教程:Microsoft Entra SSO 与 Tulip 的集成

  • 项目

本教程介绍如何将 Tulip 与 Microsoft Entra ID 相集成。 将 Tulip 与 Microsoft Entra ID 集成后,可以:

  • 在 Microsoft Entra ID 中控制谁有权访问 Tulip。
  • 让用户能够使用其 Microsoft Entra 帐户自动登录到 Tulip。
  • 在中心位置管理帐户。

先决条件

若要开始操作,需备齐以下项目:

  • 一个 Microsoft Entra 订阅。 如果你没有订阅,可以获取一个免费帐户
  • 已启用 Tulip 单一登录 (SSO) 的订阅。

注意

此集成也可以通过 Microsoft Entra 美国政府云环境使用。 你可以在“Microsoft Entra 美国政府云应用程序库”中找到此应用程序,并以公有云相同的方式对其进行配置。

方案描述

在本教程中,将在测试环境中配置并测试 Microsoft Entra SSO。

  • Tulip 支持 IDP 发起的 SSO。

若要配置 Tulip 与 Microsoft Entra ID 的集成,需要从库中将 Tulip 添加到托管 SaaS 应用列表。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
  3. 在“从库中添加”部分的搜索框中,键入“Tulip”。
  4. 从结果面板中选择“Tulip”,然后添加该应用。 在该应用添加到租户时等待几秒钟。

或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户、将用户/组添加到应用、分配角色,以及逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。

配置并测试 Tulip 的 Microsoft Entra SSO

若要配置并测试 Tulip 的 Microsoft Entra SSO,请执行以下步骤:

  1. 配置 Microsoft Entra SSO - 使用户能够使用此功能。

  2. 配置 Tulip SSO - 在应用程序端配置单一登录设置。

    1. 若要在包含现有用户的 Tulip 实例上配置 SSO,请联系 support@tulip.co。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“Tulip”>“单一登录”。

  3. 在“选择单一登录方法”页上选择“SAML” 。

  4. 在“设置 SAML 单一登录”页面上,单击“基本 SAML 配置”旁边的铅笔图标以编辑设置 。

    Edit Basic SAML Configuration

  5. 在“基本 SAML 配置”部分,如果有服务提供程序元数据文件,请执行以下步骤:

    a.下载 Tulip 的元数据文件,可在你的 Tulip 实例的设置页下找到它 -

    b. 单击“上传元数据文件” 。

    image1

    b. 单击“文件夹徽标” 来选择元数据文件并单击“上传”。

    image2

    c. 成功上传元数据文件后,“标识符” 和“回复 URL” 值会自动填充在“基本 SAML 配置”部分:

    image3

    注意

    如果“标识符”和“回复 URL”值未自动填充,请根据需求手动填充这些值。

  6. Tulip 应用程序需要特定格式的 SAML 断言语句,这要求将自定义属性映射添加到 SAML 令牌属性的配置中。 以下屏幕截图显示了默认属性的列表。 如果 nameID 需要是电子邮件,请将格式更改为 Persistent

    image

  7. 除了上述属性,Tulip 应用程序还要求在 SAML 响应中传递回更多的属性,如下所示。 这些属性也是预先填充的,但可以根据要求查看它们。

    名称 源属性
    displayName user.displayname
    emailAddress user.mail
    badgeID user.employeeid
    groups user.groups

  8. 在“使用 SAML 设置单一登录”页的“SAML 签名证书”部分中找到“联合元数据 XML”,选择“下载”以下载该证书并将其保存在计算机上 。

配置 Tulip SSO

  1. 以帐户所有者身份登录到 Tulip 实例。

  2. 转到“设置”->“SAML”,然后在下图所示的页中执行以下步骤。

    Screenshot for tulip configuration.

    a. 启用 SAML 登录名。

    b. 单击“metadata xml 文件”以下载服务提供程序元数据文件,然后在 Azure 门户中的“基本 SAML 配置”部分上传该文件。

    c. 将联合元数据 XML 文件从 Azure 上传到 Tulip。 这会填充 SSO 登录名、SSO 退出登录 URL 和证书。

    d. 验证名称、电子邮件和徽章属性是否不为 null,即在所有三个输入中输入任何唯一字符串,并使用右侧的 Authenticate 按钮执行测试身份验证。

    e. 身份验证成功后,将整个声明 URL 复制/粘贴到名称、电子邮件和 badgeID 属性的相应映射中。

    • 粘贴名称属性值,作为 http://schemas.microsoft.com/identity/claims/displayname 或相应的声明 URL。

    • 粘贴电子邮件属性值,作为 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 或相应的声明 URL。

    • 粘贴徽章属性值,作为 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/badgeID 或相应的声明 URL。

    • 粘贴角色属性值,作为 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/groups 或相应的声明 URL。

    f. 单击“保存 SAML 配置”。

后续步骤

配置 Tulip 后,可以强制实施会话控制,实时防止组织的敏感数据遭受外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制

请联系 support@tulip.co 解决任何进一步的问题,包括迁移 Tulip 中的现有用户以使用 SAML!