Руководство по интеграции единого входа Azure Active Directory с Workplace by Facebook

В этом руководстве описано, как интегрировать Workplace by Facebook с Azure Active Directory (Azure AD). Интеграция Workplace by Facebook с Azure AD позволяет:

  • Контролировать доступ к Workplace by Facebook с помощью Azure AD.
  • Включить автоматический вход пользователей в Workplace by Facebook через учетную запись Azure AD.
  • Централизованное управление учетными записями через портал Azure.

Предварительные требования

Чтобы приступить к работе, потребуется следующее.

  • Подписка Azure AD. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • подписка Workplace by Facebook с поддержкой единого входа.

Примечание

В Facebook имеются два продукта, Workplace Standard (бесплатный) и Workplace Premium (платный). Любой клиент Workplace Premium позволяет настроить SCIM и интеграцию единого входа без какой-либо дополнительной оплаты или лицензий. Единый вход и SCIM недоступны в экземплярах Workplace Standard.

Описание сценария

В рамках этого руководства вы настроите и проверите единый вход Azure AD в тестовой среде.

  • Workplace by Facebook поддерживает единый вход, инициированный поставщиком службы.
  • Workplace by Facebook поддерживает JIT-подготовку.
  • Workplace by Facebook поддерживает автоматическую подготовку пользователей .
  • Теперь для приложения Workplace by Facebook можно настроить Azure AD для обеспечения единого входа. В рамках этого руководства вы настроите и проверите единый вход Azure AD в тестовой среде.

Чтобы настроить интеграцию Workplace by Facebook с Azure AD, необходимо добавить Workplace by Facebook из коллекции в список управляемых приложений SaaS.

  1. Войдите на портал Azure с помощью личной учетной записи Майкрософт либо рабочей или учебной учетной записи.
  2. В области навигации слева выберите службу Azure Active Directory.
  3. Перейдите в колонку Корпоративные приложения и выберите Все приложения.
  4. Чтобы добавить новое приложение, выберите Новое приложение.
  5. В разделе Добавление из коллекции в поле поиска введите Workplace by Facebook.
  6. Выберите Workplace by Facebook в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Настройка и проверка единого входа Azure AD для Workplace by Facebook

Настройте и проверьте единый вход Azure AD в Workplace by Facebook с помощью тестового пользователя B. Simon. Чтобы единый вход работал, необходимо установить связь между пользователем Azure AD и соответствующим пользователем в Workplace by Facebook.

Чтобы настроить и проверить единый вход Azure AD в Workplace by Facebook, выполните следующие действия.

  1. Настройка единого входа Azure AD необходима, чтобы пользователи могли использовать эту функцию.
    1. Создание тестового пользователя Azure AD требуется для проверки работы единого входа Azure AD с помощью пользователя B.Simon.
    2. Назначение тестового пользователя Azure AD необходимо, чтобы позволить пользователю B.Simon использовать единый вход Azure AD.
  2. Настройка единого входа в Workplace by Facebook необходима, чтобы настроить параметры единого входа на стороне приложения.
    1. Создание тестового пользователя Workplace by Facebook требуется для того, чтобы в Workplace by Facebook существовал пользователь B. Simon, связанный с одноименным пользователем в Azure AD.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Azure AD

Выполните следующие действия, чтобы включить единый вход Azure AD на портале Azure.

  1. На портале Azure на странице интеграции с приложением Workplace by Facebook найдите раздел Управление и щелкните Единый вход.

  2. На странице Выбрать метод единого входа выберите SAML.

  3. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Изменение базовой конфигурации SAML

  4. На странице Базовая конфигурация SAML введите значения следующих полей.

    а. В текстовое поле URL-адрес для входа (в WorkPlace ему соответствует поле Recipient URL (URL-адрес получателя)) введите URL-адрес в формате https://.workplace.com/work/saml.php.

    b. В текстовое поле Идентификатор (сущности) (в WorkPlace ему соответствует поле Audience URL (URL-адрес аудитории)) введите URL-адрес в формате https://www.workplace.com/company/.

    c. В текстовое поле URL-адрес ответа (в WorkPlace ему соответствует поле Assertion Consumer Service (Служба обработчика утверждений)) введите URL-адрес в формате https://.workplace.com/work/saml.php.

    Примечание

    Эти значения приведены в качестве примера. Укажите вместо них фактические значения URL-адреса для входа, идентификатора и URL-адреса ответа. Правильные значения для сообщества Workplace см. на странице аутентификации панели мониторинга компании Workplace, это объяснено далее в учебнике.

  5. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите пункт Сертификат (Base64) и щелкните Скачать, чтобы скачать сертификат. Сохраните этот сертификат на компьютере.

    Ссылка для скачивания сертификата

  6. Скопируйте требуемый URL-адрес в разделе Настройка Workplace by Facebook.

    Копирование URL-адресов настройки

Создание тестового пользователя Azure AD

В этом разделе описано, как на портале Azure создать тестового пользователя с именем B.Simon.

  1. На портале Azure в области слева выберите Azure Active Directory, Пользователи, а затем — Все пользователи.
  2. В верхней части экрана выберите Новый пользователь.
  3. В разделе Свойства пользователя выполните следующие действия.
    1. В поле Имя введите B.Simon.
    2. В поле Имя пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Нажмите кнопку Создать.

Назначение тестового пользователя Azure AD

В этом разделе описано, как включить единый вход Azure для пользователя B. Simon, предоставив этому пользователю доступ к Workplace by Facebook.

  1. На портале Azure выберите Корпоративные приложения, а затем — Все приложения.
  2. Из списка приложений выберите Workplace by Facebook.
  3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.
  4. Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.
  5. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
  6. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
  7. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа в Workplace by Facebook

  1. Для автоматизации настройки в Workplace by Facebook необходимо установить расширение браузера My Apps Secure Sign-in, щелкнув Установить расширение.

    Расширение "Мои приложения"

  2. Чтобы перейти к приложению Workplace by Facebook после добавления расширения в браузер, щелкните Настройка Workplace by Facebook. После этого укажите учетные данные администратора для входа в Workplace by Facebook. Расширение браузера автоматически настроит приложение и автоматизирует шаги 3–5.

    Настройка конфигурации

  3. Если вы хотите настроить Workplace by Facebook вручную, откройте новое окно веб-браузера, войдите на свой корпоративный сайт Workplace by Facebook в качестве администратора и выполните следующие действия:

    Примечание

    В рамках процесса проверки подлинности SAML приложение Workplace может использовать строки запросов размером до 2,5 КБ для передачи параметров в Azure AD.

  4. Перейдите на вкладку Admin Panel > Security > Authentication (Панель администрирования > Безопасность > Проверка подлинности).

    Панель администрирования

    а. Установите флажок Единый вход (SSO).

    b. Выберите SSO (Единый вход) в качестве варианта по умолчанию для новых пользователей.

    в. Щелкните +Add new SSO Provider (+Добавить нового поставщика единого входа).

    Примечание

    Кроме того, обязательно установите флажок "Пароль" для входа с паролем. Администраторам может потребоваться этот вариант входа в систему при смене сертификата, чтобы предотвратить блокирование.

  5. Во всплывающем окне Single Sign-On (SSO) Setup (Настройка единого входа) выполните следующие действия:

    Вкладка "Authentication" (Аутентификация)

    а. В поле Name of the SSO Provider (Имя поставщика единого входа) введите имя экземпляра единого входа, например Azureadsso.

    b. В текстовое поле SAML URL (URL-адрес SAML) вставьте URL-адрес SAML, скопированный на портале Azure.

    c. В текстовое поле SAML Issuer URL (URL-адрес издателя SAML) вставьте идентификатор Azure AD, скопированный на портале Azure.

    d. Откройте в Блокноте сертификат (Base64) , скачанный на портале Azure, скопируйте его содержимое в буфер обмена, а затем вставьте его в текстовое поле SAML Certificate (Сертификат SAML).

    д) Скопируйте URL-адрес аудитории и вставьте его в текстовое поле Идентификатор (сущности) в разделе Базовая конфигурации SAML на портале Azure.

    е) Скопируйте URL-адрес получателя и вставьте его в текстовое поле URL-адрес для входа в разделе Базовая конфигурации SAML на портале Azure.

    ж. Скопируйте URL-адрес ACS (службы обработчика утверждений) для своего экземпляра, и вставьте его в текстовое поле URL-адрес ответа в разделе Базовая конфигурация SAML на портале Azure.

    h. Прокрутите страницу до конца раздела и нажмите кнопку Test SSO (Проверить единый вход). Появится всплывающее окно со страницей входа в Azure AD. Введите учетные данные, как при обычной аутентификации.

    Устранение неполадок. Убедитесь в том, что адрес электронной почты, возвращаемый из Azure AD, совпадает с учетной записью Workplace, которая использовалась для входа.

    i. После успешного прохождения проверки прокрутите страницу до конца и нажмите кнопку Save (Сохранить).

    j. Теперь для аутентификации всех пользователей Workplace будет отображаться страница входа в Azure AD.

  6. Перенаправление для выхода SAML (необязательно) -

    При необходимости можно настроить URL-адрес выхода SAML, с помощью которого можно указать страницу выхода из Azure AD. После активации и настройки этого параметра пользователи больше не будут направляться на страницу выхода из Workplace. Вместо этого они будут переходить по URL-адресу, указанному в параметре перенаправления для выхода SAML.

Настройка частоты повторной проверки подлинности

Вы можете настроить в Workplace запрос на проверку SAML каждый день, каждые 3 дня, каждую неделю, каждые 2 недели, каждый месяц или никогда.

Примечание

Минимальная частота проверки SAML в мобильных приложениях равна одной неделе.

Вы также можете принудительно сбросить SAML для всех пользователей, нажав кнопку "Require SAML authentication for all users now" (Потребовать проверку подлинности SAML для всех пользователей).

Создание тестового пользователя Workplace by Facebook

В этом разделе вы создадите в Workplace by Facebook пользователя с именем B. Simon. Workplace by Facebook поддерживает JIT-подготовку. Эта функция включена по умолчанию.

В этом разделе никакие действия с вашей стороны не требуются. Если пользователь не существует в Workplace by Facebook, он создается при попытке доступа к Workplace by Facebook.

Примечание

Если вам нужно создать пользователя вручную, обратитесь в службу поддержки клиентов Workplace by Facebook.

Проверка единого входа

В этом разделе описано, как проверить конфигурацию единого входа Azure AD с помощью указанных ниже способов.

  • Выберите Тестировать приложение на портале Azure. Вы будете перенаправлены по URL-адресу для входа в Workplace by Facebook, где можно инициировать поток входа.

  • Перейдите по URL-адресу для входа в Workplace by Facebook и инициируйте поток входа.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку Workplace by Facebook на портале "Мои приложения", вы перейдете по URL-адресу для входа в Workplace by Facebook. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Проверка единого входа для Workplace by Facebook (мобильное приложение)

  1. Откройте мобильное приложение Workplace by Facebook. На странице входа щелкните LOG IN (ВХОД).

    Вход

  2. Введите служебный адрес электронной почты и нажмите кнопку CONTINUE (ПРОДОЛЖИТЬ).

    Сообщение электронной почты

  3. Щелкните JUST ONCE (Один раз).

    Один раз

  4. Нажмите кнопку Разрешить.

    Разрешение

  5. Наконец, после успешного входа на сайт отобразится домашняя страница приложения.

    Домашняя страница

Дальнейшие действия

После настройки Workplace by Facebook вы можете применить функцию управления сеансом, которая в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью Microsoft Cloud App Security.