共用方式為

Microsoft Entra SSO 與 Tulip 整合

  • 發行項

在本教學課程中,您將了解如何整合 Tulip 與 Microsoft Entra ID。 將 Tulip 與 Microsoft Entra ID 整合後,您可以:

  • 在 Microsoft Entra ID 中控制可存取 Tulip 的人員。
  • 讓使用者運用其 Microsoft Entra 帳戶自動登入 Tulip。
  • 在一個集中式位置管理您的帳戶。

必要條件

若要開始使用,您需要下列項目:

  • Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶
  • 已啟用 Tulip 單一登入 (SSO) 的訂用帳戶。

注意

此整合也可從 Microsoft Entra US Government 雲端環境使用。 您可以在 Microsoft Entra US Government 雲端應用程式資源庫中找到此應用程式,並以您從公用雲端所做的相同方式進行設定。

案例描述

在本教學課程中,您會在測試環境中設定及測試 Microsoft Entra SSO。

  • Tulip 支援由 Tulip 起始的 SSO

若要進行將 Tulip 整合到 Microsoft Entra ID 的設定,您必須將 Tulip 從資源庫新增至受控 SaaS 應用程式清單中。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]> [應用程式]> [企業應用程式]> [新增應用程式]
  3. 在 [從資源庫新增] 區段的搜尋方塊中輸入 Tulip
  4. 從結果面板選取 Tulip,然後新增應用程式。 將應用程式新增至您的租用戶時,請稍候幾秒鐘。

或者,您也可以使用企業應用程式組態精靈。 在此精靈中,您可以將應用程式新增至租用戶、將使用者/群組新增至應用程式、指派角色,以及逐步進行 SSO 設定。 深入了解 Microsoft 365 精靈。

為 Tulip 設定及測試 Microsoft Entra SSO

若要設定及測試與 Tulip 搭配運作的 Microsoft Entra SSO,請執行下列步驟:

  1. 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。

  2. 設定 Tulip SSO:在應用程式端設定單一登入設定。

    1. 若要以現有的使用者在 Tulip 執行個體上設定 SSO,請連絡 support@tulip.co。

設定 Microsoft Entra SSO

遵循下列步驟來啟用 Microsoft Entra SSO。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]> [應用程式]> [企業應用程式]> [Tulip]> [單一登入]

  3. 在 [選取單一登入方法] 頁面上,選取 [SAML]

  4. 在 [以 SAML 設定單一登入] 頁面上,按一下 [基本 SAML 設定] 的鉛筆圖示,以編輯設定。

    編輯基本 SAML 組態

  5. 如果您有服務提供者中繼資料檔案,請在 [基本 SAML 設定] 區段上執行下列步驟:

    a. 下載 Tulip 的中繼資料檔案,可在 Tulip 執行個體的設定頁面底下存取該檔案。

    b. 按一下 [上傳中繼資料檔案]

    影像1

    b. 按一下資料夾圖示以選取中繼資料檔案,然後按一下 [上傳]

    影像2

    c. 成功上傳中繼資料檔案後,就會在 [基本 SAML 設定] 區段中自動填入 [識別碼] 和 [回覆 URL] 值:

    image3

    注意

    如果 [識別碼] 和 [回覆 URL] 值未自動填入,請根據您的需求手動輸入這些值。

  6. Tulip 應用程式需要特定格式的 SAML 判斷提示,因此您必須在 SAML 權杖屬性設定中新增自訂屬性對應。 下列螢幕擷取畫面顯示預設屬性的清單。 如果 nameID 必須是電子郵件,請將格式變更為 Persistent

    image

  7. 除了上述屬性外,Tulip 應用程式還需要在 SAML 回應中多傳回下列幾個屬性。 這些屬性也會預先填入,但您可以根據需求來檢閱這些屬性。

    名稱 來源屬性
    displayName user.displayname
    emailAddress user.mail
    badgeID user.employeeid
    groups user.groups

  8. 在 [以 SAML 設定單一登入] 頁面上的 [SAML 簽署憑證] 區段中,尋找 [同盟中繼資料 XML],然後選取 [下載],以下載憑證並將其儲存在電腦上。

設定 Tulip SSO

  1. 以帳戶擁有者身分登入 Tulip 執行個體。

  2. 移至設定>SAML ,然後在下一個頁面中執行下列步驟。

    螢幕擷取畫面:Tulip 設定。

    a. 啟用 SAML 登入

    b. 按一下 [中繼資料 XML 檔案],以下載服務提供者中繼資料檔案,並在 AZURE 入口網站的 [基本 SAML 設定] 區段中使用此檔案上傳。

    c. 將同盟中繼資料 XML 檔案從 Azure 上傳至 Tulip。 這會填入 SSO 登入、SSO 登出 URL 和憑證。

    d. 確認名稱、電子郵件和徽章屬性不是 Null,即在所有三個輸入中輸入任何唯一字串,並使用右側的 Authenticate 按鈕執行測試驗證。

    e. 成功驗證之後,請將整個宣告 URL 複製/貼到名稱、電子郵件和 badgeID 屬性的適對應中。

    • 貼上 [名稱屬性] 值作為 http://schemas.microsoft.com/identity/claims/displayname 或適的宣告 URL。

    • 貼上 [電子郵件屬性] 值作為 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name 或適的宣告 URL。

    • 貼上 [徽章屬性] 值作為 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/badgeID 或適的宣告 URL。

    • 貼上 [角色屬性] 值作為 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/groups 或適的宣告 URL。

    f. 按一下 [儲存 SAML 組態]

下一步

設定 Tulip 後,您可以強制執行工作階段控制項,以即時防止組織的敏感資料遭到外洩和滲透。 工作階段控制項會從條件式存取延伸。 了解如何使用適用於雲端的 Microsoft Defender 應用程式來強制執行工作階段控制項

請連絡 support@tulip.co 以解決任何進一步的問題,包括移轉 Tulip 中的現有使用者以使用 SAML!