使用 Microsoft Entra ID 設定 SURFconext 進行單一登錄

在本文中，您將瞭解如何整合 SURFconext 與 Microsoft Entra ID。 SURF 連線機構可以使用 SURFconext，使用其機構認證登入許多雲端應用程式。 在整合 SURFconext 與 Microsoft Entra ID 時，您可以：

• 在 Microsoft Entra ID 中控制可存取 SURFconext 的人員。
• 讓使用者使用其Microsoft Entra 帳戶自動登入 SURFconext。
• 在一個中央位置管理您的帳戶。

您將在測試環境中設定及測試 Microsoft Entra 的 SURFconext 單一登入。 SURFconext 支援 SP 起始的單一登錄和 Just In Time 使用者布建。

備註

此應用程式的標識碼是固定字串值，因此一個租使用者中只能設定一個實例。

先決條件

若要整合 Microsoft Entra ID 與 SURFconext，您需要：

• Microsoft Entra 用戶帳戶。 若尚未有帳戶，可以免費建立帳戶。
• 下列角色其中之一：應用程式管理員、雲端應用程式管理員 或 應用程式擁有者。
• Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶，可以取得免費帳戶。
• 已啟用 SURFconext 單一登入 （SSO） 的訂用帳戶。

新增應用程式並指派測試使用者

開始進行設定單一登入過程之前，您需要透過 Microsoft Entra 資源庫加入 SURFconext 應用程式。 您需要將測試使用者帳戶指派給應用程式，並測試單一登入設定。

從 Microsoft Entra 畫廊新增 SURFconext

從 Microsoft Entra 應用連結庫新增 SURFconext，以使用 SURFconext 設定單一登錄。 如需如何從資源庫新增應用程式的詳細資訊，請參閱快速入門：從資源庫新增應用程式。

建立並指派 Microsoft Entra 測試使用者

請遵循 建立和指派使用者帳戶 一文中的指導方針，建立名為 B.Simon 的測試使用者帳戶。

或者，您也可以使用企業應用程式組態精靈。 在此精靈中，您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式，以及指派角色。 精靈提供的連結也指向單一登錄配置窗格。 深入了解 Microsoft 365 精靈。

設定 Microsoft Entra SSO

完成下列步驟以啟用 Microsoft Entra 單一登入。

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 Entra ID>Enterprise 應用程式>SURFconext>單一登入。

3. 在 選取單一登錄方法 頁面上，選取 SAML。

4. 在 [設定使用 SAML 單一登入] 頁面上，選取 [基本 SAML 組態] 的鉛筆圖示來編輯設定。

   

5. 在 [基本 SAML 組態] 區段上，執行下列步驟：

   一。 在 [識別碼] 文字方塊中，輸入下列其中一個 URL：

   環境	URL
   生產	https://engine.surfconext.nl/authentication/sp/metadata
   階段性	https://engine.test.surfconext.nl/authentication/sp/metadata

   b。 在 [回覆 URL] 文字方塊中，輸入下列其中一個 URL：

   環境	URL
   生產	https://engine.surfconext.nl/authentication/sp/consume-assertion
   階段性	https://engine.test.surfconext.nl/authentication/sp/consume-assertion

   丙. 在 [Sign on URL] 文本框中，輸入下列其中一個 URL：

   環境	URL
   生產	https://engine.surfconext.nl/authentication/sp/debug
   階段性	https://engine.test.surfconext.nl/authentication/sp/debug

6. SURFconext 應用程式需要特定格式的 SAML 聲明，因此您必須將自定義屬性對應新增至 SAML 權杖屬性配置。 下列螢幕快照顯示預設屬性的清單。

   

   備註

   如果不需要，您可以在 [其他聲明] 區段下手動移除或刪除這些既定屬性。

7. 除了上述屬性外，SURFconext 應用程式還需要在 SAML 回應中多傳回幾個屬性，如下所示。 這些屬性也會預先填入，但您可以根據需求來檢閱這些屬性。

   名稱	來源屬性
   urn：mace：dir：attribute-def：cn	用戶顯示名稱
   urn：mace：dir：attribute-def：displayName	用戶顯示名稱
   urn：mace：dir：attribute-def：eduPersonPrincipalName	使用者用戶主名稱 (user.userprincipalname)
   urn：mace：dir：attribute-def：givenName	用戶.名字
   urn：mace：dir：attribute-def：mail	用戶電郵
   urn：mace：dir：attribute-def：preferredLanguage	使用者偏好語言
   urn：mace：dir：attribute-def：sn	用戶姓氏
   urn：mace：dir：attribute-def：uid	使用者用戶主名稱 (user.userprincipalname)
   urn：mace：terena.org：attribute-def：schacHomeOrganization	使用者用戶主名稱 (user.userprincipalname)

8. 若要執行 urn：mace：terena.org：attribute-def：schacHomeOrganization 宣告的轉換作業，請選取 [管理宣告] 區段下的 [轉換] 按鈕作為 [來源]。

9. 在 [ 管理轉換 ] 頁面中，執行下列步驟：

   

   1. 從 [轉換] 欄位中的下拉式清單中選取 [Extract()]，然後選取 [比對之後] 按鈕。

   2. 選取 [屬性 ] 作為 參數 1 （輸入） 。

   3. 在 [ 屬性名稱] 欄位中，從下拉式清單中選取 user.userprinciplename 。

   4. 從下拉式清單中選取 @ 值。

   5. 選取 ，然後新增。

10. 在 [使用 SAML 設定單一登錄] 頁面上的 [SAML 簽署憑證] 區段中，選取 [複製] 按鈕以複製 應用程式同盟元數據 URL，並將它儲存在您的計算機上。

    

設定 SURFconext 單一登入 (SSO)

若要在 SURFconext 端設定單一登錄，您必須將 應用程式同盟元數據 URL 傳送給 SURFconext 支援小組。 他們設定此參數以確保雙方的 SAML SSO 連線設定正確。

建立 SURFconext 測試使用者

本節會在 SURFconext 中建立名為 B.Simon 的使用者。 SURFconext 支援即時用戶配置，並依預設啟用。 本節中沒有需要您完成的項目。 如果 SURFconext 中還沒有任何使用者存在，在驗證之後通常會建立新的使用者。

測試 SSO

在本節中，您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。

• 選取 [測試此應用程式]，此選項會重新導向至您可以起始登入流程的 SURFconext 登入 URL。

• 直接移至 SURFconext 登入 URL，然後從該處起始登入流程。

• 您可以使用 Microsoft 我的應用程式。 當您在 [我的應用程式] 中選取 SURFconext 圖格時，此選項會重新導向至 SURFconext 登入 URL。 如需詳細資訊，請參閱 Microsoft Entra My Apps。

其他資源

• 什麼是使用 Microsoft Entra ID 進行單一登入？
• 規劃單一登入部署。

相關內容

設定 SURFconext 後，您可以強制執行工作階段控件，以即時防止組織的敏感數據遭到外泄和滲透。 會話控制是從條件式存取延伸而來的。 了解如何使用 Microsoft Cloud App Security 來強制執行會話控制。