教程:Microsoft Entra 单一登录 (SSO) 与 Smart Global Governance 的集成
本教程介绍如何将 Smart Global Governance 与 Microsoft Entra ID 相集成。 将 Smart Global Governance 与 Microsoft Entra ID 集成后,可以:
- 使用 Microsoft Entra ID 控制谁有权访问 Smart Global Governance。
- 允许用户使用其 Microsoft Entra 帐户自动登录到 Smart Global Governance。
- 在一个中心位置(Azure 门户)管理帐户。
若要了解有关 SaaS 应用与 Microsoft Entra ID 集成的详细信息,请参阅 Microsoft Entra ID 中的应用程序单一登录。
先决条件
若要开始操作,需备齐以下项目:
- 一个 Microsoft Entra 订阅。 如果没有订阅,可以获取一个免费帐户。
- 启用了单一登录 (SSO) 的 Smart Global Governance 订阅。
教程说明
在本教程中,你将在测试环境中配置并测试 Microsoft Entra SSO。
Smart Global Governance 支持 SP 和 IDP 发起的 SSO。
配置 Smart Global Governance 后,即可强制实施会话控制,从而实时保护组织的敏感数据以防外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制。
从库中添加 Smart Global Governance
若要配置 Smart Global Governance 与 Microsoft Entra ID 的集成,需要从库中将 Smart Global Governance 添加到托管的 SaaS 应用列表。
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
- 在“从库中添加”部分的搜索框中,输入“Smart Global Governance”。
- 在结果面板中选择“Smart Global Governance”,然后添加该应用。 在该应用添加到租户时等待几秒钟。
或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户、将用户/组添加到应用、分配角色,以及逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。
配置并测试 Smart Global Governance 的 Microsoft Entra SSO
将使用名为“B.Simon”的测试用户配置并测试 Smart Global Governance 的 Microsoft Entra SSO。 若要使 SSO 正常工作,需要在 Microsoft Entra 用户与 Smart Global Governance 中的对应用户之间建立链接关系。
若要配置并测试 Smart Global Governance 的 Microsoft Entra SSO,请执行以下高级步骤:
- 配置 Microsoft Entra SSO - 使用户能够使用此功能。
- 创建 Microsoft Entra 测试用户 - 用于测试 Microsoft Entra 单一登录。
- 向测试用户授予访问权限 - 使用户能够使用 Microsoft Entra 单一登录。
- 在应用程序端 配置 Smart Global Governance SSO 。
- 创建 Smart Global Governance 测试用户,对应于该用户的 Microsoft Entra 表示形式。
- 测试 SSO ,验证配置是否正常工作。
配置 Microsoft Entra SSO
在 Azure 门户中执行以下步骤来启用 Microsoft Entra SSO:
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”>“智能全局治理”应用程序集成页,然后在“管理”部分中选择“单一登录”。
在“选择单一登录方法”页上选择“SAML” 。
在“设置 SAML 单一登录”页上,选择“基本 SAML 配置”对应的铅笔按钮以编辑设置:
在“基本 SAML 配置”部分中,若要将应用程序配置为 IDP 发起的模式,请执行以下步骤。
a. 在“标识符”框中,输入以下 URL 之一:
https://eu-fr-south.console.smartglobalprivacy.com/platform/authentication-saml2/metadata
https://eu-fr-south.console.smartglobalprivacy.com/dpo/authentication-saml2/metadata
b. 在“回复 URL”框中,输入以下 URL 之一:
https://eu-fr-south.console.smartglobalprivacy.com/platform/authentication-saml2/acs
https://eu-fr-south.console.smartglobalprivacy.com/dpo/authentication-saml2/acs
若要将应用程序配置为 SP 发起的模式,请选择“设置其他 URL”并完成以下步骤。
在“登录 URL”框中,输入以下 URL 之一:
https://eu-fr-south.console.smartglobalprivacy.com/dpo
https://eu-fr-south.console.smartglobalprivacy.com/platform
在“设置 SAML 单一登录”页上的“SAML 签名证书”部分,找到“证书(原始)”对应的“下载”链接,以下载证书并将其保存到计算机上:
在“设置 Smart Global Governance”部分中,根据需要复制相应的 URL:
创建 Microsoft Entra 测试用户
在本部分,你将创建名为 B.Simon 的测试用户。
- 至少以用户管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“用户”>“所有用户”。
- 选择屏幕顶部的“新建用户”>“创建新用户”。
- 在“用户”属性中执行以下步骤:
- 在“显示名称”字段中输入
B.Simon
。 - 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如
B.Simon@contoso.com
。 - 选中“显示密码”复选框,然后记下“密码”框中显示的值。
- 选择“查看 + 创建”。
- 在“显示名称”字段中输入
- 选择“创建”。
向测试用户授予访问权限
在本部分中,你将通过向该用户授予访问智能全局治理的权限,以支持其使用单一登录。
浏览到“标识”>“应用程序”>“企业应用程序”。
在应用程序列表中,选择“Smart Global Governance”。
在应用概览页上,在“管理”部分中选择“用户和组”:
选择“添加用户”,然后在“添加分配”对话框中选择“用户和组”:
在“用户和组”对话框中的“用户”列表内选择“B.Simon”,然后单击屏幕底部的“选择”按钮。
如果在 SAML 断言中需要任何角色值,请在“选择角色”对话框的列表中为用户选择合适的角色,然后单击屏幕底部的“选择”按钮 。
在“添加分配”对话框中选择“分配”。
配置 Smart Global Governance SSO
若要在 Smart Global Governance 端配置单一登录,需要将下载的原始证书以及从 Azure 门户复制的相应 URL 发送给 Smart Global Governance 支持团队。 支持人员将在两端配置正确的 SAML SSO 连接。
创建 Smart Global Governance 测试用户
与 Smart Global Governance 支持团队协作,在 Smart Global Governance 中添加名为 B.Simon 的用户。 使用单一登录前,必须先创建并激活用户。
测试 SSO
本部分需使用访问面板测试 Microsoft Entra SSO 配置。
在访问面板中选择“Smart Global Governance”磁贴时,应当会自动登录到设置了 SSO 的 Smart Global Governance 实例。 有关访问面板的详细信息,请参阅访问面板简介。