共用方式為

使用 Microsoft Entra ID 設定單一登入的 Contentstack

在本文中,您將瞭解如何整合 Contentstack 與 Microsoft Entra ID。 將 Contentstack 與 Microsoft Entra ID 整合後,您可以執行下列動作:

  • 在 Microsoft Entra ID 中控制可存取 Contentstack 的人員。
  • 讓使用者運用其 Microsoft Entra 帳戶自動登入 Contentstack。
  • 在一個集中式位置管理您的帳戶。

必要條件

本文中所述的案例假設您已經具備下列必要條件:

  • 已啟用單一登入 (SSO) 功能的 Contentstack 訂閱。

案例描述

在本文中,您會在測試環境中設定及測試 Microsoft Entra SSO。

  • Contentstack 支援由 SP 和 IDP 起始的 SSO。
  • Contentstack 支援 即時 使用者佈建。

若要設定將 Contentstack 整合到 Microsoft Entra ID 中,您需要從資源庫將 Contentstack 新增到受控 SaaS 應用程式清單。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 請流覽至 Entra ID>企業應用程式>新增應用程式
  3. 在「從資源庫新增」區段的搜尋方塊中輸入 Contentstack
  4. 從結果面板選取 [Contentstack],然後新增應用程式。 將應用程式新增至您的租戶時,請稍候幾秒鐘。

或者,您也可以使用企業應用程式組態精靈。 在此精靈中,您可以將應用程式新增至租用戶、將使用者/群組新增至應用程式、指派角色,以及逐步進行 SSO 設定。 深入瞭解 Microsoft 365 精靈

設定和測試適用於 Contentstack 的 Microsoft Entra SSO

使用名為 B.Simon 的測試使用者,設定和測試與 Contentstack 搭配運作的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Contentstack 中相關使用者之間的連結關係。

若要設定和測試與 Contentstack 搭配運作的 Microsoft Entra SSO,請執行下列步驟:

  1. 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
    1. 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登入。
    2. 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 使用 Microsoft Entra 單一登入。
  2. 設定 Contentstack SSO - 在應用程式端進行單一登入設定。
    1. 建立 Contentstack 測試使用者 - 以便在 Contentstack 中對應到 Microsoft Entra 中所代表的使用者 B.Simon。
  3. 測試 SSO - 確認組態是否正常運作。

設定 Microsoft Entra SSO

請遵循下列步驟,在 Microsoft Entra 系統管理中心啟用 Microsoft Entra SSO。

  1. 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心,並流覽至 Entra ID>Enterprise 應用程式

  2. 現在選取 + 新增應用程式,搜尋 Contentstack,然後選取 建立。 建立之後,現在請移至 [ 設定單一登錄 ],或從左側功能表中選取 [單一登錄 ] 連結。

    螢幕擷取畫面顯示新的應用程式建立作業。

  3. 在「選取單一登入方法」頁面上,選取「SAML」。

    螢幕擷取畫面顯示如何選取單一登入方法。

  4. 在 [設定使用 SAML 單一登入] 頁面上,選取 [基本 SAML 組態] 的鉛筆圖示來編輯設定。

    顯示如何編輯基本 SAML 組態的螢幕擷取畫面。

  5. 在「基本 SAML 設定」區段中,您需要執行下列步驟。 若要取得這些步驟所需的資訊,您必須先移至 Contentstack 應用程式,然後以下列方式建立 SSO 名稱和ACS URL

    一。 登入您的 Contentstack 帳戶,移至 [組織設定] 頁面,然後選取 [ 單一登錄 ] 索引卷標。

    螢幕擷取畫面顯示基本 SAML 設定步驟。

    b。 輸入您選擇的 SSO 名稱 ,然後選取 [ 建立]。

    螢幕擷取畫面顯示如何輸入或建立名稱。

    注意

    例如,如果您的公司名稱為「Acme, Inc.」。 在這裡輸入「acme」。 登入時,組織使用者會使用此名稱做為其中一個登入認證。 SSO 名稱只能包含字母 (小寫)、數字 (0-9) 和/或連字號 (-)。

    丙. 當您選取 [建立] 時,這會產生 判斷提示取用者服務 URL 或 ACS URL,以及其他詳細數據,例如 實體識別碼屬性NameID 格式

    螢幕擷取畫面顯示配置所需值的生成過程。

  6. 回到「基本 SAML 組態」區段,針對識別碼 (實體 ID)回應 URL 區段,分別貼上上述步驟集所產生的實體 IDACS URL,然後儲存輸入項。

    1. 在「識別碼」文字方塊中,貼上您從 Contentstack 複製的「實體 ID」值。

      螢幕擷取畫面顯示如何貼上識別碼值。

    2. 在「回覆 URL」文字方塊中,貼上您從 Contentstack 複製的 ACS URL

      螢幕擷取畫面顯示如何貼上回覆 URL。

  7. 這是選擇性步驟。 如果您希望以 SP 起始模式設定應用程式,請在「登入 URL」欄位中輸入對應的登入 URL:

    螢幕擷取畫面顯示如何貼上登入 URL。

    注意

    當您完成設定 Contentstack SSO 時,您會找到 SSO One-Select URL (也就是登入 URL)。 螢幕擷取畫面顯示如何啟用存取頁面。

  8. Contentstack 應用程式預期特定格式的 SAML 斷言,所以您需要將自訂屬性映射新增到您的 SAML 權杖屬性配置。 下列螢幕擷取畫面顯示預設屬性的清單。

    此螢幕擷取畫面顯示屬性組態的影像。

  9. 除了上述屬性外,Contentstack 應用程式需要在下方顯示的 SAML 回應中多傳回幾個屬性,如下所示。 這些屬性也會預先填入,但您可以根據需求來檢閱這些屬性。 這是選擇性步驟。

    名稱 來源屬性
    角色 user.assignedroles

    注意

    請選擇此處,以瞭解如何在 Microsoft Entra ID 中配置角色。

  10. 在 [使用 SAML 設定單一登入] 頁面上的 [SAML 簽署憑證] 區段中,尋找 [憑證 (Base64)],然後選取 [下載] 以下載憑證並儲存在電腦上。

    螢幕擷取畫面顯示憑證下載連結。

  11. 在「設定 Contentstack」區段上,根據您的需求複製適當的 URL。

    螢幕擷取畫面顯示複製設定的 URL。

建立並指派Microsoft Entra 測試使用者

請遵循 建立並指派用戶帳戶 快速入門中的指導方針,以建立名為 B.Simon 的測試用戶帳戶。

配置 Contentstack SSO

  1. 以管理員身分登入您的 Contentstack 公司網站。

  2. 移至 [組織設定] 頁面,然後選取左側功能表上的 [ 單一登錄 ] 索引標籤。

  3. 在「單一登入」頁面中,瀏覽至「SSO 設定」區段,然後執行下列步驟:

    1. 輸入您選擇的有效 SSO 名稱 ,然後選取 [ 建立]。

      螢幕擷取畫面顯示配置的設定。

      注意

      例如,如果您的公司名稱為「Acme, Inc.」。 在這裡輸入「acme」。 登入時,組織使用者會使用此名稱做為其中一個登入認證。 SSO 名稱只能包含字母 (小寫)、數字 (0-9) 和/或連字號 (-)。

    2. 當您選取 [建立] 時,這會產生聲明接收服務 URL (ACS URL),以及其他詳細資訊,例如 實體識別碼屬性NameID 格式,然後選取 [下一步]。

      螢幕擷取畫面顯示設定值。

  4. 移至IdP設定索引標籤並執行下列步驟:

    螢幕擷取畫面顯示身分識別登入值。

    1. 在「單一登入 URL」文字方塊中,貼上您從 Microsoft Entra 系統管理中心複製的「登入 URL」。

    2. 從 Microsoft Entra 系統管理中心開啟下載的憑證 (Base64),然後上傳至「憑證」欄位。

    3. 選取 下一步

  5. 接下來,您必須在 Contentstack 中建立角色對應。

    注意

    只有在 IdP 角色對應是 Contentstack 計劃的一部分時,您才能檢視和執行此步驟。

  6. 在 Contentstack 的 SSO 設定頁面的 [ 使用者管理 ] 區段中,您會看到 Strict Mode (僅透過 SSO 登入授權組織使用者的存取權)和 [會話逾 時] (定義使用者透過 SSO 登入的會話持續時間)。 在這些選項下方,您也會看到 [ 進階設定] 選項。

    螢幕擷取畫面顯示使用者管理區段。

  7. 選取 [ 進階設定 ] 展開 [IdP 角色對應] 區段,將IdP角色對應至Contentstack。 這是選擇性步驟。

  8. 在 [ 新增角色對應 ] 區段中,選取 [+ 新增角色對應 ] 連結,以新增IdP角色的對應詳細數據,其中包含下列詳細數據:

    螢幕擷取畫面顯示如何新增映射詳細資料。

    1. IdP 角色識別碼中,輸入 IdP 群組或角色的識別碼(例如「開發人員」),此識別碼的值可以從您的清單中獲得。

    2. 針對「組織角色」,選擇要將「管理員」或「成員」角色指派至映射的群組或角色。

    3. 如需設定選擇性的「堆疊層級權限」,請將堆疊及對應的堆疊層級角色指派給此角色。 同樣地,您可以為 Contentstack 組織新增更多角色映射。 若要新增角色對應,請選取 [+ 新增角色對應 ],然後輸入詳細數據。

    4. 請將「角色分隔符號」保留空白,因為 Microsoft Entra ID 通常會在陣列中返回角色。

    5. 最後,選取 [ 啟用IdP角色對應] 複選框以啟用此功能,然後選取 [ 下一步]。

    注意

    如需詳細資訊,請參閱 Contentstack SSO 指南

  9. 啟用 SSO 之前,建議您先測試到目前為止所設定的 SSO 設定。 若要這樣,請執行下列步驟:

    1. 選取 [ 測試 SSO ] 按鈕,它會帶您前往 Contentstack 的 [透過 SSO 登入] 頁面,您必須在其中指定組織的 SSO 名稱。
    2. 然後,選取 [繼續] 以移至您的 IdP 登入頁面。
    3. 登入您的帳戶,如果您能夠登入您的 IdP,測試就會成功。
    4. 在成功連線時,您會看到成功訊息,如下所示。

    螢幕擷取畫面顯示成功測試連線。

  10. 測試 SSO 設定之後,請選取 [ 啟用 SSO ] 為您的 Contentstack 組織啟用 SSO。

    螢幕擷取畫面顯示啟用測試區段。

  11. 啟用之後,使用者可以透過 SSO 存取組織。 您也可以視需要同時從此頁面停用 SSO

    螢幕擷取畫面顯示停用存取頁面。

建立 Contentstack 測試使用者

本節會在 Contentstack 中建立名為 Britta Simon 的使用者。 Contentstack 支援即時用戶佈建,且預設啟用。 本節中沒有需要您完成的項目。 如果 Contentstack 中尚無使用者,便會在驗證後建立新的使用者。

測試 SSO

在本節中,您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。

SP 發起:

  • 在 Microsoft Entra 管理中心中,選取 [測試此應用程式]。 此選項會重新導向至您可以在其中起始登入流程的Contentstack登入URL。

  • 直接移至 Contentstack 登入 URL,然後從該處起始登入流程。

IDP 已啟動

  • 在 Microsoft Entra 系統管理中心選取 [ 測試此應用程式 ],您應該會自動登入您已設定 SSO 的 Contentstack。

您也可以使用 Microsoft「我的應用程式」,以任何模式測試應用程式。 當您在 My Apps 中選取 Contentstack 圖格時,如果是在 SP 模式中設定,您會重新導向至應用程式登入頁面來起始登入流程,如果在 IDP 模式中設定,則應該會自動登入您已設定 SSO 的 Contentstack。 如需「我的應用程式」的詳細資訊,請參閱我的應用程式簡介

相關內容

設定 Contentstack 後,您可以強制執行工作階段控制項,以即時防止貴組織的敏感資料遭到外洩和滲透。 工作階段控制是從條件存取衍生出來的功能。 了解如何使用 Microsoft Defender for Cloud Apps 來強制執行會話控制

  • Last updated on