本文介绍如何将 ServusConnect 与 Microsoft Entra ID 集成。 ServusConnect 使用 Microsoft Entra ID 来管理用户访问并使用 ServusConnect 维护操作平台启用单一登录。 需要现有的 ServusConnect 订阅。
将 ServusConnect 与 Microsoft Entra ID 集成后,可以:
- 在 Microsoft Entra ID 中控制谁有权访问 ServusConnect。
- 让用户能够使用其 Microsoft Entra 帐户自动登录到 ServusConnect。
- 在一个中心位置管理帐户。
你将在自己的 Azure 环境中配置并测试 ServusConnect 的 Microsoft Entra 单一登录。 ServusConnect 支持 SP 发起的 SSO 和实时用户预配。
先决条件
要将 Microsoft Entra ID 与 ServusConnect 集成,需要以下项:
- 一个 Microsoft Entra 用户帐户。 如果还没有帐户,可以免费创建一个帐户。
- 以下角色之一: 应用程序管理员、 云应用程序管理员或 应用程序所有者。
- 一份 Microsoft Entra 订阅。 如果你没有订阅,可以获取一个免费帐户。
- 已启用 ServusConnect 单一登录 (SSO) 的订阅。 如果你没有 ServusConnect,可以了解详细信息并请求演示。
添加应用程序并分配用户
在开始配置单一登录之前,必须从 Microsoft Entra 库添加 ServusConnect 应用程序。 还需要一个用户帐户来分配给应用程序。 在开始向组织推出之前,请考虑先创建和分配测试用户。
从 Microsoft Entra 库中添加 ServusConnect
从 Microsoft Entra 应用程序库添加 ServusConnect 以配置 ServusConnect 单一登录。 有关如何从库中添加应用程序的详细信息,请参阅 快速入门:从库中添加应用程序。
创建和/或分配 Microsoft Entra 用户
请遵循创建和分配用户帐户一文中的指南,根据需要创建用户并将一个或多个用户分配到 ServusConnect 企业应用程序。 只有分配给应用程序的那些用户才能通过单一登录访问 ServusConnect。 请注意,可以分配单个用户或整个组。
或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户、将用户/组添加到应用以及分配角色。 该向导还提供指向单一登录配置窗格的链接。 了解有关 Microsoft 365 助手的更多信息。
配置 Microsoft Entra SSO
完成以下步骤以启用 Microsoft Entra 单一登录。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用>ServusConnect>单点登录。
在“选择单一登录方法”页上选择“SAML” 。
在 “使用 SAML 设置单一登录 ”页上,选择 基本 SAML 配置的 铅笔图标以编辑设置。
在 “基本 SAML 配置 ”部分中,执行以下步骤:
a。 在“标识符”文本框中,输入以下值:
b. 在“回复 URL”文本框中,输入 URL:
选项c. 在“登录 URL”文本框中,输入 URL:
在 SAML 页的 “设置单一登录 ”页的 “SAML 签名证书 ”部分中,找到 “联合元数据 XML ”,然后选择“ 下载 ”以下载证书并将其保存在计算机上。
配置 ServusConnect SSO
若要配置“ServusConnect”应用程序的单一登录,必须将从 Azure 门户下载的“联合元数据 XML”文件发送给 ServusConnect 支持团队。 向 ServusConnect 支持团队发送电子邮件时,请提供以下内容:
- 联合元数据 XML 文件。
- 所有电子邮件域的列表,这些域通过 SSO 从 Microsoft Entra 帐户进行连接。
ServusConnect 支持团队完成 SAML SSO 连接,并在准备就绪时通知你。
ServusConnect 用户帐户
ServusConnect 用户帐户可能在用户进行首次 SSO 尝试之前已经过预配,也可能由于 SSO 尝试而成为“实时”用户。 但是,这两种方法在用户可访问的内容方面有所不同。
预先预配的用户
在 ServusConnect 中, 电子邮件地址与 SSO 登录名匹配的用户在 SSO 操作后会自动获得访问 ServusConnect 的权限。
实时用户和等候室
尚未存在于 ServusConnect 中的用户会创建一个用户帐户,该帐户使用与 SSO 登录邮箱匹配的电子邮件地址创建。 但是,这些用户将被置于“等候室”中,而不是直接访问 ServusConnect。 必须先为这些用户预配正确的访问级别和属性级访问权限,然后 SSO 才允许他们通过等候室。
具有适当访问权限的现有 ServusConnect 用户可以填写 ServusConnect“新用户”表单,该表单位于 ServusConnect 中用户工作站点/属性的“管理”页上。 完成此操作后,ServusConnect 支持团队将处理请求并通过电子邮件通知用户。 然后,用户可以使用 SSO 登录并访问 ServusConnect。
测试 SSO
可使用以下方法之一测试 Microsoft Entra 单一登录配置:
选择“ 测试此应用程序”,此选项将重定向到 ServusConnect 登录 URL,可在其中启动登录流。
直接转到 ServusConnect 登录 URL,从那里启动登录流。 请参阅下面的使用 SSO 登录。
你可使用 Microsoft 的“我的应用”。 在“我的应用”中选择 ServusConnect 磁贴时,此选项将重定向到 ServusConnect 登录 URL。 有关详细信息,请参阅 Microsoft Entra My Apps。
使用 SSO 登录
若要登录,请执行以下步骤:
输入电子邮件地址,然后按“继续”。 请注意,电子邮件域必须与配置期间同 ServusConnect 一起共享的电子邮件域匹配。 (请参阅以下屏幕截图。)
如果您的域已正确配置为使用 Microsoft Entra ID 的 SSO,您将看到“使用 Microsoft 登录”按钮。 (请参阅以下屏幕截图。)
选择 “使用Microsoft登录 ”按钮后,将定向到标准Microsoft登录屏幕。 成功登录后,会重定向回 ServusConnect。
如果存在符合 SSO 身份验证的 ServusConnect 用户,您将被立即登录。 否则,您进入候车室,如下图所示。
其他资源
相关内容
配置 ServusConnect 后,就可以强制实施会话控制,从而实时保护组织的敏感数据免于外泄和渗透。 会话控制是条件访问的延伸。 了解如何使用 Microsoft Cloud App Security 强制实施会话控制。