教程:Microsoft Entra 单一登录 (SSO) 与 WEDO 的集成

本教程介绍如何将 WEDO 与 Microsoft Entra ID 相集成。 将 WEDO 与 Microsoft Entra ID 集成后,可以:

  • 在 Microsoft Entra ID 中控制谁有权访问 WEDO。
  • 让用户能够使用其 Microsoft Entra 帐户自动登录到 WEDO。
  • 在中心位置管理帐户。

先决条件

若要开始操作,需备齐以下项目:

  • 一个 Microsoft Entra 订阅。 如果没有订阅,可以获取一个免费帐户
  • 已启用 WEDO 单一登录 (SSO) 的订阅。 请联系 WEDO 客户端支持团队获取 SSO 订阅。

方案描述

在本教程中,你将在测试环境中配置并测试 Microsoft Entra SSO。

若要配置 WEDO 与 Microsoft Entra ID 的集成,需要从库中将 WEDO 添加到托管 SaaS 应用列表。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
  3. 在“从库中添加”部分的搜索框中,键入 WEDO
  4. 在结果面板中选择“WEDO”,然后添加该应用。 在该应用添加到租户时等待几秒钟。

或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户、将用户/组添加到应用、分配角色,以及逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。

配置并测试 WEDO 的 Microsoft Entra SSO

使用名为 B.Simon 的测试用户配置并测试 WEDO 的 Microsoft Entra SSO。 若要使 SSO 正常工作,需要在 Microsoft Entra 用户与 WEDO 中的相关用户之间建立关联。

若要配置并测试 WEDO 的 Microsoft Entra SSO,请执行以下步骤:

  1. 配置 Microsoft Entra SSO - 使用户能够使用此功能。
    1. 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
    2. 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
  2. 配置 WEDO SSO - 在应用程序端配置单一登录设置。
    1. 创建 WEDO 测试用户 - 在 WEDO 中创建 B.Simon 的对应用户,并将其关联到该用户的 Microsoft Entra 表示形式。
  3. 测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“WEDO”>“单一登录”。

  3. 在“选择单一登录方法”页上选择“SAML” 。

  4. 在“设置 SAML 单一登录”页面上,单击“基本 SAML 配置”旁边的铅笔图标以编辑设置 。

    Edit Basic SAML Configuration

  5. 如果要在 IDP 发起的模式下配置应用程序,请在“基本 SAML 配置”部分执行以下步骤:

    a. 在“标识符”文本框中,使用以下模式键入 URL:

    b. 在“回复 URL”文本框中,使用以下模式键入 URL:

  6. 如果要在 SP 发起的模式下配置应用程序,请单击“设置其他 URL” ,并执行以下步骤:

    在“登录 URL” 文本框中,使用以下模式键入 URL:https://<SUBDOMAIN>.wedo.swiss/

    注意

    这些不是实际值。 请使用实际的“标识符”、“回复 URL”和“登录 URL”更新这些值。 请联系 WEDO 客户端支持团队获取这些值。 还可参考“基本 SAML 配置”部分中显示的模式。

  7. WEDO 应用程序需要特定格式的 SAML 断言,因此,需要在 SAML 令牌属性配置中添加自定义属性映射。 以下屏幕截图显示了默认属性的列表。

    名称 源属性
    电子邮件 user.email
    firstName user.firstName
    lastName user.lasttName
    userName user.userName
  8. 在“使用 SAML 设置单一登录”页的“SAML 签名证书”部分中找到“联合元数据 XML”,选择“下载”以下载该证书并将其保存在计算机上 。

    The Certificate download link

  9. 在“设置 WEDO”部分,根据要求复制相应的 URL。

    Copy configuration URLs

创建 Microsoft Entra 测试用户

在本部分,你将创建名为 B.Simon 的测试用户。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“用户”>“所有用户”。
  3. 选择屏幕顶部的“新建用户”>“创建新用户”。
  4. 在“用户”属性中执行以下步骤
    1. 在“显示名称”字段中输入 B.Simon
    2. 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如 B.Simon@contoso.com
    3. 选中“显示密码”复选框,然后记下“密码”框中显示的值。
    4. 选择“查看 + 创建”。
  5. 选择“创建”。

分配 Microsoft Entra 测试用户

在本部分,你将通过授予 B.Simon 访问 WEDO 的权限,使其能够使用单一登录。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“WEDO”。
  3. 在应用的概述页中,找到“管理”部分,选择“用户和组” 。
  4. 选择“添加用户”,然后在“添加分配”对话框中选择“用户和组”。
  5. 在“用户和组”对话框中,从“用户”列表中选择“B.Simon”,然后单击屏幕底部的“选择”按钮。
  6. 如果在 SAML 断言中需要任何角色值,请在“选择角色”对话框的列表中为用户选择合适的角色,然后单击屏幕底部的“选择”按钮。
  7. 在“添加分配”对话框中,单击“分配”按钮。

配置 WEDO SSO

执行以下步骤,以在 WEDO 中启用 Microsoft Entra SSO。

  1. 登录到 WEDO。 需有管理员角色

  2. 在“配置文件设置”中,选择“网络设置”部分中的“身份验证”菜单。

  3. 在“SAML 身份验证”页上执行以下步骤:

    SAML Authentication link

    a. 启用“SAML 身份验证”。

    b. 选择“标识提供者元数据(XML)”选项卡。

    c. 在记事本中打开从 Azure 门户下载的“联合元数据 XML”,复制元数据 XML 的内容,并将其粘贴到“X.509 证书”文本框中。

    d. 单击“保存” 。

创建 WEDO 测试用户

创建 WEDO 测试用户在本部分,你将在 WEDO 中创建名为 Bob Simon 的用户。 使用的信息必须与“创建 Microsoft Entra 测试用户”中的信息相匹配。

  1. 在 WEDO 的“配置文件设置”中,选择“网络设置”部分中的“用户”。

  2. 单击“添加用户” 。

  3. 在“添加用户”弹出窗口中填写用户的信息

    a. 名字 B

    b. 姓氏 Simon

    c. 输入电子邮件 username@companydomain.extension。 例如,B.Simon@contoso.com。 必须使用域与公司短名称相同的电子邮件。

    d. 用户类型 User

    e. 单击“创建用户” 。

    f. 在“选择团队”页上,单击“保存”。

    g. 在“邀请用户”页上,单击“是”。

  4. 使用电子邮件中的链接验证用户

注意

若要创建一个虚构用户(上述电子邮件在你的网络中不存在),请联系我们的支持人员来验证用户*。

注意

WEDO 还支持自动用户预配,有关如何配置自动用户预配的更多详细信息,请参见此处

测试 SSO

在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。

SP 启动的:

  • 在 Azure 门户中单击“测试此应用程序”。 这将重定向到 WEDO 登录 URL,你可以从那里启动登录流。

  • 直接转到 WEDO 登录 URL,并从那里启动登录流。

IDP 启动的:

  • 单击“测试此应用程序”后,你应当会自动登录到为其设置了 SSO 的 WEDO。

还可以使用 Microsoft“我的应用”在任何模式下测试此应用程序。 在“我的应用”中单击“WEDO”磁贴时,如果是在 SP 模式下配置的,你会被重定向到应用程序登录页来启动登录流;如果是在 IDP 模式下配置的,你应会自动登录到为其设置了 SSO 的 WEDO。 有关详细信息,请参阅 Microsoft Entra 我的应用

后续步骤

配置 WEDO 后,可以强制实施会话控制,实时防止组织的敏感数据发生外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制