Microsoft Entra SSO 與 Tanium SSO 整合

在本文中，您將了解如何整合 Tanium SSO 與 Microsoft Entra ID。 Tanium 是業界唯一的聚合端點管理 (XEM) 提供者，不僅改良了管理複雜安全性和技術環境的傳統方法，更是引領了典範轉移。 在整合 Tanium SSO 與 Microsoft Entra ID 時，您可以：

• 在 Microsoft Entra ID 中控制可存取 Tanium SSO 的人員。
• 讓使用者使用其 Microsoft Entra 帳戶自動登入 Tanium SSO。
• 在一個集中式位置管理您的帳戶。

您將在測試環境中設定及測試 Tanium SSO 的 Microsoft Entra 單一登入。 Tanium SSO 支援 SP 和 IDP 起始的單一登入以及 Just-In-Time 使用者佈建。 Tanium SSO 也支援自動使用者佈建。

必要條件

若要整合 Microsoft Entra ID 與 Tanium SSO，您需要：

• Microsoft Entra 使用者帳戶。 若尚未有帳戶，可以免費建立帳戶。
• 下列其中一個角色：應用程式系統管理員、雲端應用程式管理員或應用程式擁有者。
• Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶，可以取得免費帳戶。
• 已啟用 Tanium SSO 單一登入 (SSO) 的訂用帳戶。

新增應用程式並指派測試使用者

開始設定單一登入的流程之前，需要從 Microsoft Entra 資源庫新增 Tanium SSO 應用程式。 您需要將測試使用者帳戶指派給應用程式，並測試單一登入設定。

從 Microsoft Entra 資源庫新增 Tanium SSO

從 Microsoft Entra 應用程式資源庫新增 Tanium SSO，以設定使用 Tanium SSO 的單一登入。 如需如何從資源庫新增應用程式的詳細資訊，請參閱快速入門：從資源庫新增應用程式。

建立並指派 Microsoft Entra 測試使用者

請遵循建立和指派使用者帳戶一文中的指導方針，建立名為 B.Simon 的測試使用者帳戶。

或者，您也可以使用企業應用程式組態精靈。 在此精靈中，您可以將應用程式新增至租用戶、將使用者/群組新增至應用程式，以及指派角色。 精靈也會提供單一登入組態窗格的連結。 深入了解 Microsoft 365 精靈。

設定 Microsoft Entra SSO

完成下列步驟以啟用 Microsoft Entra 單一登入。

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]> [應用程式]> [企業應用程式]> [Tanium SSO]> [單一登入]。

3. 在 [選取單一登入方法] 頁面上，選取 [SAML]。

4. 在 [以 SAML 設定單一登入] 頁面上，選取 [基本 SAML 組態] 的鉛筆圖示，以編輯設定。

   

5. 在 [基本 SAML 組態] 區段上，執行下列步驟：

   a. 在 [識別碼] 文字方塊中，以下列模式輸入值：urn:amazon:cognito:sp:<InstanceName>

   b. 在 [回覆 URL] 文字方塊中，以下列模式輸入 URL：https://<InstanceName>-tanium.auth.<SUBDOMAIN>.amazoncognito.com/saml2/idpresponse

6. 若要以 SP 起始模式設定應用程式，請執行下列步驟：

   在 [登入 URL] 文字方塊中，以下列模式輸入 URL：https://<InstanceName>.cloud.tanium.com

   注意

   這些都不是真正的值。 請使用實際的「識別碼」、「回覆 URL」和「登入 URL」更新這些值。 請連絡 Tanium 支援服務以取得這些值。 您也可以參考 [基本 SAML 組態] 區段中所示的模式。

   注意

   如果在內部部署設定中部署 Tanium，您的值可能會與上方顯示的值有所不同。 您可以從 Tanium 控制台的 [管理]> [SAML 組態] 功能表中擷取可用的值。 您可以在 Tanium 控制台使用者指南：與 SAML IdP 整合中找到詳細資料。

7. 在 [以 SAML 設定單一登入] 頁面的 [SAML 簽署憑證] 區段中，按一下 [複製] 按鈕以複製 [應用程式同盟中繼資料 URL]，並將資料儲存在您的電腦上。 如果是在內部部署設定中部署至 Tanium，請按一下 [編輯] 按鈕，並將 [回應簽署選項] 設定為「簽署回應和判斷提示」。

   

設定 Tanium SSO

若要在 Tanium SSO 端上設定單一登入，您必須將應用程式同盟中繼資料 URL 傳送到 Tanium 支援服務。 此設定是為了正確設定雙方的 SAML SSO 連線。

建立 Tanium SSO 測試使用者

本節會在 Tanium SSO 中建立名為 B.Simon 的使用者。 Tanium SSO 支援依預設啟用的 Just-In-Time 使用者佈建。 這一節沒有您需要進行的動作項目。 如果 Tanium SSO 中還沒有任何使用者存在，在驗證之後就會建立新的使用者。

測試 SSO

在本節中，您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。

SP 起始：

• 按一下 [測試此應用程式]，系統會重新導向至 Tanium SSO 登入 URL，您可在該處起始登入流程。

• 直接移至 Tanium SSO 登入 URL，然後從該處起始登入流程。

IDP 起始：

• 按一下 [測試此應用程式]，您應該會自動登入您已設定 SSO 的 Tanium SSO。

您也可以使用 Microsoft「我的應用程式」，以任何模式測試應用程式。 按一下「我的應用程式」中的 [Tanium SSO] 圖格時，如果是在 SP 模式中設定，您會重新導向至「應用程式登入」頁面以起始登入流程，如果在 IDP 模式中設定，則應該會自動登入已設定 SSO 的 Tanium SSO。 如需詳細資訊，請參閱 Microsoft Entra 我的應用程式。

其他資源

• 什麼是使用 Microsoft Entra ID 進行單一登入？
• 規劃單一登入部署。

下一步

設定 Tanium SSO 後，您可以強制執行工作階段控制項，以即時防止組織的敏感資料遭到外洩和滲透。 工作階段控制項會從條件式存取延伸。 了解如何使用 Microsoft Cloud App Security 來強制執行工作階段控制項。