Samouczek: Azure Active Directory integracji logowania jednokrotnego (SSO) z usługą Saviynt

W tym samouczku dowiesz się, jak zintegrować usługę Saviynt z usługą Azure Active Directory (Azure AD). Po zintegrowaniu usługi Saviynt z usługą Azure AD można:

  • Kontrolka w usłudze Azure AD, która ma dostęp do Saviynt.
  • Zezwól użytkownikom na automatyczne logowanie się do usługi Saviynt przy użyciu kont w usłudze Azure AD.
  • Zarządzaj kontami w jednej centralnej lokalizacji — Azure Portal.

Wymagania wstępne

Aby rozpocząć, potrzebne są następujące elementy:

  • Subskrypcja usługi Azure AD. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja z włączonym logowaniem jednokrotnym (SSO) Saviynt.

Opis scenariusza

W tym samouczku skonfigurujesz i testujesz Logowanie jednokrotne usługi Azure AD w środowisku testowym.

  • Saviynt obsługuje usługę SP i dostawcy tożsamości zainicjowano Logowanie jednokrotne
  • Saviynt obsługuje Inicjowanie obsługi użytkowników just in Time

Aby skonfigurować integrację programu Saviynt z usługą Azure AD, musisz dodać Saviynt z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do Azure Portal przy użyciu konta służbowego lub konto Microsoft prywatnego.
  2. W okienku nawigacji po lewej stronie wybierz usługę Azure Active Directory .
  3. Przejdź do aplikacji przedsiębiorstwa , a następnie wybierz pozycję wszystkie aplikacje.
  4. Aby dodać nową aplikację, wybierz pozycję Nowa aplikacja.
  5. W sekcji Dodaj z galerii wpisz Saviynt w polu wyszukiwania.
  6. Wybierz pozycję Saviynt from panel wyników, a następnie Dodaj aplikację. Poczekaj kilka sekund, gdy aplikacja zostanie dodana do dzierżawy.

Skonfiguruj i przetestuj Logowanie jednokrotne usługi Azure AD dla Saviynt

Skonfiguruj i przetestuj Logowanie jednokrotne usługi Azure AD za pomocą Saviynt przy użyciu użytkownika testowego o nazwie B. Simon. Aby logowanie jednokrotne działało, należy ustanowić relację linku między użytkownikiem usługi Azure AD i powiązanym użytkownikiem w Saviynt.

Aby skonfigurować i przetestować Logowanie jednokrotne usługi Azure AD za pomocą Saviynt, wykonaj następujące czynności:

  1. Skonfiguruj Logowanie jednokrotne usługi Azure AD , aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz użytkownika testowego usługi Azure AD — aby przetestować Logowanie jednokrotne w usłudze Azure AD za pomocą usługi B. Simon.
    2. Przypisz użytkownika testowego usługi Azure AD — aby umożliwić usłudze B. Simon korzystanie z logowania jednokrotnego w usłudze Azure AD.
  2. Skonfiguruj Logowanie jednokrotne w usłudze Saviynt, aby skonfigurować ustawienia logowania jednokrotnego na stronie aplikacji.
    1. Utwórz użytkownika testowego Saviynt , aby dysponować odpowiednikiem B. Simon w Saviynt, która jest połączona z reprezentacją użytkownika w usłudze Azure AD.
  3. Przetestuj Logowanie jednokrotne — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie rejestracji jednokrotnej w usłudze Azure AD

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne usługi Azure AD w Azure Portal.

  1. W Azure Portal na stronie integracja aplikacji Saviynt Znajdź sekcję Zarządzanie i wybierz pozycję Logowanie jednokrotne.

  2. Na stronie Wybierz metodę logowania jednokrotnego wybierz pozycję SAML.

  3. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu języka SAML kliknij ikonę Edytuj/pióro, aby określić podstawową konfigurację języka SAML , aby edytować ustawienia.

    Edycja podstawowej konfiguracji protokołu SAML

  4. Jeśli chcesz skonfigurować aplikację w trybie inicjalizacji dostawcy tożsamości , w sekcji Podstawowa konfiguracja SAML wprowadź wartości dla następujących pól:

    a. W polu tekstowym Identyfikator wpisz adres URL, używając następującego wzorca: Saviynt-<ID>

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<SUBDOMAIN>.saviyntcloud.com/ECM/saml/SSO/alias/<SAVIYNT-ID>

  5. Kliknij pozycję Ustaw dodatkowe adresy URL i wykonaj następujące kroki, jeśli chcesz skonfigurować aplikację w trybie inicjowania programu SP :

    W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<SUBDOMAIN>.saviyntcloud.com

    Uwaga

    Te wartości nie są prawdziwe. Należy je zastąpić rzeczywistymi wartościami identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Skontaktuj się z zespołem obsługi klienta Saviynt , aby uzyskać te wartości. Przydatne mogą się również okazać wzorce przedstawione w sekcji Podstawowa konfiguracja protokołu SAML w witrynie Azure Portal.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji certyfikat podpisywania SAML Znajdź plik XML metadanych Federacji i wybierz pozycję Pobierz , aby pobrać certyfikat i zapisać go na komputerze.

    Link do pobierania certyfikatu

  7. W sekcji Konfigurowanie Saviynt skopiuj odpowiednie adresy URL na podstawie wymagania.

    Kopiowanie adresów URL konfiguracji

Tworzenie użytkownika testowego usługi Azure AD

W tej sekcji utworzysz użytkownika testowego w Azure Portal o nazwie B. Simon.

  1. W lewym okienku w Azure Portal wybierz pozycję Azure Active Directory, wybierz pozycję Użytkownicy, a następnie wybierz pozycję Wszyscy użytkownicy.
  2. Wybierz pozycję nowy użytkownik w górnej części ekranu.
  3. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wprowadź wartość B.Simon.
    2. W polu Nazwa użytkownika wprowadź wartość username@companydomain.extension . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Kliknij pozycję Utwórz.

Przypisywanie użytkownika testowego usługi Azure AD

W tej sekcji włączysz usługę B. Simon, aby korzystać z logowania jednokrotnego na platformie Azure przez przyznanie dostępu do usługi Saviynt.

  1. W Azure Portal wybierz pozycję aplikacje dla przedsiębiorstw, a następnie wybierz pozycję wszystkie aplikacje.
  2. Na liście Aplikacje wybierz pozycję Saviynt.
  3. Na stronie Przegląd aplikacji Znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika, a następnie w oknie dialogowym Dodawanie przypisania wybierz pozycję Użytkownicy i grupy .
  5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B. Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
  6. Jeśli oczekujesz, że rola ma być przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli żadna rola nie została skonfigurowana dla tej aplikacji, zostanie wyświetlona wybrana rola "domyślny dostęp".
  7. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz .

Konfigurowanie logowania jednokrotnego Saviynt

Aby skonfigurować Logowanie jednokrotne na stronie Saviynt , musisz wysłać pobrany XML metadanych Federacji i odpowiednie skopiowane adresy URL z Azure Portal do zespołu pomocy technicznej Saviynt. Ustawią oni to ustawienie tak, aby połączenie logowania jednokrotnego SAML było ustawione właściwie po obu stronach.

Utwórz użytkownika testowego Saviynt

W tej sekcji użytkownik o nazwie Britta Simon jest tworzony w Saviynt. Saviynt obsługuje Inicjowanie obsługi użytkowników just in Time, która jest domyślnie włączona. W tej sekcji nie musisz niczego robić. Jeśli użytkownik nie istnieje jeszcze w usłudze Saviynt, zostanie utworzony nowy po uwierzytelnieniu.

Testuj Logowanie jednokrotne

W tej sekcji przetestujesz konfigurację logowania jednokrotnego usługi Azure AD przy użyciu następujących opcji.

Zainicjowano SP:

  • Kliknij pozycję Testuj tę aplikację w Azure Portal. Spowoduje to przekierowanie do adresu URL logowania Saviynt, w którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania Saviynt i zainicjuj w nim przepływ logowania.

DOSTAWCY tożsamości zainicjowane:

  • Kliknij pozycję Testuj tę aplikację w Azure Portal i należy automatycznie zalogować się do Saviynt, dla którego skonfigurowano Logowanie jednokrotne

Możesz również użyć panelu dostępu programu Microsoft, aby przetestować aplikację w dowolnym trybie. Po kliknięciu kafelka Saviynt w panelu dostępu należy automatycznie zalogować się do Saviynt, dla którego skonfigurowano Logowanie jednokrotne. Aby uzyskać więcej informacji na temat panelu dostępu, zobacz wprowadzenie do panelu dostępu.

Następne kroki

Po skonfigurowaniu Saviynt można wymusić kontrolę sesji, co chroni eksfiltracji i niefiltrowanie danych poufnych organizacji w czasie rzeczywistym. Kontrolka sesji rozciąga się od dostępu warunkowego. Dowiedz się, jak wymuszać kontrolę sesji za pomocą Microsoft Cloud App Security.