通过

教程:Microsoft Entra SSO 与 Cloud Academy 的集成

  • 项目

本教程介绍如何将 Cloud Academy 与 Microsoft Entra ID 相集成。 将 Cloud Academy 与 Microsoft Entra ID 集成后,可以:

  • 使用 Microsoft Entra ID 控制谁有权访问 Cloud Academy。
  • 使用户能够使用其 Microsoft Entra 帐户自动登录到 Cloud Academy。
  • 在一个中心位置(Azure 门户)管理帐户。

先决条件

若要开始操作,需备齐以下项目:

  • 一个 Microsoft Entra 订阅。 如果没有订阅,可以获取一个免费帐户
  • 启用了单一登录 (SSO) 的 Cloud Academy 订阅。

教程说明

在本教程中,你将在测试环境中配置并测试 Microsoft Entra SSO。

  • Cloud Academy 支持 SP 发起的 SSO。
  • Cloud Academy 支持“实时”用户预配。
  • Cloud Academy 支持自动用户预配

若要配置 Cloud Academy 与 Microsoft Entra ID 的集成,需要从库中将 Cloud Academy 添加到托管的 SaaS 应用列表:

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
  3. 在“从库中添加”部分中,在搜索框中输入“Cloud Academy” 。
  4. 从结果面板中选择“Cloud Academy”,然后添加该应用。 在该应用添加到租户时等待几秒钟。

或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户,将用户/组添加到应用,分配角色,并逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。

配置并测试 Cloud Academy 的 Microsoft Entra SSO

使用名为 B.Simon 的测试用户配置并测试 Cloud Academy 的 Microsoft Entra SSO。 若要正常使用 SSO,需要在 Microsoft Entra 用户与 Cloud Academy 中的相关用户之间建立关联。

若要配置并测试 Cloud Academy 的 Microsoft Entra SSO,请完成以下的大致步骤:

  1. 配置 Microsoft Entra SSO - 使用户能够使用此功能。
    1. 创建 Microsoft Entra 测试用户 - 用于测试 Microsoft Entra 单一登录。
    2. 向测试用户授予访问权限 - 使用户能够使用 Microsoft Entra 单一登录。
  2. 在应用程序端为 Cloud Academy 配置单一登录
    1. 创建 Cloud Academy 测试用户,对应于该用户的 Microsoft Entra 表示形式。
  3. 测试 SSO ,验证配置是否正常工作。

配置 Microsoft Entra SSO

在 Azure 门户中执行以下步骤来启用 Microsoft Entra SSO:

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“Cloud Academy”应用程序集成页,在“管理”部分选择“单一登录”。

  3. 在“选择单一登录方法”页上选择“SAML” 。

  4. 在“设置 SAML 单一登录”页上,选择“基本 SAML 配置”对应的铅笔按钮以编辑设置:

    显示用于编辑基本 SAML 配置的铅笔按钮的屏幕截图。

  5. 在“基本 SAML 配置”部分,更新“标识符”文本框,键入以下 URL,然后继续操作:

    标识符
    urn:federation:cloudacademy

  6. 在“基本 SAML 配置”部分,更新“回复 URL”文本框,键入以下 URL 之一,然后继续操作:

    回复 URL
    https://cloudacademy.com/labs/social/complete/saml/
    https://app.qa.com/labs/social/complete/saml/

  7. 在“基本 SAML 配置”部分,更新“登录 URL”文本框,键入以下 URL 之一,然后将它保存:

    登录 URL
    https://cloudacademy.com/login/enterprise/
    https://app.qa.com/login/enterprise/

  8. 选择“SAML 签名证书”的铅笔按钮以编辑设置:

    显示如何编辑证书的屏幕截图。

  9. 下载 PEM 证书:

    显示如何下载 PEM 证书的屏幕截图。

  10. 在“设置 Cloud Academy”部分,复制“登录 URL”:

    显示登录 URL 的“复制”按钮的屏幕截图。

创建 Microsoft Entra 测试用户

在本部分,你将创建名为 B.Simon 的测试用户。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“用户”>“所有用户”
  3. 选择屏幕顶部的“新建用户”>“创建新用户”。
  4. “用户”属性中执行以下步骤:
    1. 在“显示名称”字段中输入 B.Simon
    2. 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如 B.Simon@contoso.com
    3. 选中“显示密码”复选框,然后记下“密码”框中显示的值。
    4. 选择“查看 + 创建”。
  5. 选择“创建”。

向测试用户授予访问权限

在本部分,通过授予 B.Simon 访问 Cloud Academy 的权限,使其能够使用 Azure 单一登录。

  1. 浏览到“标识”>“应用程序”>“企业应用程序”。
  2. 在应用程序列表中选择“Cloud Academy”。
  3. 在应用概述页上的“管理”部分,选择“用户和组”:
  4. 选择“添加用户”,然后在“添加分配”对话框中选择“用户和组”:
  5. 在“用户和组”对话框中的“用户”列表内选择“B.Simon”,然后单击屏幕底部的“选择”按钮。
  6. 如果你希望将某角色分配给用户,可以从“选择角色”下拉列表中选择该角色。 如果尚未为此应用设置任何角色,你将看到选择了“默认访问权限”角色。
  7. 在“添加分配”对话框中选择“分配”。

为 Cloud Academy 配置单一登录

  1. 在其他浏览器窗口中,以管理员身份登录 Cloud Academy 公司站点。

  2. 在主页上,单击“Azure 集成团队”图标,然后在左侧菜单中选择“设置”。

  3. 在“集成”选项卡上选择“SSO”卡 。

    显示“设置和集成”选项的屏幕截图。

  4. 选择“开始配置”以设置 SSO。

  5. 在“常规设置”页上完成以下步骤:

    显示“常规设置”中的“集成”的屏幕截图。

    1. 在“SSO URL (位置)”框中,粘贴在配置 Microsoft Entra SSO 的步骤 9 中复制的登录 URL 值。

    2. 在记事本中打开下载的 Base64 证书。 将其内容粘贴到“证书”框。

  6. 在以下页面中执行以下步骤:

    显示“其他设置”中的“集成”的屏幕截图。

    1. 在“SAML 属性映射”部分,在必填字段中填入源属性值:

      http://schemas.microsoft.com/identity/claims/objectidentifier http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    2. 在“安全设置”部分,选中“身份验证请求是否签名?”复选框,以将此值设置为“是”。

    3. 在“附加设置(可选)”部分的“注销 URL”框中填入在配置 Microsoft Entra SSO 的步骤 9 中复制的注销 URL 值。

  7. 选择“保存并测试”。

  8. 接下来会出现一个对话框,其中显示服务提供程序信息。 下载 XML 文件:

    显示下载元数据配置文件的屏幕截图。

  9. 有了服务提供程序的 XML 文件后,就可以返回到创建的应用程序了。 在“单一登录”部分,上传元数据文件:

    显示在 Azure 应用程序中上传元数据的屏幕截图。

  10. 更新服务提供程序元数据后,就可以返回到 Cloud Academy 公司站点的 SSO 面板,继续进行测试和激活。 在“服务提供程序”对话框中,选择“继续”:

    显示“服务提供程序”对话框的屏幕截图。

  11. 选择“测试 SSO 连接”以启动测试流:

    显示“测试 SSO 连接”按钮的屏幕截图。

    注意

    如果你使用创建的测试用户帐户登录到 Cloud Academy,请继续完成测试流。 否则,请关闭对话框,向上滚动到“常规设置”,在专用或 Incognito 浏览器标签页中复制并粘贴子域 URL,然后以测试用户身份登录。 如果登录成功,可以关闭浏览器标签页,然后选择“保存并测试”。 浏览器标签页会重新打开服务提供程序对话框。 选择“继续”,然后再次选择“测试 SSO 连接”。 最后,选择“测试成功”,因为你已使用专用或 Incognito 标签页测试了登录。

    继续执行下一步。

  12. 如果登录成功,可以激活整个组织的 SSO 集成:

    显示 SSO 激活成功的屏幕截图。

注意

有关如何配置 Cloud Academy 的详细信息,请参阅设置单一登录

创建 Cloud Academy 测试用户

在本部分,我们将在 Cloud Academy 中创建一个名为 B.Simon 的用户。 Cloud Academy 支持默认已启用的实时用户预配。 此部分不存在任何操作项。 如果 Cloud Academy 中不存在用户,则会在身份验证后创建一个新用户。

Cloud Academy 还支持自动用户预配。 有关详细信息,请参阅 Cloud Academy SSO 预配教程

测试 SSO

本部分将使用以下选项之一测试 Microsoft Entra SSO 配置:

  • 在 Azure 门户中,选择“测试此应用程序”。 在重定向到 Cloud Academy 登录 URL 后,你就可以启动登录流。

  • 直接转到 Cloud Academy 登录 URL,并从那里启动登录流。

  • 你可使用 Microsoft 的“我的应用”。 在“我的应用”门户中单击 Cloud Academy 磁贴后,将会重定向到 Cloud Academy 登录 URL。 有关“我的应用”门户的详细信息,请参阅“我的应用”简介

后续步骤

配置 Cloud Academy 后,就可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Cloud App Security 强制实施会话控制