为 Pega Systems 配置 Microsoft Entra ID 的单一登录

本文介绍如何将 Pega Systems 与 Microsoft Entra ID 集成。将 Pega Systems 与 Microsoft Entra ID 集成后，可以：

在 Microsoft Entra ID 中控制谁有权访问 Pega Systems。
让用户能够使用其 Microsoft Entra 帐户自动登录到 Pega Systems。
在一个中心位置管理帐户。

先决条件

本文中概述的方案假定你已具备以下先决条件：

具有活动订阅的 Microsoft Entra 用户帐户。如果还没有帐户，可以免费创建一个帐户。
以下角色之一：

已启用 Pega Systems 单一登录 (SSO) 的订阅。

方案说明

本文中，您将在测试环境中配置和测试 Microsoft Entra 的单一登录功能。

Pega Systems 支持 SP 和 IdP 发起的 SSO。

从库中添加 Pega Systems

若要配置 Pega Systems 与 Microsoft Entra ID 的集成，需要从库中将 Pega Systems 添加到托管 SaaS 应用列表。

至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
请导航到 Entra ID>企业应用>新应用。
在“从库中添加”部分的搜索框中，键入“Pega Systems” 。
从结果面板中选择“Pega Systems”，然后添加该应用。请稍等几秒钟，应用程序将被添加到您的租户中。

或者，也可以使用企业应用配置向导。在此向导中，还可以将应用程序添加到租户、将用户/组添加到应用、分配角色以及演练 SSO 配置。了解有关 Microsoft 365 助手的更多信息。

配置并测试 Pega Systems 的 Microsoft Entra SSO

使用名为 B.Simon 的测试用户配置和测试 Pega Systems 的 Microsoft Entra SSO。若要使 SSO 正常工作，需要在 Microsoft Entra 用户与 Pega Systems 中的相关用户之间建立关联。

若要配置并测试 Pega Systems 的 Microsoft Entra SSO，请执行以下步骤：

配置 Microsoft Entra SSO - 使用户能够使用此功能。
1. 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
2. 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
配置 Pega Systems SSO - 在应用程序端配置单一登录设置。
1. 创建 Pega Systems 测试用户 - 在 Pega Systems 中创建 B.Simon 的对应用户，并链接到用户的 Microsoft Entra 表示形式。
测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用>Pega Systems>单一登录。
在“选择单一登录方法”页上选择“SAML” 。
在 “使用 SAML 设置单一登录 ”页上，选择 基本 SAML 配置的 铅笔图标以编辑设置。
若要在 IdP 发起的模式下配置应用程序，请在“基本 SAML 配置”对话框中执行以下步骤。
1. 在“标识符”框中，使用以下模式键入 URL：
  
  https://<customername>.pegacloud.io:443/prweb/sp/<instanceID>
2. 在“回复 URL”框中，用以下模式键入 URL：
  
  https://<customername>.pegacloud.io:443/prweb/PRRestService/WebSSO/SAML/AssertionConsumerService
若要在 SP 发起的模式下配置应用程序，请选择“设置其他 URL”并完成以下步骤。
1. 在“登录 URL”框中，输入登录 URL 值。
2. 在“中继状态”框中，输入采用以下模式的 URL：
注释

此处提供的值为占位符。使用实际的标识符、回复 URL、登录 URL 和中继状态 URL。可以从 Pega 应用程序获取标识符和回复 URL 值，如本文后面部分所述。若要获取中继状态值，请联系 Pega Systems 支持团队。还可以参考 “基本 SAML 配置 ”部分中显示的模式。
Pega Systems 应用程序需要特定格式的 SAML 断言。若要获取正确格式的 SAML 断言，需将自定义属性映射添加到 SAML 令牌属性配置。以下屏幕截图显示了默认属性。选择“编辑” 图标以打开“用户属性” 对话框：
除上面屏幕截图中所示的属性以外，Pega Systems 应用程序还要求在 SAML 响应中传回其他几个属性。在“用户属性”对话框的“用户声明”部分，完成以下步骤以添加这些 SAML 令牌属性：
- uid
- cn
- mail
- accessgroup
- organization
- orgdivision
- orgunit
- workgroup
- Phone
注释

这些值特定于组织。请提供适当的值。
1. 选择“添加新声明”打开“管理用户声明”对话框：
1. 在“名称”框中，键入该行显示的属性名称。
2. 将“命名空间”框留空。
3. 对于“源”，请选择“属性”。
4. 在“源属性”列表中，选择为该行显示的属性值。
5. 选择“确定”。
6. 选择“保存”。
在“设置 SAML 单一登录”页的“SAML 签名证书”部分，根据要求选择“联合元数据 XML”旁边的“下载”链接，并将证书保存在计算机上：
在“设置 Pega Systems”部分，根据要求复制相应的 URL。

创建和分配 Microsoft Entra 测试用户

请遵循创建和分配用户帐户快速指南中的指引，创建一个名为 B.Simon 的测试用户帐户。

配置 Pega Systems SSO

若要在 Pega Systems 端配置单一登录，请在另一个浏览器窗口中使用管理员帐户登录到 Pega 门户。
选择“创建”“SysAdmin”>“身份验证服务”：
在“创建身份验证服务”屏幕上执行以下步骤。
1. 在“类型”列表中，选择“SAML 2.0”。
2. 在“名称”框中输入任意名称（例如 Microsoft Entra SSO）。
3. 在“简短说明”框中输入说明。
4. 选择“创建并打开”。
在“标识提供者(IdP)信息”部分，选择“导入 IdP 元数据”，然后浏览到已下载的元数据文件。选择 “提交 ”以加载元数据：

导入操作将填充 IdP 数据，如下所示：
在“服务提供程序(SP)设置”部分执行以下步骤。
1. 复制“实体标识”值，并将其粘贴到“基本 SAML 配置”部分的“标识符”框中。
2. 复制“断言使用者服务(ACS)位置”值，并将其粘贴到“基本 SAML 配置”部分的“回复 URL”框中。
3. 选择 “禁用请求签名”。
选择“保存”。

创建 Pega Systems 测试用户

接下来，需要在 Pega Systems 中创建一个名为 Britta Simon 的用户。请在 Pega Systems 支持团队的配合下创建用户。

测试 SSO

在本部分，你将使用以下选项测试 Microsoft Entra 单一登录配置。

由 SP 发起：

选择“ 测试此应用程序”，此选项将重定向到 Pega Systems 登录 URL，可在其中启动登录流。
直接转到 Pega Systems 登录 URL，并从那里启动登录流。

IDP 已被启动：

选择“ 测试此应用程序”，应会自动登录到为其设置了 SSO 的 Pega Systems。

还可以使用Microsoft“我的应用”在任何模式下测试应用程序。在“我的应用”中选择 Pega Systems 磁贴时，如果是在 SP 模式下配置的，你会重定向到应用程序登录页来启动登录流;如果是在 IDP 模式下配置的，则应会自动登录到为其设置了 SSO 的 Pega Systems。有关“我的应用”的详细信息，请参阅“我的应用”简介。

配置 Pega Systems 后，可以强制实施会话控制，实时防止组织的敏感数据发生外泄和渗透。会话控制是条件访问的延伸。了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制。

反馈

此页面是否有帮助？

Last updated on 2025-05-04