你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为传感器控制台设置单一登录
本文介绍如何使用 Microsoft Entra ID 为 Defender for IoT 传感器控制台设置单一登录 (SSO)。 通过 SSO,组织的用户可以轻松登录到传感器控制台,不需要跨不同传感器和站点的多个登录凭据。
使用 Microsoft Entra ID 可以简化入职和离职流程,减少管理开销,并确保整个组织的访问控制保持一致。
注意
通过 SSO 登录目前是一项预览版功能。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
先决条件
开始之前:
- 将本地 Active Directory 与 Microsoft Entra ID 同步。
- 将出站允许规则添加到防火墙、代理服务器等。 可以从站点和传感器页访问所需终结点的列表。
- 如果没有可用于 SSO 授权的现有 Microsoft Entra ID 用户组,请与组织的标识管理员合作创建相关用户组。
- 验证是否拥有以下权限:
- Microsoft Entra ID 上的成员用户。
- Defender for IoT 订阅的管理员、参与者或安全管理员权限。
- 确保每个用户都有名字、姓氏和用户主体名称。
- 如果需要,请设置多重身份验证 (MFA)。
在 Microsoft Entra ID 上创建应用程序 ID
在 Azure 门户中,打开 Microsoft Entra ID。
选择“添加”>“应用注册”。
在“注册应用程序”页中:
- 在“名称”下,键入应用程序的名称。
- 在“受支持的帐户类型”下,选择“仅此组织目录中的帐户(仅 Microsoft - 单一租户)”。
- 在“重定向 URI”下,为要启用 SSO 的第一个传感器添加 IP 或主机名。 你将在下一步(添加传感器 URI)中继续添加其他传感器的 URI。
注意
在此阶段添加 URI 是 SSO 正常工作所必需的。
选择“注册”。 Microsoft Entra ID 显示新注册的应用程序。
添加传感器 URI
在新应用程序中,选择“身份验证”。
在“重定向 URI”下,在上一步骤中添加的第一个传感器的 URI 显示在“重定向 URI”下。 若要添加其余 URI,请执行以下操作:
选择“添加 URI”以添加另一行,然后键入 IP 或主机名。
对其余已连接的传感器重复此步骤。
当 Microsoft Entra ID 成功添加 URI 时,将显示“重定向 URI 符合使用 PKCE 授权代码流的条件”消息。
选择“保存”。
向应用程序授予访问权限
在新应用程序中,选择“API 权限”。
在“添加权限”旁边,选择“为 <目录名称> 授予管理员同意”。
创建 SSO 配置
在 Azure 门户的 Defender for IoT 中,选择“站点和传感器”>“传感器设置”。
在“传感器设置”页上,选择“+ 添加”。 在“基本信息”选项卡中:
选择订阅。
在“类型”旁边,选择“单一登录”。
在“名称”旁边,键入相关站点的名称,然后选择“下一步”。
在“设置”选项卡中:
在“应用程序名称”旁边,选择在 Microsoft Entra ID 中创建的应用程序的 ID。
在“权限管理”下,为相关用户组分配“管理员”、“安全分析师”和“只读”权限。 可以选择多个用户组。
选择下一步。
注意
确保已在防火墙/代理上为指定终结点添加允许规则。 可以从站点和传感器页访问所需终结点的列表。
在“应用”选项卡中,选择相关站点。
可以选择打开“按特定区域/传感器添加选择”,以将设置应用于特定区域和传感器。
选择“下一步”,检查配置,然后选择“创建”。
使用 SSO 登录
若要测试使用 SSO 进行登录,请执行以下操作:
在 Azure 门户上打开 Defender for IoT,然后选择“SSO 登录”。
首次登录时,请在“登录”页中键入你的个人凭据(工作电子邮件和密码)。
将显示 Defender for IoT“概述”页。
后续步骤
有关详细信息,请参阅: