通过

将 ADP 配置为使用 Microsoft Entra ID 进行单一登录

本文介绍如何将 ADP 与 Microsoft Entra ID 集成。 将 ADP 与 Microsoft Entra ID 集成后,可以:

  • 在 Microsoft Entra ID 中控制谁有权访问 ADP。
  • 让用户能够使用其 Microsoft Entra 帐户自动登录到 ADP。
  • 在一个中心位置管理帐户。

先决条件

本文中概述的方案假定你已具备以下先决条件:

  • 已启用单一登录 (SSO) 的 ADP 订阅。

注意

此集成也可以通过 Microsoft Entra 美国政府云环境使用。 可以在“Microsoft Entra 美国政府云应用程序库”中找到此应用程序,并以公有云相同的方式对其进行配置。

方案描述

本文中,您将在测试环境中配置并测试 Microsoft Entra SSO。

  • ADP 支持 IDP 发起的 SSO

注意

此应用程序的标识符是一个固定字符串值,因此只能在一个租户中配置一个实例。

若要配置 ADP 与 Microsoft Entra ID 的集成,需要从库中将 ADP 添加到托管 SaaS 应用程序列表。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 请导航到 Entra ID>企业应用>新应用
  3. 在“从库中添加”部分的搜索框中,键入“ADP”。
  4. 从结果面板中选择“ADP”,然后添加该应用。 等待几秒钟,以便将该应用添加到租户。

或者,也可以使用企业应用配置向导。 在此向导中,还可以将应用程序添加到租户、将用户/组添加到应用、分配角色以及演练 SSO 配置。 详细了解 Microsoft 365 向导

配置并测试 ADP 的 Microsoft Entra SSO

使用名为 B.Simon 的测试用户配置并测试 ADP 的 Microsoft Entra SSO。 若要使 SSO 正常工作,需要在 Microsoft Entra 用户与 ADP 中的相关用户之间建立关联。

若要配置并测试 ADP 的 Microsoft Entra SSO,请执行以下步骤:

  1. 配置 Microsoft Entra SSO - 使用户能够使用此功能。
    1. 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
    2. 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
  2. 配置 ADP SSO - 在应用程序端配置单一登录设置。
    1. 在 ADP 中创建测试用户,以便创建与 B.Simon 相对应的用户,并将其链接到 Microsoft Entra 的用户表示形式。
  3. 测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>Enterprise 应用>ADP 应用程序集成页,选择 “属性”选项卡 并执行以下步骤:

    单一登录属性

    a。 将“允许用户登录”字段值设置为“是”

    b. 复制 用户访问 URL ,必须将其粘贴到 “配置登录 URL”部分,本文稍后将对此进行介绍。

    c. 将“需要进行用户分配”字段值设置为“是”。

    d. 将“对用户可见”字段值设置为“否”。

  3. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  4. 浏览到 Entra ID>Enterprise 应用>ADP 应用程序集成页,找到 “管理 ”部分并选择 “单一登录”。

  5. 在“选择单一登录方法”页上选择“SAML”

  6. “配置 SAML 单点登录”页上,选择 “基本 SAML 配置”中的铅笔图标以编辑设置。

    编辑基本 SAML 配置

  7. 在“基本 SAML 配置”部分执行以下步骤:

    标识符(实体 ID)文本框中,键入 URL:https://fed.adp.com

  8. 在“设置 SAML 单一登录”页的“SAML 签名证书”部分,找到“联合元数据 XML”,选择“下载”以下载该证书并将其保存在计算机上

    证书下载链接

  9. 在“设置 ADP”部分中,根据要求复制相应 URL。

    复制配置 URL

创建和分配 Microsoft Entra 测试用户

请遵循创建和分配用户帐户快速指南中的指引,创建一个名为 B.Simon 的测试用户帐户。

配置 ADP SSO

  1. 在另一个 Web 浏览器窗口中,以管理员身份登录到 ADP 公司站点

  2. 选择 “联合身份验证设置 ”并转到 “标识提供者 ”,然后选择 Microsoft Azure

    标识提供者的屏幕截图。

  3. “服务选择”中,选择所有适用的服务进行连接,然后选择“ 下一步”。

    服务选择的屏幕截图。

  4. “配置 ”部分中,选择“ 下一步”。

  5. “上传元数据”中,选择“ 浏览 ”以上传已下载的元数据 XML 文件,然后选择 “上传”。

    元数据上传的屏幕截图。

配置 ADP 服务进行联合访问

重要说明

必须将需要联合访问 ADP 服务的员工分配到 ADP 服务应用,然后,必须将用户重新分配到特定的 ADP 服务。 收到 ADP 代表的确认后,请配置 ADP 服务并分配/管理用户,以控制用户对特定 ADP 服务的访问。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 请导航到 Entra ID>企业应用>新应用
  3. 在“从库中添加”部分的搜索框中,键入“ADP”。
  4. 从结果面板中选择“ADP”,然后添加该应用。 等待几秒钟,以便将该应用添加到租户。

或者,也可以使用企业应用配置向导。 在此向导中,还可以将应用程序添加到租户、将用户/组添加到应用、分配角色以及演练 SSO 配置。 详细了解 Microsoft 365 向导

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>企业应用

  3. 选择 ADP 应用程序集成页,选择 “属性”选项卡 并执行以下步骤:

    单一登录链接属性选项卡

    1. 将“允许用户登录”字段值设置为“是”

    2. 将“需要进行用户分配”字段值设置为“是”。

    3. 将“对用户可见”字段值设置为“是”。

  4. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  5. 浏览到 Entra ID>Enterprise 应用>ADP 应用程序集成页,找到 “管理 ”部分并选择 “单一登录”。

  6. 选择单一登录方法对话框中,将模式选择为链接,将应用程序链接到 ADP

  7. 导航到“配置登录 URL”部分,执行以下步骤:

    配置单一登录

    1. 粘贴从上述“属性”选项卡复制的“用户访问 URL”(在 ADP 主应用中)。

    2. 以下 5 个不同的应用支持“中继状态 URL”。 必须手动将特定应用程序的相应“中继状态 URL”值追加到“用户访问 URL”。

      • ADP Workforce Now

        <User access URL>&relaystate=https://fed.adp.com/saml/fedlanding.html?WFN

      • ADP Workforce Now Enhanced Time

        <User access URL>&relaystate=https://fed.adp.com/saml/fedlanding.html?EETDC2

      • ADP Vantage HCM

        <User access URL>&relaystate=https://fed.adp.com/saml/fedlanding.html?ADPVANTAGE

      • ADP 企业人力资源

        <User access URL>&relaystate=https://fed.adp.com/saml/fedlanding.html?PORTAL

      • MyADP

        <User access URL>&relaystate=https://fed.adp.com/saml/fedlanding.html?REDBOX

  8. 保存更改。

  9. 收到 ADP 代表的确认后,可以开始使用一个或两个用户进行测试。

    1. 将少量的用户分配到 ADP 服务应用,以测试联合访问。

    2. 如果这些用户能够访问库中的 ADP 服务应用,并且能够访问其 ADP 服务,则表示测试成功。

  10. 确认成功测试后,将联合 ADP 服务分配给单个用户或用户组,本文稍后将对此进行说明,并将其推广到员工。

配置 ADP 以支持同一租户中的多个实例

  1. 转到“基本 SAML 配置”部分,在“标识符(实体 ID)”文本框中输入任何特定于实例的 URL。

    注意

    请注意,这可以是你认为与实例相关的任何随机值。

  2. 若要支持同一租户中的多个实例,请执行以下步骤:

    屏幕截图显示了如何配置受众声明值。

    1. 导航到 “属性和声明 ”部分 >“高级设置>”高级 SAML 声明选项 ,然后选择“ 编辑”。

    2. 启用“将应用程序 ID 追加到颁发者”复选框。

    3. 启用“替代受众声明”复选框。

    4. “受众声明值 ”文本框中,输入 https://fed.adp.com 并选择“ 保存”。

  3. 导航到“管理”部分下的属性选项卡,并复制应用程序 ID

    屏幕截图显示如何从“属性”选项卡复制应用程序值。

  4. 下载并打开联合元数据 XML 文件,并通过在末尾手动添加应用程序 ID 来编辑 entityID 值。

    屏幕截图显示如何在联合文件中添加应用程序值。

  5. 保存 xml 文件并在 ADP 端使用。

创建 ADP 测试用户

在本部分中,将在 ADP 中创建一个名为 B.Simon 的用户。 请与 ADP 支持团队协作,将用户添加到 ADP 帐户中。

测试 SSO

在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。

  • 选择“ 测试此应用程序”,应会自动登录到为其设置了 SSO 的 ADP。

  • 你可使用 Microsoft 的“我的应用”。 选择“我的应用”中的 ADP 磁贴时,应会自动登录到已为其设置了 SSO 的 ADP。 有关“我的应用”的详细信息,请参阅“我的应用”简介

相关内容

配置 ADP 后,可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制