教程:Microsoft Entra 与 Trend Micro Web Security (TMWS) 的单一登录 (SSO) 集成

  • 项目

本教程介绍了如何将 Trend Micro Web Security (TMWS) 与 Microsoft Entra ID 集成。 将 TMWS 与 Microsoft Entra ID 集成后,可以:

  • 在 Microsoft Entra ID 中控制谁有权访问 TMWS。
  • 使用户能够使用其 Microsoft Entra 帐户自动登录到 TMWS。
  • 在一个中心位置(Azure 门户)管理帐户。

先决条件

要开始,需要:

  • 一个 Microsoft Entra 订阅。 如果没有订阅,可以获取一个免费帐户
  • 启用了 SSO 的 TMWS 订阅。

方案描述

在本教程中,你将在测试环境中配置并测试 Microsoft Entra SSO。

  • TMWS 支持 SP 发起的 SSO。

要配置 TMWS 与 Microsoft Entra ID 的集成,需要从库中将 TMWS 添加到托管 SaaS 应用列表。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
  3. 在“从库中添加”部分中,在搜索框中输入“Trend Micro Web Security (TMWS)”。
  4. 在搜索结果中选择“Trend Micro Web Security (TMWS)”,然后添加该应用。 在该应用添加到租户时等待几秒钟。

或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户、将用户/组添加到应用、分配角色,以及逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。

配置并测试 TMWS 的 Microsoft Entra SSO

你将使用名为 B.Simon 的测试用户配置并测试 TMWS 的 Microsoft Entra SSO。 要使 SSO 正常工作,需要在 Microsoft Entra 用户与 TMWS 中的相关用户之间建立关联。

你将完成以下基本步骤来配置并测试 TMWS 的 Microsoft Entra SSO:

  1. 配置 Microsoft Entra SSO以使用户能够使用该功能。
    1. 创建 Microsoft Entra 用户以测试 Microsoft Entra 单一登录。
    2. 授予 Microsoft Entra 测试用户访问 TMWS 的权限。
    3. 在 Microsoft Entra ID 中配置用户和组同步设置
  2. 在应用程序端配置 TMWS SSO
  3. 测试 SSO 以验证配置。

配置 Microsoft Entra SSO

完成以下步骤以启用 Microsoft Entra SSO。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“Trend Micro Web Security (TMWS)”应用程序集成页,在“管理”部分选择“单一登录”。

  3. 在“选择单一登录方法”页上选择“SAML” 。

  4. 在“设置 SAML 单一登录”页上,选择“基本 SAML 配置”对应的笔形按钮以编辑设置:

    Edit the Basic SAML Configuration settings

  5. 在“基本 SAML 配置”部分中,在以下框中输入值:

    a. 在“标识符(实体 ID)”框中,使用以下模式输入 URL:

    https://auth.iws-hybrid.trendmicro.com/([0-9a-f]{16})

    b. 在“回复 URL”中输入以下 URL:

    https://auth.iws-hybrid.trendmicro.com/simplesaml/module.php/saml/sp/saml2-acs.php/ics-sp

    注意

    要输入的值并不是在上一步骤中获取的标识符值。 需要使用实际标识符。 可以在 Microsoft Entra ID 的“身份验证方法”页上的“Azure 管理门户的服务提供商设置”部分中,从“管理>”“目录服务”获取此值。

  6. TMWS 需要特定格式的 SAML 断言,因此需要在 SAML 令牌属性配置中添加自定义属性映射。 以下屏幕截图显示了默认属性:

    Default attributes

  7. 除上面的屏幕截图中所示的属性以外,TMWS 还要求在 SAML 响应中传回其他两个属性。 下表显示了这些属性。 这些属性已预先填充,但你可以根据需要对其进行更改。

    名称 源属性
    sAMAccountName user.onpremisessamaccountname
    upn user.userprincipalname

  8. 在“设置 SAML 单一登录”页的“SAML 签名证书”部分,找到“证书(Base64)” 。 选择此证书名称旁边的“下载”链接,以下载证书并将其保存在计算机上:

    Certificate download link

  9. 在“设置 Trend Micro Web Security (TMWS)”部分中,根据你的需要复制相应的一个或多个 URL:

    Copy the configuration URLs

创建 Microsoft Entra 测试用户

在本部分,你将创建名为 B.Simon 的测试用户。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“用户”>“所有用户”。
  3. 选择屏幕顶部的“新建用户”>“创建新用户”。
  4. 在“用户”属性中执行以下步骤
    1. 在“显示名称”字段中输入 B.Simon
    2. 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如 B.Simon@contoso.com
    3. 选中“显示密码”复选框,然后记下“密码”框中显示的值。
    4. 选择“查看 + 创建”。
  5. 选择“创建”。

授予 Microsoft Entra 测试用户访问 TMWS 的权限

在本部分,你将通过授予 B.Simon 访问 TMWS 的权限来支持其使用单一登录。

  1. 浏览到“标识”>“应用程序”>“企业应用程序”。
  2. 在应用程序列表中选择“Trend Micro Web Security (TMWS)”。
  3. 在应用概览页上,在“管理”部分中选择“用户和组”:
  4. 选择“添加用户”,然后在“添加分配”对话框中选择“用户和组”。
  5. 在“用户和组”对话框中的“用户”列表内选择“B.Simon”,然后单击屏幕底部的“选择”按钮。
  6. 如果你在 SAML 断言中需要任何角色值,请在“选择角色”对话框的列表中为用户选择合适的角色,然后单击屏幕底部的“选择”按钮。
  7. 在“添加分配”对话框中选择“分配”。

在 Microsoft Entra ID 中配置用户和组同步设置

  1. 在左侧窗格中,选择“Microsoft Entra ID”。

  2. 在“管理”下选择“应用注册”,然后在“所有应用程序”下选择你的新企业应用程序。

  3. 在“管理”下,选择“证书和机密”

  4. 在“客户端机密”区域中,选择“新建客户端机密”。

  5. 在“添加客户端机密”屏幕上,为客户端机密添加说明(可选)并选择有效期,然后选择“添加”。 新客户端机密将显示在“客户端机密”区域中。

  6. 请记下客户端机密值。 稍后需要将其输入到 TMWS 中。

  7. 在“管理”下选择“API 权限” 。

  8. 在“API 权限”窗口中,选择“添加权限”。

  9. 在“请求 API 权限”窗口的“Microsoft API”选项卡上,依次选择“Microsoft Graph”、“应用程序权限”。

  10. 找到并添加以下权限:

    • Group.Read.All
    • User.Read.All

  11. 选择“添加权限” 。 此时会出现一条消息,确认已保存设置。 新权限将显示在“API 权限”窗口中。

  12. 在“授予许可”区域中,选择“为 <管理员帐户> (默认目录)授予管理员许可”,然后选择“是”。 此时会出现一条消息,确认已授予对所请求权限的管理员许可。

  13. 选择“概述”。

  14. 记下右侧窗格中显示的“应用程序(客户端) ID”和“目录(租户) ID”。 稍后需要在 TMWS 中输入该信息。

配置 TMWS SSO

完成以下步骤以在应用程序端配置 TMWS SSO。

  1. 登录到 TMWS 管理控制台,转到“管理”>“用户和身份验证”>“目录服务”。

  2. 在屏幕的上部区域选择“此处” 。

  3. 在“身份验证方法”页面,选择“Microsoft Entra ID”。

  4. 选择“打开”或“关闭”来配置当组织中 Microsoft Entra 用户的数据未同步到 TMWS 时,是否允许这些用户通过 TMWS 访问网站。

    注意

    未从 Microsoft Entra ID 同步的用户只能通过已知的 TMWS 网关或组织的专用端口进行身份验证。

  5. 在“标识提供者设置”部分完成以下步骤:

    a. 在“服务 URL”框中,输入复制的“登录 URL”值。

    b. 在“登录名属性”框中,输入具有“user.onpremisessamaccountname”源属性的“用户声明名称”。

    c. 在“公共 SSL 证书”框中,使用“证书(Base64)”。

  6. 在“同步设置”部分中,完成以下步骤:

    a. 在“租户”框中,输入“目录(租户) ID”或“自定义域名”值。

    b. 在“应用程序 ID”框中,输入“应用程序(客户端) ID”值。

    c. 在“客户端密码”字段中,输入“客户端密码”。

    d. 选择“同步计划”,以手动或按计划与 Microsoft Entra ID 同步。 如果选择“手动”,则每当存在 Active Directory 用户信息更改时,请记得返回到“目录服务”页并执行手动同步,使 TMWS 中的信息保持最新。

    e. 选择“测试连接”,检查 Microsoft Entra 服务是否可以成功连接。

    f. 选择“保存”。

注意

有关如何使用 Microsoft Entra ID 配置 TMWS 的详细信息,请参阅在 TMWS 中配 Microsoft Entra 设置

测试 SSO

配置 Microsoft Entra 服务并将 Microsoft Entra ID 指定为用户身份验证方法后,可以登录到 TMWS 代理服务器来验证设置。 在 Microsoft Entra 登录验证你的帐户后,即可访问 Internet。

注意

TMWS 不支持通过“概览”>“单一登录”>“设置 SAML 单一登录”>“新企业应用程序测试”来测试单一登录。

  1. 清除浏览器中的所有 Cookie,然后重启浏览器。

  2. 将浏览器指向 TMWS 代理服务器。 有关详细信息,请参阅使用 PAC 文件转发流量

  3. 访问任何 Internet 网站。 TMWS 会将你转到 TMWS 强制网络门户。

  4. 指定 Active Directory 帐户(格式:domain\sAMAccountNamesAMAccountName@domain)、电子邮件地址或 UPN,然后选择“登录” 。 TMWS 会将你转到 Microsoft Entra 登录窗口。

  5. 在 Microsoft Entra 登录窗口中,输入 Microsoft Entra 帐户凭据。 现在你应当已登录到 TMWS。

后续步骤

配置 TMWS 后,可以强制实施会话控制,这可以实时防止组织的敏感数据发生外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制