通过

使用 Microsoft Entra ID 为 Workplace by Meta 配置单一登录

本文介绍如何将 Workplace by Meta 与 Microsoft Entra ID 集成。 将 Workplace by Meta 与 Microsoft Entra ID 集成后,可以:

  • 在Microsoft Entra ID 中控制谁有权访问 Workplace by Meta。
  • 让用户使用其Microsoft Entra 帐户自动登录到 Workplace by Meta。
  • 在一个中心位置管理帐户。

先决条件

本文中概述的方案假定你已具备以下先决条件:

  • 已启用 Workplace by Meta 单一登录 (SSO) 的订阅。

注意

Meta 有两种产品:Workplace Standard(免费)和工作区高级版(付费)。 任何 Workplace Premium 租户都可以配置 SCIM 和 SSO 集成,而不会带来额外的成本或许可证要求。 SSO 和 SCIM 在 Workplace Standard 实例中不可用。

方案说明

在本文中,您将在测试环境中配置和测试 Microsoft Entra SSO。

  • Workplace by Meta 支持 SP 发起的 SSO
  • Workplace by Meta 支持实时预配
  • Workplace by Meta 支持自动用户预配
  • 现在可为 Workplace by Meta 移动应用程序配置 Microsoft Entra ID 来启用 SSO。 在本文中,您将在测试环境中配置和测试 Microsoft Entra SSO。

若要配置 Workplace by Meta 与 Microsoft Entra ID 的集成,需要从库中将 Workplace by Meta 添加到托管 SaaS 应用列表。

  1. 以至少 云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 请导航到 Entra ID>企业应用>新应用
  3. 在“从库中添加”部分的搜索框中,键入“Workplace by Meta”。
  4. 从结果面板中选择 Workplace by Meta,然后添加该应用。 等待几秒钟,以便将该应用添加到租户。

或者,也可以使用 企业应用配置向导。 在此向导中,还可以将应用程序添加到租户、将用户/组添加到应用、分配角色以及演练 SSO 配置。 详细了解 Microsoft 365 向导。

配置并测试 Workplace by Meta 的 Microsoft Entra SSO

使用名为 B.Simon 的测试用户配置并测试 Workplace by Meta 的 Microsoft Entra SSO。 若要运行 SSO,需要在 Microsoft Entra 用户与 Workplace by Meta 中的相关用户之间建立链接关系。

若要配置并测试 Microsoft Entra SSO 与 Workplace by Meta 的集成,请执行以下步骤:

  1. 配置 Microsoft Entra SSO - 让用户能够使用此功能。
    1. 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
    2. 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
  2. 配置 Workplace by Meta SSO - 在应用程序端配置单一登录设置。
    1. 创建 Workplace by Meta 测试用户 - 在 Workplace by Meta 中创建 B.Simon 的对应用户,该用户链接到该用户的 Microsoft Entra 表示形式。
  3. 测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

  1. 以至少 云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>Enterprise apps>Workplace by Meta 应用程序集成页,找到 “管理 ”部分并选择 “单一登录”。

  3. 在“选择单一登录方法”页上选择“SAML”

  4. “配置 SAML 单点登录”页上,选择 “基本 SAML 配置”中的铅笔图标以编辑设置。

    编辑基本 SAML 配置

  5. 基本 SAML 配置 部分中,输入以下字段的值:

    a。 在“登录 URL”(在 WorkPlace 中是“收件人 URL”)文本框中,使用以下模式键入 URL:https://.workplace.com/work/saml.php

    b. 在“标识符(实体 ID)”(在 WorkPlace 中是“受众 URL”)文本框中,使用以下模式键入 URL:https://www.workplace.com/company/

    选项c. 在“回复 URL”(在 WorkPlace 中是“断言使用者服务”)文本框中,使用以下模式键入 URL:https://.workplace.com/work/saml.php

    注意

    这些值不是真实的。 请使用实际登录 URL、标识符和回复 URL 更新这些值。 有关 Workplace 社区的正确值,请参阅 Workplace 公司仪表板的“身份验证”页,本文稍后将对此进行说明。

  6. 在“设置 SAML 单一登录”页的“SAML 签名证书”部分中,找到“证书(Base64)”,选择“下载”以下载该证书并将其保存到计算机上

    证书下载链接

  7. 在“设置 Workplace by Meta”部分,根据要求复制相应的 URL。

    复制配置 URL

创建和分配 Microsoft Entra 测试用户

请遵循创建和分配用户帐户快速指南中的指引,创建一个名为 B.Simon 的测试用户帐户。

配置 Workplace by Meta SSO

  1. 在不同的 Web 浏览器窗口中,以管理员身份登录到 Workplace by Meta 公司站点

    注意

    作为 SAML 身份验证过程的一部分,Workplace 可能会利用大小高达 2.5 KB 的查询字符串,以便将参数传递给 Microsoft Entra ID。

  2. 导航到“管理面板”>“安全>身份验证”选项卡。

    管理面板

    a。 选中 单一登录(SSO) 选项。

    b. 选择 SSO 作为新用户的默认值。

    选项c. 选择“ +添加新的 SSO 提供程序”。

    注意

    请确保也选中“密码登录”复选框。 管理员在执行证书滚动更新时可能需要使用此选项进行登录,以避免自己被锁定。

  3. 在“单一登录 (SSO) 设置”弹出窗口中,执行以下步骤:

    身份验证选项卡

    a。 在 SSO 提供程序 名称中,输入 SSO 实例名称,例如 Azureadsso。

    b. 在“SAML URL”文本框中,粘贴复制的“登录 URL”的值。

    选项c. 在“SAML 颁发者 URL”文本框中,粘贴“Microsoft Entra 标识符”的值。

    d。 将下载的 证书(Base64) 打开记事本,将其内容复制到剪贴板,然后将其粘贴到 SAML 证书 文本框中。

    e。 复制实例的 访问群体 URL,并将其粘贴到 基本 SAML 配置 部分中 标识符(实体 ID) 文本框中。

    f。 复制实例的 收件人 URL,并将其粘贴到 基本 SAML 配置 部分中 登录 URL 文本框中。

    g。 复制实例的 ACS(断言使用者服务)URL,并将其粘贴到 基本 SAML 配置 部分中 回复 URL 文本框中。

    h. 滚动到该部分底部,然后选择 “测试 SSO ”按钮。 这会导致显示Microsoft Entra 登录页时出现弹出窗口。 像往常一样输入凭据进行身份验证。

    故障 排除: 确保从 Microsoft Entra ID 返回的电子邮件地址与登录的 Workplace 帐户相同。

    一. 测试成功完成后,滚动到页面底部并选择“ 保存 ”按钮。

    j. 现在,使用 Workplace 的所有用户都将看到Microsoft Entra 登录页进行身份验证。

  4. SAML 注销重定向(可选) -

    可以选择配置 SAML 注销 URL,该 URL 可用于指向Microsoft Entra ID 的注销页。 启用和配置此设置后,用户将不再定向到 Workplace 注销页面。 而是将用户重定向到 SAML 注销重定向设置中添加的 URL。

配置重新身份验证频率

可将 Workplace 配置为每天、每三天、每周、每两周、每个月提示进行 SAML 检查或从不进行检查。

注意

移动应用程序上的 SAML 检查的最小值设置为一周。

还可以使用按钮强制所有用户重置 SAML:现在要求所有用户进行 SAML 身份验证。

创建 Workplace by Meta 测试用户

在本部分中,将在 Workplace by Meta 中创建一个名为 B.Simon 的用户。 Workplace by Meta 支持默认启用的实时预配。

本部分没有需要您执行的操作。 如果 Workplace by Meta 中不存在用户,则在尝试访问 Workplace by Meta 时会创建一个新用户。

注意

如果需要手动创建用户,请联系 Workplace by Meta 客户端支持团队

测试 SSO

在本部分中,将使用以下选项测试 Microsoft Entra 单一登录配置。

  • 选择“ 测试此应用程序”,此选项将重定向到 Workplace by Meta 登录 URL,可在其中启动登录流。

  • 直接转到 Workplace by Meta 登录 URL,并从那里启动登录流。

  • 可以使用 Microsoft 我的应用。 在“我的应用”中选择 Workplace by Meta 磁贴时,此选项将重定向到 Workplace by Meta 登录 URL。 有关“我的应用”的详细信息,请参阅 “我的应用”简介。

测试 Workplace by Meta 的 SSO(移动版)

  1. 打开 Workplace by Meta Mobile 应用程序。 在登录页上,选择 “登录”。

    登录

  2. 输入业务电子邮件,然后选择 “继续”。

    电子邮件

  3. 选择 “仅一次”。

    一次

  4. 选择“允许”

    允许

  5. 最后,成功登录后,将显示应用程序主页。

    主页

相关内容

配置 Workplace by Meta 后,可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何使用 Microsoft Defender for Cloud Apps强制实施会话控制。