Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

使用 Microsoft Azure 作为 IdP 配置 SSO

本部分提供将 Microsoft Azure Active Directory 作为标识提供者 (IdP) 配置 SSO 的说明。

先决条件

在开始之前,请确保你有一个具有管理访问权限的Microsoft Azure 帐户。

步骤 1:在 CSO 中配置 SSO 设置

配置 SSO 服务器:

  1. 在全局、OpCo 或租户范围中,选择“管理>身份验证”。

    此时将显示“身份验证”页。

  2. 单击“单一登录服务器”部分中的加号图标 (+)。

    此时将显示“添加单一登录服务器”页。

  3. 输入以下字段的信息:

    • SSO 服务器名称 - 指定 SSO 服务器的名称。可以使用字母数字字符、特殊字符(如下划线 (_) 或句点 (.))和空格组成的字符串。最大长度为 40 个字符。

    • 说明 - 添加 SSO 服务器的说明

    • 元数据 URL - 必须从 Azure Microsoft获取此 URL。您可以稍后编辑 SSO 服务器设置以添加此 URL。

    • 用户标识 - 选择 SAML 属性 并以电子邮件形式输入该属性。

  4. 单击“确定”保存更改。SSO 服务器列在“身份验证”页的“单一登录服务器”部分中。
  5. 选择 SSO 服务器,然后单击查看 SAML 设置。使用这些设置配置 IdP。

步骤 2 Microsoft Azure 配置为标识提供者

  1. 以管理员身份登录到 Microsoft Azure 门户。
  2. 从左侧菜单中选择“企业应用程序”。
  3. 单击 + 新建应用程序 > + 创建您自己的应用程序
  4. 输入 CSO 的应用程序名称,然后单击创建。新应用程序列在“所有应用程序”页中。您可以使用在 CSO 中配置的相同 SSO 服务器名称,也可以使用其他名称。
  5. 单击应用程序名称。此时将显示“概述”页。
  6. 单击“分配用户和组”选项中的链接。此时将显示“用户和组”页面。
  7. 单击添加用户/组。此时将显示添加分配页面。
  8. 单击未选择任何内容。从用户和组列表中选择用户和组,然后单击选择
  9. 单击分配
  10. 在“概述”页中,单击“设置单一登录”选项下的“入门”链接。此时将显示基于 SAML 的登录页面。

    1. 单击编辑,然后在基本 SAML 配置部分中输入来自 CSO 的 SAML 设置。

      字段 说明
      标识符(实体 ID) 输入受众 URI(SP 实体 ID)值。

      示例:https://<CSO_hostname>或<CSO_FQDN>/Shibboleth

      回复 URL(断言使用者服务 URL) 输入“单一登录 URL”值。

      示例:https://<CSO_hostname> 或 <CSO_FQDN>/sso/<sso_server_name>/SAML2/POST
      登录网址 输入“单一登录 URL”值。

      示例:https://<CSO_hostname> 或 <CSO_FQDN>/sso/<sso_server_name>/SAML2/POST
      中继状态 输入“单一登录 URL”值。

      示例:https://<CSO_hostname> 或 <CSO_FQDN>/sso/<sso_server_name>/SAML2/POST
      注销网址 输入“单点注销 URL”值。

      示例:https://<CSO_hostname> 或 <CSO_FQDN>/splogout

    2. 编辑用户属性和声明部分。这些参数定义要与 CSO 关联的访问控制组。访问控制组映射到 CSO 角色。

      要添加新属性,请点击 +添加新声明:

      1. 输入属性名称为 email ,输入值 user.email为 。属性名称必须与 步骤 1:在 CSO 中配置 SSO 设置中配置的 SAML 属性相同。

        将“命名空间”字段留空。

      2. 选择 “属性 ”作为“源”。

      3. 从下拉列表中选择源属性。

      4. 单击保存。

    如果将 SSO 服务器配置为仅进行身份验证,则仅设置电子邮件属性 (user.mail)

    如果为身份验证和授权配置了 SSO 服务器,则除了电子邮件属性(名称=角色;源属性=tadmin)之外,还必须创建 角色 属性。

    如果为租户配置了OSS_Tenant_ID,请创建 租户 属性(名称=租户;源属性=租户 ID)。

  11. 复制“SAML 签名证书”部分下的“应用联合元数据 URL”值。您必须在 CSO 的 SSO 服务器设置中输入此值。

步骤 3:更新 CSO SSO 服务器配置

在 CSO 门户的“身份验证”页中,编辑 SSO 服务器设置以添加应用联合元数据 URL(来自 Azure 门户Microsoft值)。

步骤 4:测试 SSO 配置

在继续测试 SSO 配置之前,请确保已添加用户帐户(Microsoft Azure 帐户中使用的电子邮件)。您可以在 “管理>用户 ”页面中查看用户帐户。

在 CSO 门户的“身份验证”页中。选择 SSO 服务器,然后单击 测试登录。此时将显示“Microsoft Azure 登录”页。