使用 Microsoft Entra ID 設定 SailPoint Identity Security Cloud 以進行單一登入

在本文中，您將瞭解如何整合 SailPoint Identity Security Cloud 與 Microsoft Entra ID。 當您整合 SailPoint 身份識別雲端與 Microsoft Entra 身份識別時，您可以：

• 在 Microsoft Entra 識別符中控制可存取 SailPoint Identity Security Cloud 的人員。
• 讓使用者使用其Microsoft Entra 帳戶自動登入SailPoint Identity Security Cloud。
• 在一個集中式位置管理您的帳戶。

必要條件

本文中所述的案例假設您已經具備下列必要條件：

• 具有有效訂閱的 Microsoft Entra 用戶帳戶。 如果您還沒有帳戶，您可以 免費建立帳戶。
• 下列其中一個角色：
  • 應用程式管理員
  • 雲端應用程式管理員
  • 應用程式擁有者。

• SailPoint Identity Security Cloud 活躍訂用帳戶。 如果您沒有 Identity Security Cloud，請連絡 SailPoint Identity Security Cloud 支援小組。

注意

此整合也可從 Microsoft Entra US Government 雲端環境使用。 您可以在 Microsoft Entra US Government 雲端應用程式資源庫中找到此應用程式，並以您從公用雲端所做的相同方式進行設定。

案例描述

在本文中，您會在測試環境中設定及測試 Microsoft Entra SSO。

• SailPoint Identity Security Cloud 支援 由 SP 和 IDP 發起的 SSO。

從圖庫新增 SailPoint Identity Security Cloud

若要設定將 SailPoint Identity Security Cloud 整合到 Microsoft Entra ID 中，您需要從資源庫將 SailPoint Identity Security Cloud 新增到受控 SaaS 應用程式清單。

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
2. 請流覽至 Entra ID>企業應用程式>新增應用程式。
3. 在 [ 從資源庫 新增] 區段的搜尋方塊中，輸入 SailPoint Identity Security Cloud 。
4. 從結果面板中選取 [SailPoint Identity Security Cloud ]，然後新增應用程式。 正在將應用程式新增至您的租用戶，請稍候幾秒鐘。

或者，您也可以使用企業應用程式組態精靈。 在此精靈中，您可以將應用程式新增至租戶，將使用者或群組新增至應用程式，指派角色，以及完成 SSO 設定。 深入了解 Microsoft 365 精靈。

設定及測試 Microsoft Entra SSO 用於 SailPoint Identity Security Cloud

以名為 B.Simon 的測試用戶，設定及測試 Microsoft Entra SSO 與 SailPoint Identity Security Cloud 搭配運作。 若要讓 SSO 能夠運作，您必須建立 Microsoft Entra 使用者與 SailPoint Identity Security Cloud 中相關使用者之間的連結關聯性。

若要設定及測試 Microsoft Entra SSO 與 SailPoint Identity Security Cloud 搭配運作，請執行下列步驟：

1. 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
   1. 建立 Microsoft Entra 測試使用者 - 使用 B.Simon 測試Microsoft Entra 單一登錄。
   2. 指派Microsoft Entra 測試使用者 - 讓 B.Simon 能夠使用 Microsoft Entra 單一登錄。
2. 設定 SailPoint Identity Security Cloud SSO - 在應用程式端設定單一登入設定。
   1. 建立 SailPoint Identity Security Cloud 測試使用者 - 建立與 B.Simon 對應的使用者，並將其連結到 Microsoft Entra 中的使用者代表。
3. 測試 SSO - 確認組態是否正常運作。

設定 Microsoft Entra SSO

遵循下列步驟來啟用 Microsoft Entra SSO。

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 Entra ID>Enterprise 應用程式>SailPoint Identity Security Cloud>單一登入。

3. 在 [選取單一登入方法] 頁面上，選取 [SAML]。

4. 在 [設定使用 SAML 單一登入] 頁面上，選取 [基本 SAML 組態] 的鉛筆圖示來編輯設定。

   

5. 在 [基本 SAML 設定] 區段上，如果您想要以 IDP 起始模式設定應用程式，請執行下列步驟：

   一。 在 [識別碼] 文字方塊中，使用下列模式來輸入 URL：https://<TENANT_NAME>.identitynow.com/sp

   b。 在 [回覆 URL] 文字方塊中，使用下列模式來輸入 URL：https://<TENANT_NAME>.login.sailpoint.com/saml/SSO/alias/<TENANT_NAME>-sp

6. 如果您想要以 SP 起始模式設定應用程式，請選取 [設定其他 URL]，然後執行下列步驟：

   在 [登入 URL] 文字方塊中，以下列模式輸入 URL︰https://<TENANT_NAME>.identitynow.com/

   注意

   這些數值不是真實的。 請使用實際的「識別碼」、「回覆 URL」及「登入 URL」來更新這些值。 請連絡 SailPoint Identity Security Cloud 用戶端支援小組 以取得這些值。 您也可以參考基本 SAML 設定區段中所示的模式。

7. 在 [使用 SAML 設定單一登入] 頁面上的 [SAML 簽署憑證] 區段中，尋找 [憑證 (Base64)]，然後選取 [下載] 以下載憑證並儲存在電腦上。

   

8. 在 [ 設定 SailPoint Identity Security Cloud ] 區段上，根據您的需求複製適當的 URL。

   

建立並指派Microsoft Entra 測試使用者

請遵循 建立並指派用戶帳戶 快速入門中的指導方針，以建立名為 B.Simon 的測試用戶帳戶。

設定 SailPoint Identity Security Cloud SSO

1. 在不同的網頁瀏覽器視窗中，以系統管理員身分登入您的 SailPoint Identity Security Cloud 公司網站。

2. 移至 [全域 -> 安全性設定 -> 服務提供者] 進行下列設定變更。

   

   一。 啟用遠端身分識別提供者。

   b。 在 [實體識別碼] 欄位中，貼上先前複製的 [實體識別碼] 值。

   丙. 在 [用於張貼的登入 URL] 文字方塊中，貼上您之前複製的 [登入 URL] 值。

   d。 在 [用於重新導向的登入 URL] 文字方塊中，貼上您之前複製的 [登入 URL] 值。

   ｅ。 在 [登出 URL] 欄位中，輸入值 。https://<IDN Tenant>.login.sailpoint.com/signout

   f。 在 [SAML 要求屬性] 區段中選取下列值。

   • 身分識別對應屬性 - uid
   • SAML 名稱ID - Unspecified
   • SAML 繫結 - Post
   • 排除所要求的驗證上下文 - checked

   g 在 [簽署憑證] 中，選取 [匯入] 以從 Azure 入口網站上傳下載的憑證 （Base64）。

建立 SailPoint Identity Security Cloud 測試使用者

在本節中，您會在 SailPoint Identity Security Cloud 中建立名為 Britta Simon 的使用者。 請與 SailPoint Identity Security Cloud 支援小組合作 ，在 SailPoint Identity Security Cloud 平臺中新增使用者。 您必須先建立和啟動使用者，然後才能使用單一登入。

測試 SSO

在本節中，您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。

SP 啟動：

• 選取 [測試此應用程式]，此選項會重新導向至您可以在其中起始登入流程的 SailPoint Identity Security Cloud Sign on URL。

• 直接移至 SailPoint Identity Security Cloud 登入 URL，然後從該處起始登入流程。

IDP 已啟動：

• 選取 [ 測試此應用程式]，您應該會自動登入您已設定 SSO 的 SailPoint Identity Security Cloud。

您也可以使用 Microsoft「我的應用程式」，以任何模式測試應用程式。 當您在 My Apps 中選取 SailPoint Identity Security Cloud 圖格時，如果是在 SP 模式中設定，您會重新導向至應用程式登入頁面來起始登入流程，如果在 IDP 模式中設定，則應該會自動登入您已設定 SSO 的 SailPoint Identity Security Cloud。 如需「我的應用程式」的詳細資訊，請參閱我的應用程式簡介。

相關內容

設定 SailPoint Identity Security Cloud 後，您可以強制執行會話控件，以即時防止組織的敏感數據遭到外洩和滲透。 工作階段控制延伸自條件式存取。 了解如何使用 Microsoft Defender for Cloud Apps 施行工作階段控制。