Microsoft Entra 單一登入 (SSO) 與 Cirrus Identity Bridge for Microsoft Entra ID 整合
在本文中,您將瞭解如何使用 Microsoft Graph API 型整合模式,將 Cirrus Identity Bridge for Microsoft Entra ID 與 Microsoft Entra ID 整合。 當您以此方式整合 Cirrus Identity Bridge for Microsoft Entra ID 與 Microsoft Entra ID 時,您可以:
- 控制誰可以從 Microsoft Entra ID 存取 InCommon 或其他多邊同盟服務提供者。
- 讓使用者使用其Microsoft Entra 帳戶,登入 InCommon 或其他多邊同盟服務提供者。
- 讓使用者使用其Microsoft Entra 帳戶來存取中央驗證服務 (CAS) 應用程式。
- 在一個中央位置管理您的應用程式存取權。
本文中所述的案例假設您已經具備下列必要條件:
- 具有有效訂閱的 Microsoft Entra 用戶帳戶。 若尚未有帳戶,可以免費建立帳戶。
- 下列其中一個角色:
- 已啟用 Cirrus Identity Bridge for Microsoft Entra 作為單一登入(SSO)方案的訂閱服務。 如果您還不是訂閱者,請瀏覽 Cirrus Identity Microsoft Entra ID Bridge 註冊頁面。
在本文中,您會在測試環境中進行 Microsoft Entra SSO 的設定和測試。
- 適用於 Microsoft Entra ID 的 Cirrus Identity Bridge 支援 SP 和 IDP 起始的 SSO。
訂閱 Microsoft Entra ID 的 Cirrus Identity Bridge 時,系統會要求您提供 Microsoft Entra TenantID。 若要檢視此內容:
- 登入 Microsoft Entra 系統管理中心。
- 瀏覽至 身分識別>概觀>屬性。
- 向下捲動至 [租使用者標識符] 區段,您可以在方塊中找到您的租用戶標識符。
- 複製值,並將其傳送至您正在使用的 Cirrus Identity 合約代表。
若要使用 Microsoft Graph API 整合,您必須將 Microsoft Entra ID 的存取權授予 Cirrus Identity Bridge,以便在您的租戶中使用 API。 若要這樣做:
- 登入 Microsoft Entra 系統管理中心。
- 編輯 URL
https://login.microsoftonline.com/$TENANT_ID/adminconsent?client_id=ea71bc49-6159-422d-84d5-6c29d7287974&state=12345&redirect_uri=https://admin.cirrusidentity.com/azure-registration用 Microsoft Entra 租用戶的 ID 替換 $TENANT_ID。 - 將 URL 貼到您登入的瀏覽器中。
- 系統會要求您同意授與存取權。
- 成功時,應該會有名為 Cirrus Bridge API 的新應用程式。
- 請告知您正在合作的 Cirrus 身分識別合約代表,您已成功將 API 存取權授與 Cirrus Identity Bridge 給 Microsoft Entra ID。
一旦 Cirrus Identity 擁有租戶 ID 並授予存取權,我們將為 Microsoft Entra 基礎結構部署 Cirrus Identity Bridge,並向您提供適用於您的訂閱的下列唯一資訊:
- 標識碼 URI/ 實體識別碼
- 重新導向 URI / 回應 URL
- 單一登出 URL
- SP 加密憑證(如果使用加密陳述或登出)
- 用於測試的 URL
- 視訂用帳戶隨附的選項而定的其他指示
注意
如果您無法將 API 存取權授與 Cirrus Identity Bridge for Microsoft Entra ID,則可以使用傳統的 SAML 2.0 整合網橋。 請告知您正在合作的 Cirrus Identity 合約代表,您無法使用 MS Graph API 整合。
若要設定將 Cirrus Identity Bridge for Microsoft Entra ID 整合到 Microsoft Entra ID 中,您需要從資源庫將 Cirrus Identity Bridge for Microsoft Entra ID 新增到受控 SaaS 應用程式清單。
- 以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Identity>應用程式>Enterprise 應用程式>新增應用程式。
- 在 從資源庫新增 區段中,於搜尋方塊中輸入 Cirrus Identity Bridge for Microsoft Entra ID。
- 從結果面板選取 [Cirrus Identity Bridge for Microsoft Entra ID,然後新增應用程式。 正在將應用程式新增至您的租戶,請稍候幾秒鐘。
或者,您也可以使用 企業應用程式設定精靈。 在此精靈中,您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式、指派角色,以及逐步解說 SSO 設定。 深入瞭解Microsoft 365 精靈。
以名為 B.Simon的測試用戶,設定並測試 Cirrus Identity Bridge 與 Microsoft Entra ID 的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Cirrus Identity Bridge 中Microsoft Entra ID 中相關使用者之間的連結關聯性。
若要設定及測試 Microsoft Entra SSO 與 Cirrus Identity Bridge for Microsoft Entra ID,請執行下列步驟:
-
設定 Microsoft Entra SSO - 讓用戶能夠使用此功能。
- 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登入。
- 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 使用 Microsoft Entra 單一登入。
-
設定 Cirrus Identity Bridge for Microsoft Entra SSO - 在應用程式端設定單一登入設定。
- 為 Microsoft Entra 測試設定 Cirrus Identity Bridge - 在 Cirrus Identity Bridge 中創建一個對應的 B.Simon,並將其連結到 Microsoft Entra 中表示使用者的對象。
- 測試 SSO - 確認組態是否正常運作。
請遵循下列步驟來啟用 Microsoft Entra SSO。
以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。
流覽至 Identity>Applications>Enterprise applications>Cirrus Identity Bridge for Microsoft Entra ID 應用程式整合頁面,尋找 [管理] 區段,然後選取 [属性]。
在 [屬性] 頁面上,根據您的存取需求切換 [需要指派] 選項。 如果設定為 [是] ,您必須將 Cirrus Identity Bridge for Microsoft Entra ID 應用程式指派給 [使用者和群組] 頁面上的訪問控制群組。
在 屬性 頁面上,將 對使用者可見 設為 否。 初始整合一律代表用於多個服務提供者的預設整合。 在此情況下,不會有任何一個服務提供者將用戶導向。 若要讓終端使用者看到特定應用程式,您必須使用連結單一登錄,才能將我的應用程式中的終端使用者存取權授與特定服務提供者。 如需詳細資訊,請參閱這裡。
以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 Identity>應用程式>企業應用程式>Cirrus Identity Bridge for Microsoft Entra ID>單一登入。
在 選取單一登錄方法 頁面上,選取 SAML。
在 使用 SAML 設定單一登入 頁面上,按一下 基本 SAML 組態 的鉛筆圖示來編輯設定。
在 [基本 SAML 組態] 區段上,執行下列步驟:
一個。 在 標識符(實體 ID) 的文字框中,依照下列模式輸入 URL:
https://<DOMAIN>/bridgeb. 在 [回復 URL] 文字框中,使用下列格式輸入 URL:
https://<NAME>.proxy.cirrusidentity.com/module.php/saml/sp/saml2-acs.php/<NAME>_proxy如果您想要以 SP 起始模式設定應用程式,請按兩下 [設定其他 URL],然後執行下列步驟:
在 [登入 URL] 文字框中,使用下列模式輸入值:
<CUSTOMER_LOGIN_URL>注意
這些值不是真實的。 使用實際的標識碼、回復 URL 和登入 URL 來更新這些值。 如果您尚未訂閱 Cirrus Bridge,請瀏覽 註冊頁面。 如果您是現有的 Cirrus Bridge 客戶,請聯絡 Cirrus Identity Bridge 的 Microsoft Entra 用戶端支援 小組以取得這些值。 您也可以參考 基本 SAML 組態 一節中顯示的模式。
適用於 Microsoft Entra 應用程式的 Cirrus Identity Bridge 需要特定格式的 SAML 聲明,因此您必須將自定義屬性對應新增至 SAML 令牌屬性組態。 下列螢幕快照顯示預設屬性的清單。
Microsoft Entra 的 Cirrus Identity Bridge 會預先填入 屬性 & 聲明,這些屬性通常與 InCommon 信任同盟搭配使用。 您可以檢閱和修改它們,以符合您的需求。 如需詳細資訊,請參閱 eduPerson架構規格。
名字 來源屬性 urn:oid:2.5.4.42 使用者的名字 urn:oid:2.5.4.4 用戶.姓氏 urn:oid:0.9.2342.19200300.100.1.3 使用者.郵件 urn:oid:1.3.6.1.4.1.5923.1.1.1.6 使用者主要使用者名稱(user.userprincipalname) cirrus.nameIdFormat “urn:oasis:names:tc:SAML:2.0:nameid-format:transient” 注意
這些預設值假設 Microsoft Entra UPN 適合作為 eduPersonPrincipalName 使用。
在 [使用 SAML 設定單一登錄] 頁面上的 [SAML 簽署憑證] 區段中,按兩下 [複製] 按鈕以複製 應用程式同盟元數據 URL,並將它儲存在您的電腦上。
請遵循 建立並指派用戶帳戶 快速入門中的指導方針,以建立名為 B.Simon 的測試用戶帳戶。
如需設定 Cirrus Bridge 的更多詳細資訊,請參閱 Cirrus Identity 。 若要同時設定 Cirrus Bridge 以支援 CAS 服務的存取,CAS 支援也適用於 Cirrus Bridge 。
在本節中,您會確認名為 Britta Simon 的用戶可用於測試。 Microsoft Entra 支援小組的 Cirrus Identity Bridge 將提供測試 URL,以驗證 Britta Simon 已準備好與適用於 Microsoft Entra 平臺的 Cirrus Identity Bridge 搭配使用。 測試使用者 Britta Simon 也必須被新增到任何使用 Cirrus Identity Bridge for Microsoft Entra ID 作為驗證方法的應用程式中(例如,位於多邊聯盟元數據中的應用程式)。
在本節中,您會使用下列選項來測試Microsoft Entra 單一登錄設定。
單擊 測試此應用程式,此操作會將您重新導向至 Cirrus Identity Bridge 的 Microsoft Entra ID 登入網址,您可以在該處啟動登入流程。
直接移至 cirrus Identity Bridge for Microsoft Entra 登入 URL,然後從該處起始登入流程。
- 點擊 [測試此應用,您將會自動登入您為其設定 SSO 的 Cirrus Identity Bridge for Microsoft Entra ID。
您也可以使用Microsoft我的應用程式,在任何模式中測試應用程式。 當您在我的應用程式中按一下 [Cirrus Identity Bridge for Microsoft Entra ID] 圖格時,如果是以 SP 模式設定,您會被重新導向到應用程式的登入頁面以啟動登入流程;如果是以 IDP 模式設定,則應該自動登入到您已設定 SSO 的 Cirrus Identity Bridge for Microsoft Entra ID。 如需 My Apps 的詳細資訊,請參閱 My Apps簡介。
設定 Microsoft Entra 識別符的 Cirrus Identity Bridge 後,您可以強制執行會話控件,以即時防止組織的敏感數據遭到外泄和滲透。 會話控制從條件式存取延伸而來。 瞭解如何使用適用於 Cloud Apps 的 Microsoft Defender強制執行會話控制。
使用 MS Graph API 整合時,您也可以為 cirrus Identity Bridge for Microsoft Entra ID 建立多個應用程式組態。 這些可讓您針對多邊同盟群組實作不同的宣告、訪問控制或Microsoft Entra 條件式存取原則。 如需詳細資訊,請參閱這裡 。 其中許多相同的存取控制也可以套用至 CAS 應用程式。