使用 Microsoft Entra ID 配置机密服务器（本地）进行单一登录

2025-05-20

本文介绍如何将 Secret Server（本地）与 Microsoft Entra ID 集成。将 Secret Server (On-Premises) 与 Microsoft Entra ID 集成后，可以：

在 Microsoft Entra ID 中控制谁有权访问 Secret Server (On-Premises)。
让用户能够使用其 Microsoft Entra 帐户自动登录到 Secret Server (On-Premises)。
在中心位置管理帐户。

先决条件

本文中概述的方案假定你已具备以下先决条件：

具有活动订阅的 Microsoft Entra 用户帐户。如果还没有帐户，可以免费创建一个帐户。
以下角色之一：

已启用 Secret Server (On-Premises) 单一登录 (SSO) 的订阅。

方案描述

本文中，您将在测试环境中配置并测试 Microsoft Entra SSO。

Secret Server (On-Premises) 支持 SP 和 IDP 发起的 SSO。

从库中添加 Secret Server (On-Premises)

若要配置 Secret Server (On-Premises) 与 Microsoft Entra ID 的集成，需要从库中将 Secret Server (On-Premises) 添加到托管 SaaS 应用列表。

至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
请导航到 Entra ID>企业应用>新应用。
在“从库中添加”部分的搜索框中，键入 Secret Server (On-Premises) 。
在结果面板中选择“Secret Server (On-Premises)”，然后添加该应用。在该应用添加到租户时等待几秒钟。

或者，也可以使用企业应用配置向导。在此向导中，可以将应用程序添加到租户，将用户/组添加到应用，分配角色，并逐步完成 SSO 配置。详细了解 Microsoft 365 向导。

为 Secret Server (On-Premises) 配置并测试 Microsoft Entra SSO

使用名为 B.Simon 的测试用户配置并测试 Secret Server (On-Premises) 的 Microsoft Entra SSO。若要使 SSO 正常工作，需要在 Microsoft Entra 用户与 Secret Server (On-Premises) 中的相关用户之间建立关联。

若要配置并测试 Secret Server (On-Premises) 的 Microsoft Entra SSO，请执行以下步骤：

配置 Microsoft Entra SSO - 使用户能够使用此功能。
1. 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
2. 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
配置 Secret Server (On-Premises) SSO - 在应用程序端配置单一登录设置。
1. 创建 Secret Server（本地）测试用户 - 在 Secret Server（本地）中创建 B.Simon 的对应用户，并将其链接到用户的 Microsoft Entra 表示形式。
测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>Enterprise apps>Secret Server （本地） 应用程序集成页，找到 “管理 ”部分并选择 “单一登录”。
在“选择单一登录方法”页上选择“SAML” 。
在“设置 SAML 单一登录”页上，选择“基本 SAML 配置”对应的铅笔图标以编辑设置。
如果要在“IDP”发起的模式下配置应用程序，请在“基本 SAML 配置”部分中输入以下字段的值：

a。在“标识符”文本框中键入 URL：

b. 在“回复 URL”文本框中，使用以下模式键入 URL：

注意

上面所示的实体 ID 只是一个示例，你可以自由选择任何唯一值来标识 Microsoft Entra ID 中的机密服务器实例。需要将此“实体 ID”发送到 Secret Server (On-Premises) 客户端支持团队，让他们在其一端进行配置。有关详细信息，请阅读此文。
若要在 SP 启动模式下配置应用程序，请选择“设置其他 URL”，并执行以下步骤：

在“登录 URL” 文本框中，使用以下模式键入 URL：。

注意

这些值不是真实的。请使用实际的“回复 URL”和“注销 URL”更新这些值。请联系 Secret Server (On-Premises) 客户端支持团队获取这些值。还可参考“基本 SAML 配置”部分中显示的模式。
在“设置 SAML 单一登录”页的“SAML 签名证书”部分中，找到“证书(Base64)”，选择“下载”以下载该证书并将其保存到计算机上。
在“设置 SAML 单一登录”页上，选择“编辑”图标打开“SAML 签名证书”对话框。
选择“签名选项”作为“签名 SAML 响应和断言”。
在“设置 Secret Server (On-Premises)”部分，根据要求复制一个或多个相应的 URL。

创建和分配 Microsoft Entra 测试用户

请遵循创建和分配用户帐户快速指南中的指引，创建一个名为 B.Simon 的测试用户帐户。

配置 Secret Server (On-Premises) SSO

若要在 Secret Server (On-Premises) 端配置单一登录，需要将下载的“证书(Base64)”以及复制的相应 URL 发送给 Secret Server (On-Premises) 支持团队。他们会对此进行设置，使两端的 SAML SSO 连接均正确设置。

创建 Secret Server (On-Premises) 测试用户

在本部分，我们将在 Secret Server (On-Premises) 中创建一个名为 Britta Simon 的用户。与 Secret Server (On-Premises) 支持团队协作，在 Secret Server (On-Premises) 平台中添加用户。使用单一登录前，必须先创建并激活用户。

测试 SSO

在本部分，你将使用以下选项测试 Microsoft Entra 单一登录配置。

SP 启动的：

选择“ 测试此应用程序”，此选项将重定向到机密服务器（本地）登录 URL，可在其中启动登录流。
直接转到 Secret Server (On-Premises) 登录 URL，并从其中启动登录流。

IDP 启动的：

选择“ 测试此应用程序”，应会自动登录到为其设置了 SSO 的机密服务器（本地）。

还可以使用 Microsoft“我的应用”在任何模式下测试此应用程序。在“我的应用”中选择“Secret Server (On-Premises)”磁贴时，如果是在 SP 模式下配置的，会重定向到应用程序登录页来启动登录流；如果是在 IDP 模式下配置的，会自动登录到为其设置了 SSO 的 Secret Server (On-Premises)。有关“我的应用”的详细信息，请参阅“我的应用”简介。

配置 Secret Server (On-Premises) 后，可以强制实施会话控制，从而实时保护组织的敏感数据免于外泄和渗透。会话控制从条件访问扩展而来。了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制。