共用方式為

教學課程:Microsoft Entra 單一登入 (SSO) 與 SignalFx 整合

  • 發行項

在本教學課程中,您將了解如何整合 SignalFx 與 Microsoft Entra ID。 在整合 SignalFx 與 Microsoft Entra ID 時,您可以:

  • 在 Microsoft Entra ID 中控制可存取 SignalFx 的人員。
  • 讓使用者以其 Microsoft Entra 帳戶自動登入 SignalFx。
  • 在 Azure 入口網站集中管理您的帳戶。

必要條件

若要開始使用,您需要下列項目:

  • Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶
  • 已啟用 SignalFx 單一登入 (SSO) 的訂用帳戶。

案例描述

在本教學課程中,您會在測試環境中設定和測試 Microsoft Entra SSO。

  • SignalFx 支援由 IDP 起始的 SSO。
  • SignalFx 支援 Just In Time 使用者佈建。

步驟 1:在 Azure 中新增 SignalFx 應用程式

使用這些指示,將 SignalFx 應用程式新增至受控 SaaS 應用程式清單。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [新增應用程式]
  3. 在 [從資源庫新增] 區段的搜尋方塊中輸入 SignalFx
  4. 從結果面板選取 [SignalFx],然後新增應用程式。 將應用程式新增至您的租用戶時,請稍候幾秒鐘。
  5. 讓 Microsoft Entra 系統管理中心保持開啟,然後開啟新的瀏覽器索引標籤。

步驟 2:開始 SignalFx SSO 組態

使用這些指示開始進行 SignalFx SSO 的組態流程。

  1. 在新開啟的索引標籤中,存取並登入 SignalFx UI。
  2. 在頂端功能表中,按一下 [整合]
  3. 在搜尋欄位中,輸入並選取 [Microsoft Entra ID]
  4. 按一下 [建立新整合]
  5. 在 [名稱]中,輸入您的使用者可輕鬆理解的易辨識名稱。
  6. 選擇 [在登入頁面上顯示]
    • 這項功能會在您的使用者可以點按的登入頁面中顯示自訂按鈕。
    • 您在 [名稱] 中輸入的資訊將會出現在按鈕上。 因此,請輸入您的使用者可以辨識的名稱
    • 只有使用 SignalFx 應用程式的自訂子網域 (例如 yourcompanyname.signalfx.com) 時,此選項才會運作。 若要取得自訂子網域,請聯絡 SignalFx 支援。
  7. 複製 [整合識別碼]。您在稍後的步驟中需要此資訊。
  8. 讓 SignalFx UI 保持開啟。

步驟 3:設定 Microsoft Entra SSO

使用這些指示來啟用 Microsoft Entra SSO。

  1. 返回 Microsoft Entra 系統管理中心,並且在 SignalFx 應用程式整合頁面上,尋找 [管理] 區段並選取 [單一登入]

  2. 在 [選取單一登入方法] 頁面上,選取 [SAML]

  3. 在 [以 SAML 設定單一登入] 頁面上,按一下 [基本 SAML 設定] 的鉛筆圖示,以編輯設定。

    編輯基本 SAML 組態

  4. 在 [以 SAML 設定單一登入] 頁面上,執行下列步驟:

    a. 在識別碼中,輸入下列 URL https://api.<realm>.signalfx.com/v1/saml/metadata 並將 <realm> 以您的 SignalFx 領域取代,並將 <integration ID> 以您先前從 SignalFx UI 複製的整合識別碼取代。 (領域 US0 除外,URL 應該是 https://api.signalfx.com/v1/saml/metadata)。

    b. 在 [回覆 URL]中,輸入下列 URL https://api.<realm>.signalfx.com/v1/saml/acs/<integration ID> 並將 <realm> 以您的 SignalFx 領域取代,並將 <integration ID> 以您先前從 SignalFx UI 複製的整合識別碼取代。 (US0 除外,URL 應該是 https://api.signalfx.com/v1/saml/acs/<integration ID>)

  5. SignalFx 應用程式需要特定格式的 SAML 判斷提示,您需要將自訂屬性對應加入您的 SAML 權杖屬性組態。

  6. 請檢閱並確認下列宣告是否對應到 Active Directory 中填入的來源屬性。

    名稱 來源屬性
    User.FirstName user.givenname
    User.email user.mail
    PersonImmutableID user.userprincipalname
    User.LastName user.surname

    注意

    此流程需要使用至少一個已驗證的自訂網域來設定您的 Active Directory,以及能夠存取此網域中的電子郵件帳戶的權限。 如果您不確定或需要此組態的協助,請連絡 SignalFx 支援。

  7. 在 [以 SAML 設定單一登入] 頁面上的 [SAML 簽署憑證] 區段中,尋找 [憑證 (Base64)],接著選取 [下載]。 下載憑證,並儲存在您的電腦上。 接著,複製應用程式同盟中繼資料 URL 值;您在 SignalFx UI 的後續步驟中會需要這項資訊。

    憑證下載連結

  8. 在 [設定 SignalFx] 區段中,複製 [Microsoft Entra 識別碼] 值。 您在 SignalFx UI 的後續步驟中會需要這項資訊。

步驟 4:建立 Microsoft Entra 測試使用者

在本節中,您將建立名為 B.Simon 的測試使用者。

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
  3. 在畫面頂端選取 [新增使用者]>[建立新使用者]
  4. 在 [使用者] 屬性中,執行下列步驟:
    1. 在 [顯示名稱] 欄位中輸入 B.Simon
    2. 在 [使用者主體名稱] 欄位中輸入 username@companydomain.extension。 例如: B.Simon@contoso.com
    3. 選取 [顯示密碼] 核取方塊,然後記下 [密碼] 方塊中顯示的值。
    4. 選取 [檢閱 + 建立]
  5. 選取 建立

步驟 5:指派 Microsoft Entra 測試使用者

在本節中,您會將 SignalFx 的存取權授與 B.Simon,讓其能夠使用單一登入。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [SignalFx]
  3. 在應用程式的 [概觀] 頁面中,選取 [使用者和群組]
  4. 選取 [新增使用者/群組],然後在 [新增指派] 對話方塊中選取 [使用者和群組]
    1. 在 [使用者和群組] 對話方塊中,從 [使用者] 列表中選取 [B.Simon],然後按一下畫面底部的 [選取] 按鈕。
    2. 如果您預期將角色指派給使用者,則可以從 [選取角色] 下拉式清單中選取該角色。 如果未為此應用程式設定任何角色,您會看到已選取 [預設存取權] 角色。
    3. 在 [新增指派] 對話方塊中,按一下 [指派] 按鈕。

步驟 6:完成 SignalFx SSO 組態

  1. 開啟之前的索引標籤,然後返回 SignalFx UI 以檢視目前的 Microsoft Entra 整合頁面。
  2. 在 [憑證 (Base64)] 旁,按一下 [上傳檔案],然後找出您先前下載的 Base64 編碼憑證檔案。
  3. 在 [Microsoft Entra 識別碼] 旁,貼上您先前複製的 [Microsoft Entra 識別碼] 值。
  4. 在 [同盟中繼資料 URL] 旁,貼上您先前複製的 [應用程式同盟中繼資料 URL] 值。
  5. 按一下 [檔案] 。

步驟 7:測試 SSO

請檢閱下列有關如何測試 SSO 的資訊,以及第一次登入 SignalFx 的預期體驗。

測試登入

  • 若要測試登入,您應該使用私人/incognito 視窗,也可以登出。如果不這麼做,設定應用程式的使用者 Cookie 將會干擾系統,並阻止測試使用者成功登入。

  • 當新的測試使用者第一次登入時,Azure 會強制變更密碼。 發生這種情況時,SSO 登入流程將不會完成;系統會將測試使用者導向至 Azure 入口網站。 若要進行疑難排解,測試使用者應變更密碼,然後瀏覽至 SignalFx 登入頁面或「我的應用程式」,然後再試一次。

    • 當您在「我的應用程式」中按一下 [SignalFx] 圖格時,應該會自動登入 SignalFx。

  • 您可以從「我的應用程式」或透過指派給組織的自訂登入頁面,存取 SignalFx 應用程式。 測試使用者應該從這些位置的其中一個開始測試整合。

    • 測試使用者可以使用稍早在此流程中針對b.simon@contoso.com所建立的認證。

第一次登入

  • 當使用者第一次從 SAML SSO 登入 SignalFx 時,會收到包含連結的 SignalFx 電子郵件。 使用者必須按一下連結,以進行驗證。 只有第一次登入的使用者才會收到電子郵件驗證。

  • SignalFx 支援 Just In Time 使用者建立,這表示如果使用者不存在於 SignalFx 中,則會在第一次嘗試登入時建立使用者的帳戶。

下一步

設定 SignalFx 後,您可以強制執行工作階段控制項,以即時防止組織的敏感資料遭到外洩和滲透。 工作階段控制項會從條件式存取延伸。 了解如何使用適用於雲端的 Microsoft Defender 應用程式來強制執行工作階段控制項