Microsoft Entra SSO 與 Tanium SSO 整合

在本文中，您將瞭解如何整合Tanium SSO與 Microsoft Entra ID。 Tanium 是業界唯一的聚合端點管理提供者（XEM），在管理複雜安全性和技術環境的傳統方法中，引領了範例轉變。 在整合 Tanium SSO 與 Microsoft Entra ID 時，您可以.

• 在 Microsoft Entra 識別符中控制可存取 Tanium SSO 的人員。
• 讓使用者使用其 Microsoft Entra 帳戶自動登入 Tanium SSO。
• 在一個集中式位置管理您的帳戶。

您將在測試環境中設定及測試 Tanium SSO 的 Microsoft Entra 單一登錄。 Tanium SSO 同時 支援由 SP 和 IDP 起始的單一登錄，也 支援 Just In Time 使用者布建。 Tanium SSO 也支援 自動使用者布建。

必要條件

若要整合 Microsoft Entra ID 與 Tanium SSO，您需要：

• Microsoft Entra 使用者帳戶。 如果您還沒有帳戶，您可以 免費建立帳戶。
• 下列其中一個角色：應用程式 管理員 istrator、Cloud Application 管理員 istrator 或應用程式擁有者。
• Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶，可以取得免費帳戶。
• 已啟用Tanium SSO 單一登入 （SSO） 的訂用帳戶。

新增應用程式並指派測試使用者

開始設定單一登錄的程式之前，您需要從 Microsoft Entra 資源庫新增 Tanium SSO 應用程式。 您需要測試用戶帳戶以指派給應用程式，並測試單一登錄設定。

從 Microsoft Entra 資源庫新增 Tanium SSO

從 Microsoft Entra 應用連結庫新增 Tanium SSO，以使用 Tanium SSO 設定單一登錄。 如需如何從資源庫新增應用程式的詳細資訊，請參閱 快速入門：從資源庫新增應用程式。

建立並指派 Microsoft Entra 測試使用者

請遵循建立和指派用戶帳戶一文中的指導方針，以建立名為 B.Simon 的測試用戶帳戶。

或者，您也可以使用企業 應用程式組態 精靈。 在此精靈中，您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式，以及指派角色。 精靈也會提供單一登錄組態窗格的連結。 深入瞭解 Microsoft 365 精靈。。

設定 Microsoft Entra SSO

完成下列步驟以啟用 Microsoft Entra 單一登錄。

1. 至少需以雲端應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 Identity Applications Enterprise 應用程式>>Tanium SSO>單一登錄。>

3. 在 [選取單一登入方法] 頁面上，選取 [SAML]。

4. 在 [使用 SAML 設定單一登錄] 頁面上，選取 [基本 SAML 組態] 的鉛筆圖示以編輯設定。

   

5. 在 [基本 SAML 組態] 區段上，執行下列步驟：

   a. 在 [ 標識符 ] 文字框中，使用下列模式輸入值： urn:amazon:cognito:sp:<InstanceName>

   b. 在 [ 回復 URL ] 文字框中，使用下列模式輸入 URL： https://<InstanceName>-tanium.auth.<SUBDOMAIN>.amazoncognito.com/saml2/idpresponse

6. 如果您要以 SP 起始模式設定應用程式，請執行下列步驟：

   在 [ 登入 URL ] 文字框中，使用下列模式輸入 URL： https://<InstanceName>.cloud.tanium.com

   注意

   這些值不是真實的。 使用實際的標識碼、回復 URL 和登入 URL 來更新這些值。 請連絡 Tanium 支援 以取得這些值。 您也可以參考基本 SAML 組態一節中顯示的模式。

   注意

   如果在內部部署設定中部署Tanium，您的值看起來可能會與上面所示的值不同。 可以使用的值可以從 Tanium 控制台中的 [管理員 istration > SAML 組態] 功能表擷取。 您可以在 Tanium 控制台使用者指南中找到 詳細數據：與 SAML IdP 整合。

7. 在 [使用 SAML 設定單一登錄] 頁面上的 [SAML 簽署憑證] 區段中，按兩下 [複製] 按鈕以複製 [應用程式同盟元數據 URL]，並將其儲存在您的電腦上。 如果在內部部署設定中部署至 Tanium，請按兩下 [編輯] 按鈕，並將 [回應簽署選項] 設定為 [簽署回應和判斷提示]。

   

設定 Tanium SSO

若要在 Tanium SSO 端設定單一登錄，您必須將 應用程式同盟元數據 URL 傳送給 Tanium 支援。 此設定是為了正確設定雙方的 SAML SSO 連線。

建立 Tanium SSO 測試使用者

本節會在 Tanium SSO 中建立名為 B.Simon 的使用者。 Tanium SSO 支援依預設啟用的 Just-In-Time 使用者布建。 本節中沒有動作專案。 如果 Tanium SSO 中還沒有任何使用者存在，在驗證之後就會建立新的使用者。

測試 SSO

在本節中，您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。

SP 起始：

• 按兩下 [ 測試此應用程式]，這會重新導向至您可以在其中起始登入流程的Tanium SSO 登入URL。

• 直接移至 Tanium SSO 登入 URL，然後從該處起始登入流程。

IDP 起始：

• 按兩下 [ 測試此應用程式]，您應該會自動登入您已設定 SSO 的 Tanium SSO。

您也可以使用 Microsoft 我的應用程式 在任何模式中測試應用程式。 當您在 我的應用程式 中按兩下 Tanium SSO 圖格時，如果是在 SP 模式中設定，您會重新導向至應用程式登入頁面來起始登入流程，如果在 IDP 模式中設定，則應該會自動登入您已設定 SSO 的 Tanium SSO。 如需詳細資訊，請參閱 Microsoft Entra 我的應用程式。

其他資源

• 什麼是使用 Microsoft Entra ID 的單一登錄？
• 規劃單一登錄部署。

下一步

設定 Tanium SSO 後，您可以強制執行工作階段控制件，以即時防止組織的敏感數據遭到外洩和滲透。 會話控件會從條件式存取延伸。 瞭解如何使用 Microsoft 雲端 App 安全性 強制執行工作階段控制件。