通过

使用 Microsoft Entra ID 配置 Cloud Academy 进行单一登录

本文介绍如何将 Cloud Academy 与 Microsoft Entra ID 集成。 将 Cloud Academy 与 Microsoft Entra ID 集成后,可以:

  • 使用 Microsoft Entra ID 控制谁有权访问 Cloud Academy。
  • 使用户能够使用其 Microsoft Entra 帐户自动登录到 Cloud Academy。
  • 在一个中心位置(Azure 门户)管理帐户。

先决条件

若要开始操作,你需要以下各项:

  • 一个 Microsoft Entra 订阅。 如果没有订阅,可以获取 免费帐户
  • 启用了单一登录 (SSO) 的 Cloud Academy 订阅。

文章说明

本文中,您将在测试环境中配置并测试 Microsoft Entra SSO。

  • Cloud Academy 支持 SP 发起的 SSO。
  • Cloud Academy 支持实时用户设置。
  • Cloud Academy 支持 自动用户预配

若要配置 Cloud Academy 与 Microsoft Entra ID 的集成,需要从库中将 Cloud Academy 添加到托管的 SaaS 应用程序列表:

  1. 以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到 Entra ID>企业应用>新建应用程序
  3. 在“从库中添加”部分中,在搜索框中输入“Cloud Academy”。
  4. 从结果面板中选择 Cloud Academy,然后添加该应用。 等待几秒钟,以便将该应用添加到租户。

或者,也可以使用 企业应用配置向导。 在此向导中,可以将应用程序添加到租户,将用户/组添加到应用,分配角色,并逐步完成 SSO 配置。 详细了解 Microsoft 365 向导

配置并测试 Cloud Academy 的 Microsoft Entra SSO

使用名为 B.Simon 的测试用户配置并测试 Cloud Academy 的 Microsoft Entra SSO。 若要正常使用 SSO,需要在 Microsoft Entra 用户与 Cloud Academy 中的相关用户之间建立关联。

为了配置和测试 Microsoft Entra SSO 与 Cloud Academy 的集成,请按以下高层步骤进行:

  1. 配置 Microsoft Entra SSO ,使用户能够使用该功能。
    1. 创建 Microsoft Entra 测试用户 以测试 Microsoft Entra 单一登录。
    2. 授予对测试用户的访问权限 ,使用户能够使用 Microsoft Entra 单一登录。
  2. 在应用程序端配置 Cloud Academy 的单一登录
    1. 创建 Cloud Academy 测试用户,对应于该用户的 Microsoft Entra 表示形式。
  3. 测试 SSO 以验证配置是否正常工作。

配置 Microsoft Entra SSO

在 Azure 门户中执行以下步骤来启用 Microsoft Entra SSO:

  1. 以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>Enterprise Apps>Cloud Academy 应用程序集成页,在 “管理 ”部分中,选择 单一登录

  3. 在“选择单一登录方法”页上选择“SAML”

  4. 设置 SAML 单一登录页上,选择基本 SAML 配置对应的铅笔按钮以编辑设置:

    显示用于编辑基本 SAML 配置的铅笔按钮的屏幕截图。

  5. 基本 SAML 配置部分,更新标识符文本框,键入以下 URL,然后继续操作:

    Identifier
    urn:federation:cloudacademy

  6. 基本 SAML 配置部分,更新回复 URL 文本框,键入以下 URL 之一,然后继续操作:

    回复 URL
    https://cloudacademy.com/labs/social/complete/saml/
    https://app.qa.com/labs/social/complete/saml/

  7. 基本 SAML 配置部分,更新登录 URL 文本框,键入以下 URL 之一,然后将它保存:

    登录 URL
    https://cloudacademy.com/login/enterprise/
    https://app.qa.com/login/enterprise/

  8. 选择 SAML 签名证书的铅笔按钮以编辑设置:

    显示如何编辑证书的屏幕截图。

  9. 下载 PEM 证书

    显示如何下载 P E M 证书的屏幕截图。

  10. 设置 Cloud Academy 部分,复制登录 URL

    显示登录 U R L 的复制按钮的屏幕截图。

创建 Microsoft Entra 测试用户

在本部分,你将创建名为 B.Simon 的测试用户。

  1. 以至少用户管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到 Entra ID>用户
  3. 选择屏幕顶部的新建用户>创建新用户
  4. “用户 ”属性中,执行以下步骤:
    1. 在“显示名称”字段中输入 B.Simon
    2. 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如,B.Simon@contoso.com
    3. 选中“显示密码”复选框,然后记下“密码”框中显示的值。
    4. 选择查看 + 创建
  5. 选择“创建”

向测试用户授予访问权限

在本部分,通过授予 B.Simon 访问 Cloud Academy 的权限,使其能够使用 Azure 单一登录。

  1. 浏览到 Entra ID>企业应用
  2. 在应用程序列表中选择 Cloud Academy
  3. 在应用概述页上的管理部分,选择用户和组
  4. 选择添加用户,然后在添加分配对话框中选择用户和组
  5. 在“用户和组”对话框中,在“用户”列表中选择 B.Simon,然后选择屏幕底部的“选择”按钮。
  6. 如果你希望将某角色分配给用户,可以从选择角色下拉列表中选择该角色。 如果尚未为此应用设置任何角色,你将看到选择了“默认访问权限”角色。
  7. 在“添加分配”对话框中选择“分配”。

为 Cloud Academy 配置单一登录

  1. 在其他浏览器窗口中,以管理员身份登录 Cloud Academy 公司站点。

  2. 在主页上,选择 Azure 集成团队 图标,然后在左侧菜单中选择 “设置 ”。

  3. 集成选项卡上选择 SSO 卡。

    显示“设置和集成”选项的屏幕截图。

  4. 选择开始配置以设置 SSO。

  5. 常规设置页上完成以下步骤:

    显示常规设置中集成功能的屏幕截图。

    1. SSO URL(位置) 框中,粘贴复制的登录 URL 值,在 “配置”Microsoft Entra SSO 的步骤 9 中。

    2. 在记事本中打开下载的 Base64 证书。 将其内容粘贴到证书框。

  6. 在以下页面中执行以下步骤:

    屏幕截图显示了其他设置中的集成。

    1. SAML 属性映射部分,在必填字段中填入源属性值:

      http://schemas.microsoft.com/identity/claims/objectidentifier http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    2. 安全设置部分,选中身份验证请求是否签名?复选框,以将此值设置为 True

    3. “额外设置”(可选)部分中,在“配置Microsoft Entra SSO”的步骤 9 中,使用复制的注销 URL 值填充注销 URL 框。

  7. 选择保存并测试

  8. 接下来会出现一个对话框,其中显示服务提供程序信息。 下载 XML 文件:

    显示下载元数据配置文件的屏幕截图。

  9. 有了服务提供程序的 XML 文件后,就可以返回到创建的应用程序了。 在单一登录部分,上传元数据文件:

    显示上传 Azure 应用程序中元数据的屏幕截图。

  10. 更新服务提供程序元数据后,就可以返回到 Cloud Academy 公司站点的 SSO 面板,继续进行测试和激活。 在“服务提供程序”对话框中,选择继续

    显示“服务提供商”对话框的屏幕截图。

  11. 选择测试 SSO 连接以启动测试流:

    显示“测试 S S O 连接”按钮的屏幕截图。

    注意

    如果你使用创建的测试用户帐户登录到 Cloud Academy,请继续完成测试流。 否则,请关闭对话框,向上滚动到常规设置,在专用或 Incognito 浏览器标签页中复制并粘贴子域 URL,然后以测试用户身份登录。 如果登录成功,可以关闭浏览器标签页,然后选择保存并测试。 浏览器标签页会重新打开服务提供程序对话框。 选择继续,然后再次选择测试 SSO 连接。 最后,选择测试成功,因为你已使用专用或 Incognito 标签页测试了登录。

    继续执行下一步。

  12. 如果登录成功,可以激活整个组织的 SSO 集成:

    显示 S S O 激活成功的屏幕截图。

注意

有关如何配置 Cloud Academy 的详细信息,请参阅 “设置单一登录”。

创建 Cloud Academy 测试用户

在本部分,我们将在 Cloud Academy 中创建一个名为 B.Simon 的用户。 Cloud Academy 支持默认已启用的实时用户设置。 在此部分中,你无需执行任何操作。 如果 Cloud Academy 中不存在用户,则会在身份验证后创建一个新用户。

Cloud Academy 还支持自动用户设置。 有关详细信息,请参阅 Cloud Academy SSO 预配文章

测试 SSO

本部分将使用以下选项之一测试 Microsoft Entra SSO 配置:

  • 在 Azure 门户中,选择“测试此应用程序”。 在重定向到 Cloud Academy 登录 URL 后,你就可以启动登录流。

  • 直接转到 Cloud Academy 登录 URL,并从那里启动登录流。

  • 你可使用 Microsoft 的“我的应用”。 在“我的应用”门户中选择 Cloud Academy 磁贴时,此选项会重定向到 Cloud Academy 登录 URL。 有关“我的应用”门户的详细信息,请参阅 “我的应用简介”。

相关内容

配置 Cloud Academy 后,就可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何使用 Microsoft Cloud App Security 强制实施会话控制