Microsoft Entra SSO 与 ServusConnect 的集成
本教程介绍如何将 ServusConnect 与 Microsoft Entra ID 相集成。 ServusConnect 使用 Microsoft Entra ID 来管理用户访问并使用 ServusConnect 维护操作平台启用单一登录。 需要现有的 ServusConnect 订阅。
将 ServusConnect 与 Microsoft Entra ID 集成后,可以:
- 在 Microsoft Entra ID 中控制谁有权访问 ServusConnect。
- 让用户能够使用其 Microsoft Entra 帐户自动登录到 ServusConnect。
- 在中心位置管理帐户。
你将在自己的 Azure 环境中配置并测试 ServusConnect 的 Microsoft Entra 单一登录。 ServusConnect 支持 SP 发起的 SSO 和实时用户预配。
先决条件
要将 Microsoft Entra ID 与 ServusConnect 集成,需要以下项:
- 一个 Microsoft Entra 用户帐户。 如果还没有帐户,可以免费创建一个帐户。
- 以下角色之一:应用程序管理员、云应用程序管理员或应用程序所有者。
- 一个 Microsoft Entra 订阅。 如果没有订阅,可以获取一个免费帐户。
- 已启用 ServusConnect 单一登录 (SSO) 的订阅。 如果你没有 ServusConnect,可以了解详细信息并请求演示。
添加应用程序并分配用户
在开始配置单一登录之前,必须从 Microsoft Entra 库添加 ServusConnect 应用程序。 还需要一个要分配到该应用程序的用户帐户。 在开始向组织推出之前,请考虑先创建和分配测试用户。
从 Microsoft Entra 库中添加 ServusConnect
从 Microsoft Entra 应用程序库添加 ServusConnect 以配置 ServusConnect 单一登录。 有关如何从库添加应用程序的详细信息,请参阅快速入门:从库添加应用程序。
创建和/或分配 Microsoft Entra 用户
请遵循创建和分配用户帐户一文中的指南,根据需要创建用户并将一个或多个用户分配到 ServusConnect 企业应用程序。 只有分配到应用程序的那些用户才能通过单一登录访问 ServusConnect。 请注意,可以分配单个用户或整个组。
或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户,将用户/组添加到应用,并分配角色。 该向导还提供了单一登录配置窗格的链接。 详细了解 Microsoft 365 向导。
配置 Microsoft Entra SSO
完成以下步骤以启用 Microsoft Entra 单一登录。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”>“ServusConnect”>“单一登录”。
在“选择单一登录方法”页上选择“SAML” 。
在“设置 SAML 单一登录”页上,选择“基本 SAML 配置”对应的笔形图标以编辑设置 。
在“基本 SAML 配置” 部分中,按照以下步骤操作:
a. 在“标识符”文本框中,输入以下值:
urn:amazon:cognito:sp:us-east-1_rlgU6e3y5b. 在“回复 URL”文本框中,输入 URL:
https://login.servusconnect.com/saml2/idpresponsec. 在“登录 URL”文本框中,输入 URL:
https://app.servusconnect.com在“使用 SAML 设置单一登录”页的“SAML 签名证书”部分中找到“联合元数据 XML”,选择“下载”以下载该证书并将其保存在计算机上。
配置 ServusConnect SSO
若要配置“ServusConnect”应用程序的单一登录,必须将从 Azure 门户下载的“联合元数据 XML”文件发送给 ServusConnect 支持团队。 向 ServusConnect 支持团队发送电子邮件时,请提供以下内容:
- 联合元数据 XML 文件。
- 所有电子邮件域的列表,这些域通过 SSO 从 Microsoft Entra 帐户进行连接。
ServusConnect 支持团队完成 SAML SSO 连接,并在准备就绪时通知你。
ServusConnect 用户帐户
ServusConnect 用户帐户可能在用户进行首次 SSO 尝试之前已经过预配,也可能由于 SSO 尝试而成为“实时”用户。 但是,这两种方法在用户可访问的内容方面有所不同。
预先预配的用户
存在于 ServusConnect 中且电子邮件地址与 SSO 登录名匹配的用户将在 SSO 操作后自动访问 ServusConnect。
实时用户和等候室
对于 ServusConnect 中尚不存在的用户,其用户帐户使用与 SSO 登录名匹配的电子邮件来创建。 但是,这些用户将被置于“等候室”中,而不是直接访问 ServusConnect。 必须先为这些用户预配正确的访问级别和属性级访问权限,然后 SSO 才允许他们通过等候室。
具有适当访问权限的现有 ServusConnect 用户可以填写 ServusConnect“新用户”表单,该表单位于 ServusConnect 中用户工作站点/属性的“管理”页上。 完成此操作后,ServusConnect 支持团队将处理请求并通过电子邮件通知用户。 然后,用户可以使用 SSO 登录并访问 ServusConnect。
测试 SSO
可使用以下方法之一测试 Microsoft Entra 单一登录配置:
单击“测试此应用程序”,这会重定向到 ServusConnect 登录 URL,可以从那里启动登录流。
直接转到 ServusConnect 登录 URL,从那里启动登录流。 请参阅下面的使用 SSO 登录。
你可使用 Microsoft 的“我的应用”。 在“我的应用”中单击“ServusConnect”磁贴时,会重定向到 ServusConnect 登录 URL。 有关详细信息,请参阅 Microsoft Entra 我的应用。
使用 SSO 登录
若要登录,请执行以下步骤:
输入电子邮件地址,然后按“继续”。 请注意,电子邮件域必须与配置期间同 ServusConnect 一起共享的电子邮件域匹配。 (请参阅以下屏幕截图。)
如果域已正确配置为使用 Microsoft Entra ID 进行 SSO,则会显示“使用 Microsoft 登录”按钮。 (请参阅以下屏幕截图。)
单击“使用 Microsoft 登录”按钮后,你将转到标准 Microsoft 登录屏幕。 成功登录后,将重定向回 ServusConnect。
如果存在与 SSO 身份验证匹配的现有 ServusConnect 用户,你将会立即登录。 否则,你将进入“等候室”,如下图所示。
其他资源
后续步骤
配置 ServusConnect 后,就可以强制实施会话控制,从而实时保护组织的敏感数据免于外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Cloud App Security 强制实施会话控制。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈