将 Abstract 配置为使用 Microsoft Entra ID 进行单一登录

本文介绍如何将 Abstract 与 Microsoft Entra ID 集成。 将 Abstract 与 Microsoft Entra ID 集成后，可以：

• 在 Microsoft Entra ID 中控制谁有权访问 Abstract。
• 让用户能够使用其 Microsoft Entra 帐户自动登录到 Abstract。
• 在一个中心位置管理帐户。

先决条件

本文中概述的方案假定你已具备以下先决条件：

• 具有活动订阅的 Microsoft Entra 用户帐户。 如果还没有帐户，可以 免费创建帐户。
• 以下角色之一：
  • 应用程序管理员
  • 云应用程序管理员
  • 应用程序所有者。

• 已启用 Abstract 单一登录 (SSO) 的订阅。

方案说明

本文中，您将在测试环境中配置并测试 Microsoft Entra SSO。

• Abstract 支持 SP 和 IDP 发起的 SSO。

从库中添加 Abstract

若要配置 Abstract 与 Microsoft Entra ID 的集成，需要从库中将 Abstract 添加到托管 SaaS 应用程序列表。

1. 以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>企业应用>新建应用程序。
3. 在“从库中添加”部分的搜索框中，键入“Abstract”。
4. 从结果面板中选择“Abstract”，然后添加该应用。 请稍等几秒钟，应用程序将被添加到您的租户中。

或者，也可以使用 企业应用配置向导。 在此向导中，还可以将应用程序添加到租户、将用户/组添加到应用、分配角色以及演练 SSO 配置。 详细了解 Microsoft 365 向导。

配置并测试 Abstract 的 Microsoft Entra SSO

使用名为 B.Simon 的测试用户配置并测试 Abstract 的 Microsoft Entra SSO。 若要使 SSO 正常工作，需要在 Microsoft Entra 用户与 Abstract 中的相关用户之间建立关联。

若要配置并测试 Abstract 的 Microsoft Entra SSO，请执行以下步骤：

1. 配置 Microsoft Entra SSO - 使用户能够使用此功能。
   1. 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
   2. 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
2. 配置 Abstract SSO - 在应用程序端配置单一登录设置。
   1. 创建 Abstract 测试用户 - 在 Abstract 中创建 B.Simon 的对应用户，此用户链接到 Microsoft Entra 中的用户表示形式。
3. 测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

1. 以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到 Entra ID>企业应用>Abstract 应用程序集成页面，找到 “管理” 部分并选择 “单一登录”。

3. 在“选择单一登录方法”页上选择“SAML” 。

4. 在“设置 SAML 单一登录”页上，选择“基本 SAML 配置”对应的铅笔图标以编辑设置。

   

5. 在 “基本 SAML 配置 ”部分中，应用程序在 IDP 发起的模式下预配置，并且已使用 Azure 预填充必要的 URL。 用户需要通过选择“ 保存 ”按钮来保存配置。

6. 若要在由 SP 发起的模式下配置应用程序，请选择“设置其他 URL”，并执行以下步骤：

   在 “登录 URL ”文本框中，键入 URL： https://app.abstract.com/signin

7. 在使用 SAML 设置单一 Sign-On页面上的SAML 签名证书部分中，选择“复制按钮”以复制应用联合元数据 URL并将其保存在计算机上。

   

创建和分配 Microsoft Entra 测试用户

请遵循创建和分配用户帐户快速入门中的准则，以创建一个名为 B.Simon 的测试用户帐户。

配置 Abstract SSO

请务必检索你的App Federation Metadata Url和Azure AD Identifier，因为需要使用它们在 Abstract 上配置 SSO。

可以在“设置 SAML 单一登录”页面上找到这些信息：

• App Federation Metadata Url 位于“SAML 签名证书”部分。
• Azure AD Identifier 位于“设置 Abstract”部分。

现在可以在 Abstract 上配置 SSO：

注释

需要使用组织管理员帐户进行身份验证才能访问 Abstract 上的 SSO 设置。

1. 打开抽象 Web 应用。
2. 转到左侧栏中的“权限”页。
3. 在 “配置 SSO ”部分中，输入 元数据 URL 和 实体 ID。
4. 输入你可能有的任何手动例外。 手动异常部分中列出的电子邮件绕过 SSO，并且能够使用电子邮件和密码登录。
5. 选择“ 保存更改”。

注释

需使用手动例外列表中的主要电子邮件地址。 如果列出的电子邮件是用户的辅助电子邮件，SSO 激活将失败。 如果发生这种情况，则会看到一条错误消息，其中包含失败帐户的主要电子邮件。 在验证你知道该用户后，向手动例外添加该主要电子邮件。

创建 Abstract 测试用户

若要在 Abstract 上测试 SSO，请执行以下操作：

1. 打开抽象 Web 应用。
2. 转到左侧栏中的“权限”页。
3. 选择 “使用我的帐户进行测试”。 如果测试失败，请联系抽象支持团队。

注释

需要使用组织管理员帐户进行身份验证才能访问 Abstract 上的 SSO 设置。 需要将此组织管理员帐户分配给 Abstract。

测试 SSO

在本部分，你将使用以下选项测试 Microsoft Entra 单一登录配置。

SP 发起：

• 选择“ 测试此应用程序”，此选项会重定向到抽象登录 URL，可在其中启动登录流。

• 直接转到 Abstract 登录 URL，并从那里启动登录流。

IDP 发起：

• 选择“测试此应用程序”后，你应会自动登录到为其设置了 SSO 的 Abstract。

还可以使用Microsoft“我的应用”在任何模式下测试应用程序。 在“我的应用”中选择“抽象”磁贴时，如果是在 SP 模式下配置的，你会重定向到应用程序登录页来启动登录流;如果是在 IDP 模式下配置的，则应会自动登录到为其设置了 SSO 的 Abstract。 有关“我的应用”的详细信息，请参阅 “我的应用简介”。

相关内容

配置 Abstract 后，可以强制实施会话控制，实时防止组织的敏感数据外泄和渗透。 会话控制是条件访问的延伸。 了解如何使用 Microsoft Defender for Cloud Apps 强制实施会话控制。