事件
Microsoft Entra SSO 與 CyberArk SAML 驗證整合
在本文中,您將瞭解如何整合 CyberArk SAML Authentication 與 Microsoft Entra ID。 在整合 CyberArk SAML Authentication 與 Microsoft Entra ID 時,您可以:
- 在 Microsoft Entra ID 中控制誰可以存取 CyberArk SAML 認證。
- 讓使用者使用其Microsoft Entra 帳戶自動登入 CyberArk SAML Authentication。
- 在一個中央位置管理您的帳戶。
若要開始,您需要下列項目:
- Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,您可以取得 免費帳戶。
- 已啟用 SSO(單一登入)的 CyberArk SAML Authentication 訂用帳戶。
- 除了雲端應用程式管理員,應用程式管理員也可以新增或管理Microsoft Entra標識符中的應用程式。 如需詳細資訊,請參閱 azure 內建角色。
在本文中,您會在測試環境中設定及測試 Microsoft Entra SSO。
- CyberArk SAML Authentication 支援 SP 和 IDP 發起的 SSO。
注意
此應用程式的標識碼是固定字串值,因此一個租使用者中只能設定一個實例。
若要設定將 CyberArk SAML Authentication 整合到 Microsoft Entra ID 中,您需要從資源庫將 CyberArk SAML Authentication 新增到受控 SaaS 應用程式清單。
- 以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。
- 流覽至 身分識別>應用程式>企業應用程式>新增應用程式。
- 在 從資源庫新增 區段中,於搜尋方塊中輸入 CyberArk SAML Authentication。
- 從結果面板選取 [CyberArk SAML Authentication],然後新增應用程式。 正在將應用程式新增至您的租用戶時,請稍等幾秒鐘。
或者,您也可以使用 企業應用程式設定精靈。 在此精靈中,您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式、指派角色,以及逐步解說 SSO 設定。 深入瞭解Microsoft 365 精靈。
以名為 B.Simon的測試用戶,設定及測試 Microsoft Entra SSO 與 CyberArk SAML Authentication 搭配運作。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 CyberArk SAML Authentication 中相關使用者之間的連結關聯性。
若要設定及測試 Microsoft Entra SSO 與 CyberArk SAML Authentication,請執行下列步驟:
-
設定 Microsoft Entra SSO - 讓用戶能夠使用此功能。
- 建立 Microsoft Entra 測試使用者 - 使用 B.Simon 測試Microsoft Entra 單一登錄。
- 指派Microsoft Entra 測試使用者 - 讓 B.Simon 能夠使用 Microsoft Entra 單一登錄。
-
設定 CyberArk SAML Authentication SSO - 在應用程式端設定單一登入設定。
- 建立 CyberArk SAML Authentication 測試使用者 - 使 CyberArk SAML Authentication 中的 B.Simon 有一個能連接到 Microsoft Entra 中用戶表示形式的對應用戶。
- 測試 SSO - 確認組態是否正常運作。
請遵循下列步驟來啟用 Microsoft Entra SSO。
以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 Identity>Applications>Enterprise 應用程式>CyberArk SAML Authentication>單一登入。
在 選取單一登入方式 頁面上,選取 SAML。
在 [使用 SAML 設定單一登錄] 頁面上,點擊 [基本 SAML 組態] 的鉛筆圖示來編輯設定。
在 [基本 SAML 組態] 區段上,執行下列步驟:
在 回復 URL 文本框中,以下列模式輸入 URL:
https://<PVWA DNS or IP>/passwordvault/api/auth/saml/logon如果您想要以 SP 起始模式設定應用程式,請按兩下 [設定其他 URL,然後執行下列步驟:
在 [登入 URL] 文本框中,使用下列模式輸入 URL:
https://<PVWA DNS or IP>/PasswordVault/v10/logon/saml注意
這些值不是真實的。 使用實際的回復 URL 和 Sign-On URL 來更新這些值。 請連絡您的 CyberArk 系統管理小組以取得這些值。 您也可以參考 基本 SAML 組態 一節中顯示的模式。
在 [設定使用 SAML 單一登錄] 頁面上的 [SAML 簽署憑證] 區段中,尋找 [憑證 [Base64],然後 選取 [下載],以下載憑證並將其儲存在您的計算機上。
![螢幕快照顯示 [憑證下載] 連結。](common/certificatebase64.png "憑證")
在 [設定 CyberArk SAML 認證] 區段中,根據您的需求複製合適的 URL。
請遵循 建立並指派用戶帳戶 快速入門中的指導方針,以建立名為 B.Simon 的測試用戶帳戶。
若要在 CyberArk SAML Authentication 端設定單一登錄,您必須將下載的 憑證 (Base64) 和複製的適當 URL 從應用程式組態傳送給 CyberArk 系統管理小組。 他們會設定此選項以正確配置兩側的 SAML SSO 連線。
在本節中,您會在 CyberArk SAML Authentication 中建立名為 B.Simon 的使用者。 請與您的 CyberArk 系統管理小組合作,在 CyberArk SAML Authentication 平臺中新增使用者。 用戶必須先建立並啟用,才能使用單一登錄。
在本節中,您會使用下列選項來測試Microsoft Entra 單一登錄設定。
點擊 [測試此應用程式],這會重定向至 CyberArk SAML Authentication 登入 URL 網站,您可以在此啟動登入流程。
直接移至 CyberArk SAML Authentication 登入 URL,然後從該處起始登入流程。
- 點擊 [測試此應用程式],您應會自動登入您已設定 SSO 的 CyberArk SAML 驗證。
您也可以使用Microsoft我的應用程式,在任何模式中測試應用程式。 當您在 My Apps 中按下 CyberArk SAML Authentication 圖格時,如果是在 SP 模式中設定,您會重新導向至應用程式登入頁面來起始登入流程,如果在 IDP 模式中設定,則應該會自動登入您已設定 SSO 的 CyberArk SAML Authentication。 如需 My Apps 的詳細資訊,請參閱 My Apps簡介。
設定 CyberArk SAML Authentication 後,您可以強制執行會話控件,以即時防止組織的敏感數據遭到外泄和滲透。 會話控制擴展自條件式存取。 瞭解如何使用適用於 Cloud Apps 的 Microsoft Defender強制執行會話控制。