Microsoft Entra SSO 与 Descartes 的集成
本文介绍如何将 Descartes 与 Microsoft Entra ID 相集成。 Descartes 应用程序为世界各地具有较高配送要求的公司提供物流信息服务。 作为一个集成套件,它为各种物流业务角色提供模块。 将 Descartes 与 Microsoft Entra ID 集成后,可以:
- 在 Microsoft Entra ID 中控制谁有权访问 Descartes。
- 让用户能够使用其 Microsoft Entra 帐户自动登录到 Descartes。
- 在中心位置管理帐户。
你将在测试环境中配置并测试 Descartes 的 Microsoft Entra 单一登录。 Descartes 支持 SP 和 IDP 发起的单一登录,还支持实时用户预配。
注意
此应用程序的标识符是一个固定字符串值,因此只能在一个租户中配置一个实例。
先决条件
若要配置 Descartes 与 Microsoft Entra ID 的集成,需要:
- 一个 Microsoft Entra 用户帐户。 如果还没有帐户,可以免费创建一个帐户。
- 以下角色之一:应用程序管理员、云应用程序管理员或应用程序所有者。
- 一个 Microsoft Entra 订阅。 如果没有订阅,可以获取一个免费帐户。
- 已启用 Descartes 单一登录 (SSO) 的订阅。
添加应用程序并分配测试用户
在开始配置单一登录之前,需要从 Microsoft Entra 库添加 Descartes 应用程序。 需要将测试用户帐户分配给应用程序并测试单一登录配置。
从 Microsoft Entra 库添加 Descartes
从 Microsoft Entra 应用程序库添加 Descartes 以配置 Descartes 单一登录。 有关如何从库添加应用程序的详细信息,请参阅快速入门:从库添加应用程序。
创建并分配 Microsoft Entra 测试用户
按照创建和分配用户帐户一文中的指南创建一个名为 B.Simon 的测试用户帐户。
或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户,将用户/组添加到应用,并分配角色。 该向导还提供了单一登录配置窗格的链接。 详细了解 Microsoft 365 向导。
配置 Microsoft Entra SSO
完成以下步骤以启用 Microsoft Entra 单一登录。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”>“Descartes”>“单一登录”。
在“选择单一登录方法”页上选择“SAML” 。
在“设置 SAML 单一登录”页上,选择“基本 SAML 配置”对应的笔形图标以编辑设置 。
在“基本 SAML 配置”部分中,用户不必执行任何步骤,因为该应用已经与 Azure 预先集成。
如果要配置 SP 发起的 SSO,请执行以下步骤:
在“中继状态”文本框中键入 URL:
https://auth.gln.com/WelcomeDescartes 应用程序需要特定格式的 SAML 断言,这需要向 SAML 令牌属性配置添加自定义属性映射。 以下屏幕截图显示了默认属性的列表。
除了上述属性,Descartes 应用程序还要求在 SAML 响应中传回其他几个属性,如下所示。 这些属性也是预先填充的,但可以根据要求查看它们。
名称 源属性 telephone user.telephonenumber facsimiletelephonenumber user.facsimiletelephonenumber ou user.department assignedRoles user.assignedroles 组 user.groups 在“设置 SAML 单一登录”页的“SAML 签名证书”部分,单击“复制”按钮以复制“应用联合元数据 URL”,并将其保存在计算机上。
编写一个要让 Descartes 应用程序用于基于角色的配置的 Microsoft Entra 组的列表。 用户角色 Descartes 应用程序模块的列表可在 https://www.gln.com/docs/Descartes_Application_User_Roles.pdf 中找到。 可以找到 Azure 组 GUID。 在 Microsoft Entra 管理中心中选择“从组下载组”。
可以在 Excel 中加载此 CSV 文件。 请通过在第一列中列出 ID 并将其与 Descartes 应用程序用户角色相关联,来选择要映射到 Descartes 应用程序角色的组。
配置 Descartes SSO
若要在 Descartes 端配置单一登录,需要通过电子邮件将以下值发送给 Descartes 支持团队。 请使用“Microsoft Entra SSO 安装请求”作为主题。
- 首选的标识域后缀(通常与电子邮件域后缀相同)。
- 应用联合元数据 URL。
- 一个 Microsoft Entra 组 GUID(其中包含有权使用 Descartes 应用程序的用户)列表。
Descartes 将使用电子邮件中的信息在应用程序端正确设置 SAML SSO 连接。
下面是此类请求的示例:
创建 Descartes 测试用户
本部分将在 Descartes 中创建一个名为 B.Simon 的用户。 Descartes 支持默认已启用的实时用户预配。 此部分不存在任何操作项。 如果某个用户尚不存在于 Descartes 中,则通常会在对其进行身份验证后新建此用户。
Descartes 应用程序为 Microsoft Entra 集成用户使用限定域的用户名。 限定域的用户名包括 SAML 声明使用者,并且始终以域后缀结尾。 Descartes 建议选择域中所有用户共同拥有的公司电子邮件域后缀作为标识域后缀(示例 B.Simon@contoso.com)。
测试 SSO
在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。
SP 启动的:
单击“测试此应用程序”,这会重定向到 Descartes 登录 URL,可以从那里启动登录流。 或者,可以使用“深层链接”URL 进入 Descartes 应用程序的特定模块,你会被重定向到一个页面以提供限定域的用户名,这会引导你进入 Microsoft Entra 登录对话框。
转到提供的 Descartes 应用程序直接访问 URL,并通过在应用程序登录窗口中指定限定域的用户名 (B.Simon@contoso.com) 来启动登录流。 这会自动将用户重定向到 Microsoft Entra ID。
IDP 启动的:
单击“测试此应用程序”后,你应会自动登录到为其设置了 SSO 的 Descartes 应用程序菜单。
还可以使用 Microsoft“我的应用”在任何模式下测试此应用程序。 在“我的应用”中单击 Descartes 磁贴时,如果是在 SP 模式下配置的,会重定向到应用程序登录页来启动登录流;如果是在 IDP 模式下配置的,则应会自动登录到为其设置了 SSO 的 Descartes。 有关详细信息,请参阅 Microsoft Entra 我的应用。
其他资源
后续步骤
配置 Descartes 后,可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Cloud App Security 强制实施会话控制。