教程：Microsoft Entra 与 NAVEX IRM (Lockpath/Keylight) 集成

本教程介绍如何将 NAVEX IRM (Lockpath/Keylight) 与 Microsoft Entra ID 集成。 将 NAVEX IRM (Lockpath/Keylight) 与 Microsoft Entra ID 集成后，可以：

• 在 Microsoft Entra ID 中控制谁有权访问 NAVEX IRM (Lockpath/Keylight)。
• 让用户使用其 Microsoft Entra 帐户自动登录到 NAVEX IRM (Lockpath/Keylight)。
• 在中心位置管理帐户。

先决条件

若要配置 Microsoft Entra 与 NAVEX IRM (Lockpath/Keylight) 的集成，需要以下项：

• 一个 Microsoft Entra 订阅。 如果没有 Microsoft Entra 环境，可以获取一个免费帐户。
• 已启用 NAVEX IRM (Lockpath/Keylight) 单一登录的订阅。

方案描述

在本教程中，你将在测试环境中配置并测试 Microsoft Entra 单一登录。

• NAVEX IRM (Lockpath/Keylight) 支持 SP 发起的 SSO。
• NAVEX IRM (Lockpath/Keylight) 支持实时用户预配。

从库中添加 NAVEX IRM (Lockpath/Keylight)

要配置 NAVEX IRM (Lockpath/Keylight) 与 Microsoft Entra ID 的集成，需要从库中将 NAVEX IRM (Lockpath/Keylight) 添加到托管 SaaS 应用列表。

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
3. 在“从库中添加”部分的搜索框中，键入“NAVEX IRM (Lockpath/Keylight)”。
4. 从结果面板中选择“NAVEX IRM (Lockpath/Keylight)”，然后添加该应用。 在该应用添加到租户时等待几秒钟。

或者，也可以使用企业应用配置向导。 在此向导中，可以将应用程序添加到租户、将用户/组添加到应用、分配角色，以及逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。

配置并测试 NAVEX IRM (Lockpath/Keylight) 的 Microsoft Entra SSO

使用名为 B.Simon 的测试用户配置并测试 NAVEX IRM (Lockpath/Keylight) 的 Microsoft Entra SSO。 若要使 SSO 正常运行，需要在 Microsoft Entra 用户与 NAVEX IRM (Lockpath/Keylight) 中的相关用户之间建立链接关系。

若要配置并测试 NAVEX IRM (Lockpath/Keylight) 的 Microsoft Entra SSO，请执行以下步骤：

1. 配置 Microsoft Entra SSO - 使用户能够使用此功能。
   1. 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
   2. 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
2. 配置 NAVEX IRM (Lockpath/Keylight) SSO - 在应用程序端配置单一登录设置。
   1. 创建 NAVEX IRM (Lockpath/Keylight) 测试用户 - 在 NAVEX IRM (Lockpath/Keylight) 中创建 B.Simon 的对应用户，并将其与用户的 Microsoft Entra 身份关联。
3. 测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

在本部分，你将启用 Microsoft Entra 单一登录。

按照以下步骤启用 Microsoft Entra SSO。

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览至“标识”>“应用程序”>“企业应用程序”>“NAVEX IRM (Lockpath/Keylight)”>“单一登录”。

3. 在“选择单一登录方法”页上选择“SAML” 。

4. 在“设置 SAML 单一登录”页面上，单击“基本 SAML 配置”旁边的铅笔图标以编辑设置 。

   

5. 在“基本 SAML 配置” 部分中，按照以下步骤操作：

   a. 在“标识符(实体 ID)”文本框中，使用以下模式键入 URL：https://<COMPANY_NAME>.keylightgrc.com

   b. 在 “回复 URL” 文本框中，使用以下模式键入 URL：https://<COMPANY_NAME>.keylightgrc.com/Login.aspx

   c. 在“登录 URL”文本框中，使用以下模式键入 URL：

   注意

   这些不是实际值。 使用实际标识符、回复 URL 和登录 URL 更新这些值。 请联系 NAVEX IRM (Lockpath/Keylight) 客户端支持团队获取这些值。 还可参考“基本 SAML 配置”部分中显示的模式。

6. 在“使用 SAML 设置单一登录” 页上，在“SAML 签名证书” 部分中，单击“下载” 以根据要求通过从给定的选项下载证书(原始) 并将其保存在计算机上。

   

7. 在“设置 NAVEX IRM (Lockpath/Keylight)”部分，根据要求复制相应 URL。

   

创建 Microsoft Entra 测试用户

在本部分，你将创建名为 B.Simon 的测试用户。

1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“用户”>“所有用户”。
3. 选择屏幕顶部的“新建用户”>“创建新用户”。
4. 在“用户”属性中执行以下步骤：
   1. 在“显示名称”字段中输入 B.Simon。
   2. 在“用户主体名称”字段中，输入 username@companydomain.extension。 例如 B.Simon@contoso.com。
   3. 选中“显示密码”复选框，然后记下“密码”框中显示的值。
   4. 选择“查看 + 创建”。
5. 选择“创建”。

分配 Microsoft Entra 测试用户

在本部分，你将通过授予 B.Simon 访问 NAVEX IRM (Lockpath/Keylight) 的权限来支持其使用单一登录。

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览至“标识”>“应用程序”>“企业应用程序”>“NAVEX IRM (Lockpath/Keylight)”。
3. 在应用的概述页面中，选择“用户和组”。
4. 选择“添加用户/组”，然后在“添加分配”对话框中选择“用户和组” 。
   1. 在“用户和组”对话框中，从“用户”列表中选择“B.Simon”，然后单击屏幕底部的“选择”按钮。
   2. 如果你希望将某角色分配给用户，可以从“选择角色”下拉列表中选择该角色。 如果尚未为此应用设置任何角色，你将看到选择了“默认访问权限”角色。
   3. 在“添加分配”对话框中，单击“分配”按钮。

配置 NAVEX IRM (Lockpath/Keylight) SSO

1. 若要在 NAVEX IRM (Lockpath/Keylight) 中启用 SSO，请执行以下步骤：

   a. 以管理员身份登录到 NAVEX IRM (Lockpath/Keylight) 帐户。

   b. 在顶部菜单中，单击“用户”图标，并选择“设置”。

   

   c. 在左侧树视图中，单击“SAML” 。

   

   d. 在“SAML 设置” 对话框中，单击“编辑” 。

   

2. 在“编辑 SAML 设置” 对话框页上，执行以下步骤：

   

   a. 将“SAML 身份验证”设置为“活动” 。

   b. 在“标识提供者登录 URL”文本框中，粘贴之前复制的“登录 URL”值。

   c. 在“标识提供者注销 URL”文本框中，粘贴之前复制的“注销 URL”值。

   d. 单击“选择文件”，选择已下载的 NAVEX IRM (Lockpath/Keylight) 证书，并单击“打开”上传证书。

   e. 将“SAML 用户 ID 位置”设置为 subject 语句的 NameIdentifier 元素 。

   f. 使用以下模式提供“服务提供商实体 ID”：https://<CompanyName>.keylightgrc.com。

   g. 将“自动预配用户” 设置为“活动” 。

   h. 将“自动预配帐户类型” 设置为“全部用户” 。

   i. 设置“自动预配安全角色” ，选择“使用 SAML 的标准用户” 。

   j. 设置“自动预配安全配置” ，选择“标准用户配置” 。

   k. 在“电子邮件属性” 文本框中，键入 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress。

   l. 在“名字属性” 文本框中，键入 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname。

   m. 在“姓氏属性” 文本框中，键入 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname。

   n. 单击“保存” 。

创建 NAVEX IRM (Lockpath/Keylight) 测试用户

本部分将在 NAVEX IRM (Lockpath/Keylight) 中创建一个名为“Britta Simon”的用户。 NAVEX IRM (Lockpath/Keylight) 支持在默认情况下启用的实时用户预配。 此部分不存在任何操作项。 如果 NAVEX IRM (Lockpath/Keylight) 中尚不存在用户，身份验证后会创建一个新用户。 如果需要手动创建用户，则需要联系 NAVEX IRM (Lockpath/Keylight) 客户支持团队。

测试 SSO

在本部分，你将使用以下选项测试 Microsoft Entra 单一登录配置。

• 单击“测试此应用程序”，这会重定向到 NAVEX IRM (Lockpath/Keylight) 登录 URL，可以从那里启动登录流。

• 直接转到 NAVEX IRM (Lockpath/Keylight) 登录 URL，并在那里启动登录流。

• 你可使用 Microsoft 的“我的应用”。 在“我的应用”中单击“NAVEX IRM (Lockpath/Keylight)”磁贴时，会重定向到 NAVEX IRM (Lockpath/Keylight) 登录 URL。 有关“我的应用”的详细信息，请参阅“我的应用”简介。

后续步骤

配置 NAVEX IRM (Lockpath/Keylight) 后，可以强制实施会话控制，实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制。