教學課程:Microsoft Entra 單一登入 (SSO) 與 Netskope 使用者驗證整合

  • 發行項

在本教學課程中,您將瞭解如何整合 Netskope 使用者驗證與 Microsoft Entra ID。 在整合 Netskope 使用者驗證與 Microsoft Entra ID 時,您可以.

  • 在 Microsoft Entra 識別碼中控制可存取 Netskope 使用者驗證的人員。
  • 讓使用者使用其 Microsoft Entra 帳戶自動登入 Netskope 使用者驗證。
  • 在一個中央位置管理您的帳戶。

必要條件

若要開始使用,您需要下列專案:

  • Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶
  • 已啟用 Netskope 使用者驗證單一登入 (SSO) 的訂用帳戶。

案例描述

在本教學課程中,您會在測試環境中設定及測試 Microsoft Entra SSO。

  • Netskope 使用者驗證支援 由 SP 和 IDP 起始的 SSO。

若要設定將 Netskope 使用者驗證整合到 Microsoft Entra ID 中,您需要從資源庫將 Netskope 使用者驗證新增到受控 SaaS 應用程式清單。

  1. 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [ 身分 > 識別應用程式 > 企業應用程式 > ] [新增應用程式]。
  3. 在 [ 從資源庫 新增] 區段的搜尋方塊中,輸入 Netskope 使用者驗證
  4. 從結果面板選取 [Netskope 使用者驗證 ],然後新增應用程式。 將應用程式新增至您的租使用者時,請稍候幾秒鐘。

或者,您也可以使用 企業應用程式組態精靈 。 在此精靈中,您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式、指派角色,以及逐步解說 SSO 設定。 深入瞭解 Microsoft 365 精靈。

設定及測試 Netskope 使用者驗證的 Microsoft Entra SSO

以名為 B.Simon 的測試使用者,設定及測試與 Netskope 使用者驗證搭配運作的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Netskope 使用者驗證中相關使用者之間的連結關聯性。

若要設定及測試與 Netskope 使用者驗證搭配運作的 Microsoft Entra SSO,請完成下列建置組塊:

  1. 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
    1. 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登入。
    2. 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 能夠使用 Microsoft Entra 單一登入。
  2. 設定 Netskope 使用者驗證 SSO - 在應用程式端設定單一登入設定。
    1. 建立 Netskope 使用者驗證測試使用者 - 使 Netskope 使用者驗證中對應的 B.Simon 連結到該使用者在 Microsoft Entra 中的代表專案。
  3. 測試 SSO - 確認組態是否正常運作。

設定 Microsoft Entra SSO

請遵循下列步驟來啟用 Microsoft Entra SSO。

  1. 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 Identity > Applications Enterprise 應用程式 >> Netskope 使用者驗證 > 單一登入。

  3. 在 [ 選取單一登入方法] 頁面上,選取 [SAML ]。

  4. 在 [ 使用 SAML 設定單一登入] 頁面上,按一下 [基本 SAML 組態 ] 的 鉛筆圖示以編輯設定。

    Edit Basic SAML Configuration

  5. 如果您想要以 IDP 起始模式設定應用程式,請在 [ 基本 SAML 組態 ] 區段上輸入下欄欄位的值:

    a. 在 [ 識別碼 ] 文字方塊中,使用下列模式輸入 URL: https://<tenantname>.goskope.com/<customer entered string>

    b. 在 [ 回復 URL ] 文字方塊中,使用下列模式輸入 URL: https://<tenantname>.goskope.com/nsauth/saml2/http-post/<customer entered string>

    注意

    這些值不是真實的。 使用實際的識別碼和回復 URL 來更新這些值。 您稍後會在教學課程中取得這些值。

  6. 如果您想要以 SP 起始模式設定應用程式,請按一下 [ 設定其他 URL ],然後執行下列步驟:

    在 [ 登入 URL ] 文字方塊中,使用下列模式輸入 URL: https://<tenantname>.goskope.com

    注意

    登入 URL 值不是真實的。 使用實際的登入 URL 更新登入 URL 值。 請連絡 Netskope 使用者驗證用戶端支援小組 以取得登入 URL 值。 您也可以參考基本 SAML 組態 一節中顯示的 模式。

  7. 在 [ 使用 SAML 設定單一登入] 頁面上的 [SAML 簽署憑證 ] 區段中,按一下 [ 下載 ],根據您的需求,從指定的選項下載 同盟中繼資料 XML ,並將它儲存在您的電腦上。

    The Certificate download link

  8. 在 [ 設定 Netskope 使用者驗證 ] 區段上,根據您的需求複製適當的 URL。

    Copy configuration URLs

建立 Microsoft Entra 測試使用者

在本節中,您將建立名為 B.Simon 的測試使用者。

  1. 至少 以使用者管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [ 身分 > 識別使用者 > 所有使用者]。
  3. 選取 畫面頂端的 [新增使用者 > 建立新使用者]。
  4. 在 [ 使用者 屬性] 中,遵循下列步驟:
    1. 在 [ 顯示名稱] 欄位中,輸入 B.Simon
    2. 在 [ 使用者主體名稱] 欄位中,輸入 username@companydomain.extension 。 例如: B.Simon@contoso.com
    3. 選取 [ 顯示密碼] 核取方塊,然後記下 [密碼 ] 方塊中顯示的 值。
    4. 選取 [檢閱 + 建立]。
  5. 選取建立

指派 Microsoft Entra 測試使用者

在本節中,您會將 Netskope 使用者驗證的存取權授與 B.Simon,讓其能夠使用單一登入。

  1. 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [ 身分 > 識別應用程式企業應用程式 >> ][Netskope 使用者驗證]。
  3. 在應用程式的 [概觀] 頁面中,選取 [ 使用者和群組 ]。
  4. 選取 [新增使用者/群組 ],然後在 [新增指派 ] 對話方塊中選取 [ 使用者和群組 ]。
    1. 在 [ 使用者和群組] 對話方塊中,從 [使用者] 清單中選取 B.Simon ,然後按一下畫面底部的 [ 選取 ] 按鈕。
    2. 如果您預期將角色指派給使用者,您可以從 [選取角色] 下拉式清單中選取該 角色 。 如果未為此應用程式設定任何角色,您會看到已選取 [預設存取] 角色。
    3. 在 [ 新增指派] 對話方塊中,按一下 [ 指派 ] 按鈕。

設定 Netskope 使用者驗證 SSO

  1. 在瀏覽器中開啟新的索引標籤,並以系統管理員身分登入您的 Netskope 使用者驗證公司網站。

  2. 按一下 [ 使用中平臺] 索引卷 標。

    Screenshot shows Active Platform selected from Settings.

  3. 向下捲動至 [FORWARD PROXY ],然後選取 [ SAML ]。

    Screenshot shows SAML selected from Active Platform.

  4. 在 [ SAML 設定 ] 頁面上,執行下列步驟:

    Screenshot shows SAML Settings where you can enter the values described.

    a. 複製 [SAML 實體識別碼 ] 值,並將其貼到 [基本 SAML 組態 ] 區段中的 [識別碼 ] 文字方塊中。

    b. 複製 [SAML ACS URL ] 值,並將其貼到 [基本 SAML 組態 ] 區段中的 [回復 URL ] 文字方塊中。

  5. 按一下 [ 新增帳戶 ]。

    Screenshot shows ADD ACCOUNT selected in the SAML pane.

  6. 在 [ 新增 SAML 帳戶 ] 頁面上,執行下列步驟:

    Screenshot shows Add SAML Account where you can enter the values described.

    a. 在 [ 名稱] 文字方塊中,提供名稱,例如 Microsoft Entra ID。

    b. 在 [ IDP URL] 文字方塊中,貼上 您先前複製的 [登入 URL ] 值。

    c. 在 [ IDP 實體識別碼 ] 文字方塊中,貼上您先前複製的 Microsoft Entra Identifier 值。

    d. 在記事本中開啟您下載的中繼資料檔案,將它的內容複寫到剪貼簿,然後將它貼到 [IDP CERTIFICATE] 文字方塊中。

    e. 按一下 [儲存]

建立 Netskope 使用者驗證測試使用者

  1. 在瀏覽器中開啟新的索引標籤,並以系統管理員身分登入您的 Netskope 使用者驗證公司網站。

  2. 按一下左側流覽窗格中的 [設定 ] 索引標籤。

    Screenshot shows Setting selected.

  3. 按一下 [ 使用中平臺] 索引卷 標。

    Screenshot shows Active Platform selected from Settings.

  4. 按一下 [ 使用者] 索引 標籤。

    Screenshot shows Users selected from Active Platform.

  5. 按一下 [ 新增使用者 ]。

    Screenshot shows the Users dialog box where you can select ADD USERS.

  6. 輸入您要新增之使用者的電子郵件地址,然後按一下 [ 新增 ]。

    Screenshot shows Add Users where you can enter a list of users.

測試 SSO

在本節中,您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。

SP 起始:

  • 按一下 [ 測試此應用程式 ],這會重新導向至您可以在其中起始登入流程的 Netskope 使用者驗證登入 URL。

  • 直接移至 Netskope 使用者驗證登入 URL,然後從該處起始登入流程。

IDP 起始:

  • 按一下 [ 測試此應用程式 ],您應該會自動登入您已設定 SSO 的 Netskope 使用者驗證。

您也可以使用 Microsoft 我的應用程式在任何模式中測試應用程式。 當您在我的應用程式中按一下 [Netskope 使用者驗證] 圖格時,如果是在 SP 模式中設定,您會重新導向至應用程式登入頁面來起始登入流程,如果在 IDP 模式中設定,則應該會自動登入您已設定 SSO 的 Netskope 使用者驗證。 如需我的應用程式的詳細資訊,請參閱 我的應用程式 簡介。

下一步

設定 Netskope 使用者驗證後,您可以強制執行會話控制項,以即時防止組織的敏感性資料遭到外泄和滲透。 會話控制項會從條件式存取延伸。 瞭解如何使用 適用於雲端的 Microsoft Defender Apps 強制執行會話控制項。