使用 Microsoft Entra ID 配置 TAS 进行单一登录

本文介绍如何将 TAS 与 Microsoft Entra ID 集成。 将 TAS 与 Microsoft Entra ID 集成后,可以:

  • 在 Microsoft Entra ID 中控制谁有权访问 TAS。
  • 让用户能够使用其 Microsoft Entra 帐户自动登录到 TAS。
  • 在一个中心位置管理帐户。

先决条件

本文中概述的方案假定你已具备以下先决条件:

  • 已启用 TAS 单一登录 (SSO) 的订阅。

方案说明

本文中,您将在测试环境中配置和测试 Microsoft Entra 的单一登录功能。

  • TAS 支持 SP 和 IDP 发起的 SSO。

若要配置 TAS 与 Microsoft Entra ID 的集成,需要从库中将 BIS 添加到托管 SaaS 应用列表。

  1. 以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 导航至 Entra ID>企业应用>新应用
  3. 在“从库中添加”部分的搜索框中,键入“TAS”。
  4. 从结果面板中选择“TAS”,然后添加该应用。 请稍等几秒钟,应用程序将被添加到您的租户中。

或者,也可以使用 企业应用配置向导。 在此向导中,还可以将应用程序添加到租户、将用户/组添加到应用、分配角色以及演练 SSO 配置。 了解更多关于 Microsoft 365 助手的信息。

配置并测试 TAS 的 Microsoft Entra SSO

使用名为 B.Simon 的测试用户配置并测试 TAS 的 Microsoft Entra SSO。 若要使 SSO 正常工作,需要在 Microsoft Entra 用户与 TAS 中的相关用户之间建立关联。

若要配置并测试 TAS 的 Microsoft Entra SSO,请执行以下步骤:

  1. 配置 Microsoft Entra SSO - 使用户能够使用此功能。
    1. 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
    2. 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
  2. 配置 TAS SSO - 在应用程序端配置单一登录设置。
    1. 创建 TAS 测试用户 - 在 TAS 中创建一个与 B.Simon 对应的测试用户,该用户连接到 Microsoft Entra 用户表示形式。
  3. 测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

  1. 以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>企业应用>TAS>单一登录

  3. 在“选择单一登录方法”页上选择“SAML” 。

  4. “使用 SAML 设置单一登录 ”页上,选择 基本 SAML 配置的 铅笔图标以编辑设置。

    编辑基本 SAML 配置

  5. “基本 SAML 配置 ”部分中,如果要在 IDP 发起的模式下配置应用程序,请执行以下步骤:

    a。 在“标识符”文本框中,使用以下模式键入 URL:

    b. 在“回复 URL”文本框中,使用以下模式键入 URL:

  6. 若要在 SP 启动模式下配置应用程序,请选择“设置其他 URL”,并执行以下步骤:

    “登录 URL ”文本框中,使用以下模式键入 URL: https://taseu.combtas.com/<DOMAIN>

    注释

    这些值不是真实的。 使用实际标识符、回复 URL 和登录 URL 来更新这些信息,本文稍后将对此进行介绍。 还可以参考 “基本 SAML 配置 ”部分中显示的模式。

  7. 在“使用 SAML 设置单一登录”页的“SAML 签名证书”部分中,选择“下载”以根据要求从给定的选项下载“证书(Base64)”,并将其保存在计算机上。

    证书下载链接

  8. 在“设置 TAS”部分中,根据要求复制相应 URL 。

    复制配置 URL

创建和分配 Microsoft Entra 测试用户

请按照创建和分配用户帐户的快速入门指南创建一个名为 B.Simon 的测试用户帐户。

配置 TAS SSO

  1. 在另一个 Web 浏览器窗口中,以管理员身份登录到 TAS。

  2. 在菜单左侧,选择 “设置” 并导航到 “管理员 ”,然后选择“ 管理单一登录”。

    屏幕截图显示已选择“管理单一登录”。

  3. 在“管理单一登录”页上,执行以下步骤 :

    屏幕截图显示了“管理单一登录”页,可在其中输入所述的值。

    a。 在“名称”文本框中,键入环境名称 。

    b. 选择“SAML2”作为“身份验证类型” 。

    选项c. 在“输入 URL”文本框中,粘贴之前复制的“登录 URL”的值。

    d。 在记事本中,打开下载的 base-64 编码证书,复制其内容,然后将其粘贴到“输入证书”框中。

    e。 在“输入新 IP”文本框中,键入 IP 地址 。

    注释

    请联系 TAS 支持团队 获取 IP 地址。

    f。 复制“单一登录”URL 并将其粘贴到 Azure 门户的“基本 SAML 配置”的“标识符(实体 ID)”和“登录 URL”文本框中 。 请注意,URL 区分大小写,并且必须以斜杠 (/) 结尾。

    g。 复制设置页面中的“断言服务”URL,并将其粘贴到 Azure 门户中“基本 SAML 配置”的“回复 URL”文本框中。

    h. 选择 插入 SSO 行

创建 TAS 测试用户

在本部分中,将在 TAS 中创建一个名为“Britta Simon”的用户。 请与 TAS 支持团队 协作,将用户添加到 TAS 平台中。 在使用单一登录之前,必须先创建和激活用户。

测试 SSO

在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。

由 SP 发起:

  • 选择“ 测试此应用程序”,此选项将重定向到 TAS 登录 URL,可在其中启动登录流。

  • 直接转到 TAS 登录 URL,并从那里启动登录流。

IDP 已被启动:

  • 选择“ 测试此应用程序”,应会自动登录到为其设置了 SSO 的 TAS。

还可以使用Microsoft“我的应用”在任何模式下测试应用程序。 在“我的应用”中选择 TAS 磁贴时,如果是在 SP 模式下配置的,你会重定向到应用程序登录页来启动登录流;如果是在 IDP 模式下配置的,则应会自动登录到为其设置了 SSO 的 TAS。 有关“我的应用”的详细信息,请参阅 “我的应用简介”。

配置 TAS 后,可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制是条件访问的延伸。 了解如何使用 Microsoft Defender for Cloud Apps 强制实施会话控制