑器。

有关更多示例,请参阅 Rackspace 属性映射基础知识文档

测试 SSO

在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。

  • 单击“测试此应用程序”后,你应当会自动登录到为其设置了 SSO 的 Rackspace SSO。

  • 你可使用 Microsoft 的“我的应用”。 在 My Apps 中单击“Rackspace SSO”磁贴时,应会自动登录到设置了 SSO 的 Rackspace SSO。 有关详细信息,请参阅 Microsoft Entra 我的应用

还可以使用 Rackspace SSO 单一登录设置中的“验证”按钮:

Screenshot shows the SSO Validate Button.

后续步骤

配置 Rackspace SSO 后,可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制