Udostępnij za pośrednictwem


Integracja firmy Microsoft Entra z aplikacją MobileIron

Z tego artykułu dowiesz się, jak zintegrować aplikację MobileIron z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji MobileIron z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji MobileIron.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji MobileIron przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji: w witrynie Azure Portal.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Subskrypcja aplikacji MobileIron z obsługą logowania jednokrotnego.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

  • Aplikacja MobileIron obsługuje SSO inicjowane przez dostawcę usług i dostawcę tożsamości.

Aby skonfigurować integrację aplikacji MobileIron z identyfikatorem Entra firmy Microsoft, należy dodać aplikację MobileIron z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.
  2. Przejdź do Identity>Aplikacje>Aplikacje korporacyjne>Nowa aplikacja.
  3. W sekcji Dodaj z galerii w polu wyszukiwania wpisz MobileIron.
  4. Wybierz pozycję MobileIron z wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do Twojego tenanta.

Możesz również użyć Kreatora konfiguracji aplikacji Enterprise. W tym kreatorze możesz dodać aplikację dla dzierżawcy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o narzędziach Microsoft 365.

Konfiguracja i testowanie logowania jednokrotnego Microsoft Entra dla MobileIron

Skonfiguruj i przetestuj aplikację Microsoft Entra SSO z aplikacją MobileIron przy użyciu użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić połączoną relację między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji MobileIron.

Aby skonfigurować i przetestować jednokrotne logowanie Microsoft Entra z MobileIron, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO — aby użytkownicy mogli korzystać z tej funkcji.
    1. Stwórz użytkownika testowego Microsoft Entra — aby przetestować logowanie jednokrotne Microsoft Entra z Brittą Simon.
    2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić użytkowniczce Britcie Simon korzystanie z jednokrotnego logowania Microsoft Entra.
  2. Konfigurowanie MobileIron SSO - aby skonfigurować ustawienia Single Sign-On po stronie aplikacji.
    1. Utworzenie użytkownika testowego MobileIron — aby mieć odpowiednika Britta Simon w MobileIron, połączonego z reprezentacją użytkownika w Microsoft Entra.
  3. test SSO - aby zweryfikować, czy konfiguracja działa.

Konfiguracja systemu Microsoft Entra SSO

W tej sekcji włączysz Microsoft Entra SSO.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.

  2. Przejdź do strony integracji aplikacji aplikacje tożsamościowe>>dla przedsiębiorstw>MobileIron, znajdź sekcję Zarządzanie i wybierz pozycję Jednokrotne logowanie.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfiguracja jednokrotnego logowania za pomocą SAML wybierz ikonę ołówka dla Podstawowej konfiguracji SAML, aby edytować ustawienia.

    Edycja podstawowej konfiguracji protokołu SAML

  5. Jeśli chcesz skonfigurować aplikację w trybie inicjowanym przez dostawcę tożsamości, w sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    a. W polu tekstowym Identyfikator wpisz adres URL, korzystając z następującego wzorca: https://www.MobileIron.com/<key>

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<host>.MobileIron.com/saml/SSO/alias/<key>

    c. Kliknij Ustaw dodatkowe adresy URL i wykonaj następny krok, jeśli chcesz skonfigurować aplikację w trybie inicjowanym przez SP:

    W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<host>.MobileIron.com/user/login.html

    Uwaga

    Te wartości nie są prawdziwe. Zastąp je rzeczywistymi wartościami identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Wartości klucza i hosta uzyskasz z portalu administracyjnego aplikacji MobileIron, co zostało wyjaśnione w dalszej części artykułu.

  6. Na stronie Konfigurowanie Pojedynczego Logowania przy użyciu SAML w sekcji SAML Signing Certificate kliknij Pobierz, aby pobrać Federation Metadata XML z podanych opcji zgodnie z wymaganiami, a następnie zapisz go na komputerze.

    Link do pobierania certyfikatu

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku szybkiego startu dotyczącym tworzenia i przypisywania konta użytkownika, aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfigurowanie jednokrotnego logowania MobileIron

  1. W innym oknie przeglądarki internetowej zaloguj się do firmowej witryny aplikacji MobileIron jako administrator.

  2. Przejdź do pozycji Admin>Identity i wybierz opcję Microsoft Entra ID w polu Informacje o konfiguracji dostawcy tożsamości w chmurze.

    Zrzut ekranu przedstawia zakładkę Administrator witryny MobileIron z wybraną pozycją Tożsamość.

  3. Skopiuj wartości Key i Host i wklej je, aby ukończyć adresy URL w sekcji Basic SAML Configuration w witrynie Azure Portal.

    Zrzut ekranu przedstawia opcję Ustawienia SAML z kluczem i wartością hosta.

  4. W Eksportuj plik metadanych z usługi AAD i zaimportuj je do pola w chmurze usługi MobileIron kliknij Wybierz plik, aby przekazać pobrane metadane z witryny Azure Portal. Kliknij przycisk Gotowe po przesłaniu.

    przycisk Konfigurowanie metadanych administratora pojedynczego Sign-On

Tworzenie użytkownika testowego aplikacji MobileIron

Aby umożliwić użytkownikom firmy Microsoft Entra logowanie się do aplikacji MobileIron, należy ich aprowizować w aplikacji MobileIron.
W przypadku aplikacji MobileIron aprowizowanie jest zadaniem ręcznym.

Aby aprowizować konto użytkownika, wykonaj następujące kroki:

  1. Zaloguj się do firmowej witryny aplikacji MobileIron jako administrator.

  2. Przejdź do Użytkownicy i kliknij pozycję Dodaj>jednego użytkownika.

    Konfiguruj przycisk dla pojedynczego użytkownika Sign-On

  3. Na stronie dialogowej "Pojedynczy użytkownik" wykonaj następujące kroki:

    Konfiguruj przycisk dodawania pojedynczego użytkownika Sign-On

    a. W polu tekstowym E-mail Address wprowadź adres e-mail użytkownika, taki jak brittasimon@contoso.com.

    b. W polu tekstowym Imię wprowadź imię użytkownika, takie jak Britta.

    c. W polu tekstowym Nazwisko wprowadź nazwisko użytkownika, takiego jak Simon.

    d. Kliknij Gotowe.

Testowanie SSO

W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra, korzystając z następujących opcji.

Zainicjowano przez SP:

  • Kliknij Przetestuj tę aplikację. Spowoduje to przekierowanie do MobileIron Sign-on URL, aby zainicjować proces logowania.

  • Przejdź bezpośrednio do adresu URL logowania aplikacji MobileIron i zainicjuj przepływ logowania z tego miejsca.

Zainicjowano przez IDP:

  • Kliknij pozycję Przetestuj tę aplikację, a powinieneś zostać automatycznie zalogowany do MobileIron, dla którego skonfigurowano logowanie jednokrotne (SSO).

Możesz również użyć aplikacji Microsoft My Apps do przetestowania aplikacji w dowolnym trybie. Po kliknięciu kafelka MobileIron w obszarze Moje aplikacje, jeśli zostanie on skonfigurowany w trybie SP, nastąpi przekierowanie do strony logowania do aplikacji w celu zainicjowania procesu logowania. Natomiast jeśli skonfigurowano go w trybie IDP, zostaniesz automatycznie zalogowany do aplikacji MobileIron, dla której skonfigurowano logowanie jednokrotne (SSO). Aby uzyskać więcej informacji na temat moich aplikacji, zobacz Introduction to the My Apps( Wprowadzenie do aplikacji My Apps).

Po skonfigurowaniu aplikacji MobileIron można wymusić kontrole sesji, co chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrolki sesji rozszerzają dostęp warunkowy. Dowiedz się, jak wymusić kontrolę nad sesjami za pomocą Microsoft Defender for Cloud Apps.