教程:Microsoft Entra 单一登录 (SSO) 与 SignalFx 的集成
本教程介绍如何将 SignalFx 与 Microsoft Entra ID 相集成。 将 SignalFx 与 Microsoft Entra ID 集成后,可以:
- 在 Microsoft Entra ID 中控制谁有权访问 SignalFx。
- 让用户能够使用其 Microsoft Entra 帐户自动登录到 SignalFx。
- 在一个位置(Azure 门户)管理帐户。
先决条件
若要开始操作,需备齐以下项目:
- 一个 Microsoft Entra 订阅。 如果你没有订阅,可以获取一个免费帐户。
- 已启用 SignalFx 单一登录 (SSO) 的订阅。
方案描述
在本教程中,你将在测试环境中配置并测试 Microsoft Entra SSO。
- SignalFx 支持 IDP 发起的 SSO。
- SignalFx 支持实时用户预配。
步骤 1:在 Azure 中添加 SignalFx 应用程序
按照以下说明操作,以便将 SignalFx 应用程序添加到托管 SaaS 应用列表。
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
- 在“从库中添加”部分的搜索框中,键入“SignalFx”。
- 从结果面板中选择“SignalFx”,然后添加该应用。 在该应用添加到租户时等待几秒钟。
- 让 Microsoft Entra 管理中心保持打开状态,然后打开新的浏览器选项卡。
步骤 2:开始 SignalFx SSO 配置
按照以下说明操作,以便开始 SignalFx SSO 的配置过程。
- 在新打开的选项卡中,访问并登录到 SignalFx UI。
- 在顶部菜单中,单击“集成”。
- 在搜索字段中,输入“Microsoft Entra ID”并将其选中。
- 单击“创建新的集成”。
- 在“名称”中,输入用户可以理解的且易于辨识的名称。
- 勾选“在登录页上显示”。
- 此功能将在登录页中显示一个可让用户单击的自定义按钮。
- 在“名称”中输入的信息将显示在该按钮上。 因此,请输入用户可以识别的名称。
- 仅当对 SignalFx 应用程序使用自定义子域(例如 yourcompanyname.signalfx.com)时,此选项才起作用。 若要获取自定义子域,请联系 SignalFx 支持人员。
- 复制集成 ID。稍后的步骤中将需要此信息。
- 将 SignalFx UI 保持打开状态。
步骤 3:配置 Microsoft Entra SSO
按照这些说明启用 Microsoft Entra SSO。
返回到 Microsoft Entra 管理中心,在“SignalFx”应用程序集成页上,找到“管理”部分,然后选择“单一登录”。
在“选择单一登录方法”页上选择“SAML” 。
在“设置 SAML 单一登录”页面上,单击“基本 SAML 配置”旁边的铅笔图标以编辑设置 。
在“设置 SAML 单一登录”页上,执行以下步骤 :
a. 在“标识符”中,输入以下 URL
https://api.<realm>.signalfx.com/v1/saml/metadata,并将<realm>替换为 SignalFx 领域,将<integration ID>替换为之前从 SignalFx UI 复制的集成 ID。 (除领域 US0 外,URL 应为https://api.signalfx.com/v1/saml/metadata)。b. 在“回复 URL”中输入以下 URL:
https://api.<realm>.signalfx.com/v1/saml/acs/<integration ID>(请将<realm>替换为你的 SignalFx 领域,并将<integration ID>替换为先前从 SignalFx UI 复制的“集成 ID”)。 (除 US0 外,URL 应为https://api.signalfx.com/v1/saml/acs/<integration ID>)SignalFx 应用程序需要特定格式的 SAML 断言,这要求将自定义属性映射添加到 SAML 令牌属性配置。
查看并验证以下声明是否映射到 Active Directory 中填充的源属性。
名称 源属性 User.FirstName user.givenname User.email user.mail PersonImmutableID user.userprincipalname User.LastName user.surname 注意
此过程要求你的 Active Directory 至少配置了一个已验证的自定义域,并有权访问此域中的电子邮件帐户。 如果你不确定如何完成此配置或需要帮助,请联系 SignalFx 支持人员。
在“设置 SAML 单一登录”页上的“SAML 签名证书”部分,找到“证书(Base64)”并选择“下载”。 下载证书,并将其保存到计算机上。 然后复制“应用联合元数据 URL”值;稍后在 SignalFx UI 中执行步骤时需要用到此信息。
在“设置 SignalFx”部分,复制 Microsoft Entra 标识符值。 稍后在 SignalFx UI 中执行步骤时需要用到此信息。
步骤 4:创建 Microsoft Entra 测试用户
在本部分,你将创建名为 B.Simon 的测试用户。
- 至少以用户管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“用户”>“所有用户”。
- 选择屏幕顶部的“新建用户”>“创建新用户”。
- 在“用户”属性中执行以下步骤:
- 在“显示名称”字段中输入
B.Simon。 - 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如
B.Simon@contoso.com。 - 选中“显示密码”复选框,然后记下“密码”框中显示的值。
- 选择“查看 + 创建”。
- 在“显示名称”字段中输入
- 选择“创建”。
步骤 5:分配 Microsoft Entra 测试用户
在本部分中,将通过授予 B.Simon 访问 SignalFx 的权限,允许其使用单一登录。
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“应用程序”>“企业应用程序”>“SignalFx”。
- 在应用的概述页面中,选择“用户和组”。
- 选择“添加用户/组”,然后在“添加分配”对话框中选择“用户和组” 。
- 在“用户和组”对话框中,从“用户”列表中选择“B.Simon”,然后单击屏幕底部的“选择”按钮。
- 如果你希望将某角色分配给用户,可以从“选择角色”下拉列表中选择该角色。 如果尚未为此应用设置任何角色,你将看到选择了“默认访问权限”角色。
- 在“添加分配”对话框中,单击“分配”按钮。
步骤 6:完成 SignalFx SSO 配置
- 打开上一个选项卡,返回到 SignalFx UI 查看当前的 Microsoft Entra 集成页。
- 在“证书(Base64)”旁边,单击“上传文件”,然后找到之前下载的 Base64 编码证书文件。
- 在“Microsoft Entra 标识符”旁边,粘贴之前复制的 Microsoft Entra 标识符值。
- 在“联合元数据 URL”旁边,粘贴之前复制的“应用联合元数据 URL”值。
- 单击“保存” 。
步骤 7:测试 SSO
查看以下有关如何测试 SSO 的信息,以及首次登录到 SignalFx 时预期会发生的情况。
测试登录
若要测试登录,应使用专用/匿名窗口,也可以退出登录。否则,配置应用程序的用户的 cookie 将干扰并阻止测试用户成功登录。
当新的测试用户首次登录时,Azure 会强制要求更改密码。 如果出现这种情况,SSO 登录过程将不会完成;测试用户会被引导到 Azure 门户。 若要进行故障排除,测试用户应更改其密码,然后导航到 SignalFx 登录页或“MyApps”并重试。
- 单击“MyApps”中的 SignalFx 磁贴时,你会自动登录到 SignalFx。
- 有关 MyApps 的详细信息,请参阅 MyApps 简介。
- 单击“MyApps”中的 SignalFx 磁贴时,你会自动登录到 SignalFx。
可以通过 MyApps 或已分配到组织的自定义登录页访问 SignalFx 应用程序。 测试用户应从上述任一位置开始测试集成。
- 测试用户可以使用前面在此过程中为 b.simon@contoso.com 创建的凭据。
首次登录
当某个用户首次通过 SAML SSO 登录到 SignalFx 时,该用户会收到一封包含链接的 SignalFx 电子邮件。 该用户必须单击此链接才能完成身份验证。 此电子邮件验证仅在用户首次登录时才会发生。
SignalFx 支持即时用户创建,这意味着,如果 SignalFx 中不存在某个用户,则首次尝试登录时会创建该用户的帐户。
后续步骤
配置 SignalFx 后,可以强制实施会话控制,从而实时保护组织的敏感数据,使其免遭外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制。