教程:Microsoft Entra SSO 与 Zoho One 的集成
本教程介绍如何将 Zoho One 与 Microsoft Entra ID 相集成。 将 Zoho One 与 Microsoft Entra ID 集成后,可以:
- 在 Microsoft Entra ID 中控制谁有权访问 Zoho One。
- 让用户能够使用其 Microsoft Entra 帐户自动登录到 Zoho One。
- 在中心位置管理帐户。
先决条件
若要配置 Microsoft Entra 与 Zoho One 的集成,需要以下项目:
- 一个 Microsoft Entra 订阅。 如果没有 Microsoft Entra 环境,可以获取一个免费帐户。
- 启用了单一登录的 Zoho One 订阅。
方案描述
在本教程中,你将在测试环境中配置并测试 Microsoft Entra 单一登录。
- Zoho One 支持 SP 和 IDP 发起的 SSO 。
注意
此应用程序的标识符是一个固定字符串值,因此只能在一个租户中配置一个实例。
从库中添加 Zoho One
若要配置 Zoho One 与 Microsoft Entra ID 的集成,需要从库中将 Zoho One 添加到托管 SaaS 应用列表。
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
- 在“从库中添加”部分的搜索框中,键入“Zoho One” 。
- 在结果面板中选择“Zoho One”,然后添加该应用。 在该应用添加到租户时等待几秒钟。
或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户、将用户/组添加到应用、分配角色,以及逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。
配置并测试 Zoho One 的 Microsoft Entra SSO
使用名为 B.Simon 的测试用户配置并测试 Zoho One 的 Microsoft Entra SSO。 若要使 SSO 正常工作,需要在 Microsoft Entra 用户与 Zoho One 中的相关用户之间建立关联。
若要配置并测试 Zoho One 的 Microsoft Entra SSO,请执行以下步骤:
- 配置 Microsoft Entra SSO - 使用户能够使用此功能。
- 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
- 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
- 配置 Zoho One SSO - 在应用程序端配置单一登录设置。
- 创建 Zoho One 测试用户 - 在 Zoho One 中创建 B.Simon 的对应用户,并将其关联到其在 Microsoft Entra 中的表示形式。
- 测试 SSO - 验证配置是否正常工作。
配置 Microsoft Entra SSO
按照以下步骤启用 Microsoft Entra SSO。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”“>企业应用程序”>“Zoho One”>“单一登录”。
在“选择单一登录方法”页上选择“SAML” 。
在“设置 SAML 单一登录”页面上,单击“基本 SAML 配置”旁边的铅笔图标以编辑设置 。
如果要在 IDP 发起的模式下配置应用程序,请在“基本 SAML 配置”部分执行以下步骤:
a. 在“标识符”文本框中键入以下值:
one.zoho.com
b. 在“回复 URL”文本框中,使用以下模式键入 URL:
https://accounts.zoho.com/samlresponse/<saml-identifier>
注意
上面的“回复 URL”值不是实际值。 将从“配置 Zoho One 单一登录”部分的步骤 4 获取
<saml-identifier>
值,本教程后面部分介绍此内容。c. 单击“设置其他 URL” 。
d. 在“中继状态”文本框中键入 URL:
https://one.zoho.com
如果要在“SP”发起的模式下配置应用程序,请执行以下步骤 :
在“登录 URL” 文本框中,使用以下模式键入 URL:
https://accounts.zoho.com/samlauthrequest/<domain_name>?serviceurl=https://one.zoho.com
。注意
上面的“登录 URL”值不是实际值。 在本教程稍后所述的“配置 Zoho One 单一登录”部分,我们将使用实际“登录 URL”更新该值。
在“使用 SAML 设置单一登录” 页上,在“SAML 签名证书” 部分中,单击“下载” 以根据要求从给定的选项下载证书(Base64) 并将其保存在计算机上。
在“设置 Zoho One”部分,根据要求复制相应的 URL。
创建 Microsoft Entra 测试用户
在本部分,你将创建名为 B.Simon 的测试用户。
- 至少以用户管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“用户”>“所有用户”。
- 选择屏幕顶部的“新建用户”>“创建新用户”。
- 在“用户”属性中执行以下步骤:
- 在“显示名称”字段中输入
B.Simon
。 - 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如
B.Simon@contoso.com
。 - 选中“显示密码”复选框,然后记下“密码”框中显示的值。
- 选择“查看 + 创建”。
- 在“显示名称”字段中输入
- 选择“创建”。
分配 Microsoft Entra 测试用户
在本部分,将通过授予 B.Simon 访问 Zoho One 的权限,使其能够使用单一登录。
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“应用程序”>“企业应用程序”>“Zoho One”。
- 在应用的概述页面中,选择“用户和组”。
- 选择“添加用户/组”,然后在“添加分配”对话框中选择“用户和组” 。
- 在“用户和组”对话框中,从“用户”列表中选择“B.Simon”,然后单击屏幕底部的“选择”按钮。
- 如果你希望将某角色分配给用户,可以从“选择角色”下拉列表中选择该角色。 如果尚未为此应用设置任何角色,你将看到选择了“默认访问权限”角色。
- 在“添加分配”对话框中,单击“分配”按钮。
配置 Zoho One SSO
在另一个 Web 浏览器窗口中,以管理员身份登录到 Zoho One 公司站点。
在“组织” 选项卡上,单击“SAML 身份验证” 下的“设置”。
在弹出页面上执行以下步骤:
a. 在“登录 URL”文本框中,粘贴“登录 URL”的值。
b. 在“注销 URL”文本框中,粘贴“注销 URL”的值。
c. 单击“浏览”,上传之前下载的“证书(Base64)”。
d. 单击“保存” 。
保存 SAML 身份验证设置后,复制“SAML 标识符”值并在其后追加“回复 URL”(替代
<saml-identifier>
,例如https://accounts.zoho.com/samlresponse/one.zoho.com
),然后在“基本 SAML 配置”部分的“回复 URL”文本框中粘贴生成的值。转到“域” 选项卡,然后单击“添加域” 。
在“添加域” 页面上,执行以下步骤:
a. 在“域名”文本框中键入域,例如 contoso.com。
b. 单击“添加” 。
注意
在添加域后,按照这些步骤验证域。 验证域后,请在 Azure 门户上“基本 SAML 配置”部分的“登录 URL”中使用该域名。
创建 Zoho One 测试用户
若要使 Microsoft Entra 用户能够登录到 Zoho One,必须将其预配到 Zoho One 中。 在 Zoho One 中,需要手动执行预配任务。
若要预配用户帐户,请执行以下步骤:
以安全管理员身份登录到 Zoho One。
在“用户” 选项卡上,单击“用户登录” 。
在“添加用户”页上执行以下步骤:
a. 在“姓名”文本框中,输入用户名,例如 Britta Simon 。
b. 在“电子邮件地址”文本框中,输入用户的电子邮件地址,例如 brittasimon@contoso.com。
注意
从域列表中选择已验证的域。
c. 单击“添加” 。
测试 SSO
在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。
SP 启动的:
单击“测试此应用程序”,这会重定向到 Zoho One登录 URL,可以从那里启动登录流。
直接转到 Zoho One 登录 URL,从那里启动登录流。
IDP 启动的:
- 单击“测试此应用程序”后,你应当会自动登录到为其设置了 SSO 的 Zoho One。
还可以使用 Microsoft“我的应用”在任何模式下测试此应用程序。 当你在“我的应用”中单击 Zoho One 磁贴时,如果这是在 SP 模式下配置的,系统会将你重定向到应用程序登录页来启动登录流;如果这是在 IDP 模式下配置的,系统会让你自动登录到为其设置了 SSO 的 Zoho One。 有关“我的应用”的详细信息,请参阅“我的应用”简介。
后续步骤
在配置 Zoho One 后,可以强制实施会话控制,从而实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制。