你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:Azure Active Directory 单一登录 (SSO) 与 Pendo 的集成

本教程介绍如何将 Pendo 与 Azure Active Directory (Azure AD) 集成。 将 Pendo 与 Azure AD 集成后,可以:

  • 在 Azure AD 中控制谁有权访问 Pendo。
  • 让用户使用其 Azure AD 帐户自动登录到 Pendo。
  • 在一个中心位置(Azure 门户)管理帐户。

先决条件

若要开始操作,需备齐以下项目:

  • 一个 Azure AD 订阅。 如果没有订阅,可以获取一个免费帐户
  • 启用了单一登录 (SSO) 的 Pendo 订阅。

方案描述

本教程在测试环境中配置并测试 Azure AD SSO。

  • Pendo 支持 IDP 发起的 SSO。

若要配置 Pendo 与 Azure AD 的集成,需要从库中将 Pendo 添加到托管 SaaS 应用列表。

  1. 使用工作或学校帐户或个人 Microsoft 帐户登录到 Azure 门户。
  2. 在左侧导航窗格中,选择“Azure Active Directory”服务 。
  3. 导航到“企业应用程序”,选择“所有应用程序” 。
  4. 若要添加新的应用程序,请选择“新建应用程序” 。
  5. 在“从库中添加”部分的搜索框中键入“Pendo” 。
  6. 从结果面板中选择“Pendo”,然后添加该应用 。 在该应用添加到租户时等待几秒钟。

配置并测试 Pendo 的 Azure AD SSO

使用名为 B.Simon 的测试用户配置并测试 Pendo 的 Azure AD SSO。 若要使 SSO 有效,需要在 Azure AD 用户与 Pendo 相关用户之间建立关联。

若要配置并测试 Pendo 的 Azure AD SSO,请执行以下步骤:

  1. 配置 Azure AD SSO - 使用户能够使用此功能。
    1. 创建 Azure AD 测试用户 - 使用 B. Simon 测试 Azure AD 单一登录。
    2. 分配 Azure AD 测试用户 - 使 B. Simon 能够使用 Azure AD 单一登录。
  2. 配置 Pendo SSO - 在应用程序端配置单一登录设置。
    1. 创建 Pendo 测试用户 - 在 Pendo 中创建 B.Simon 的对应用户,并将其关联到用户的 Azure AD 表示形式。
  3. 测试 SSO - 验证配置是否正常工作。

配置 Azure AD SSO

按照下列步骤在 Azure 门户中启用 Azure AD SSO。

  1. 在 Azure 门户中的“Pendo”应用程序集成页上,找到“管理”部分并选择“单一登录”。

  2. 在“选择单一登录方法”页上选择“SAML” 。

  3. 在“设置 SAML 单一登录”页面上,单击“基本 SAML 配置”旁边的铅笔图标以编辑设置 。

    Edit Basic SAML Configuration

  4. 在“设置 SAML 单一登录”页上,执行以下步骤:

    a. 在“标识符”文本框中,输入 PingConnect。 (如果此标识符已被其他应用程序使用,请联系 Pendo 支持团队。)

    b. 在“中继状态”文本框中,使用以下模式键入 URL:https://pingone.com/1.0/<CUSTOM_GUID>

    注意

    这些不是实际值。 请使用实际标识符和中继状态更新这些值。 还可以参考 Azure 门户中的“基本 SAML 配置” 部分中显示的模式。

  5. Pendo 应用程序需要特定格式的 SAML 断言,这要求将自定义属性映射添加到 SAML 令牌属性配置。 以下屏幕截图显示了默认属性的列表,其中的 name 通过 user.userprincipalname 进行映射 。 Pendo 应用程序要求通过 user.mail 对 name 进行映射,因此需单击“编辑”图标对属性映射进行编辑,然后更改属性映射。

    image

  6. 在“使用 SAML 设置单一登录”页的“SAML 签名证书”部分中找到“联合元数据 XML”,选择“下载”以下载该证书并将其保存在计算机上。

    The Certificate download link

  7. 在“设置 Pendo”部分中,根据要求复制相应 URL 。

    Copy configuration URLs

创建 Azure AD 测试用户

在本部分,我们将在 Azure 门户中创建名为 B.Simon 的测试用户。

  1. 在 Azure 门户的左侧窗格中,依次选择“Azure Active Directory”、“用户”和“所有用户” 。
  2. 选择屏幕顶部的“新建用户”。
  3. 在“用户”属性中执行以下步骤:
    1. 在“名称”字段中,输入
    2. 在“用户名”字段中输入 。 例如,B.Simon@contoso.com
    3. 选中“显示密码”复选框,然后记下“密码”框中显示的值。
    4. 单击“创建”。

分配 Azure AD 测试用户

在本部分中,你将通过授予 B.Simon 访问 Pendo 的权限,允许其使用 Azure 单一登录。

  1. 在 Azure 门户中,依次选择“企业应用程序”、“所有应用程序”。
  2. 在应用程序列表中,选择“Pendo” 。
  3. 在应用的概述页中,找到“管理”部分,选择“用户和组” 。
  4. 选择“添加用户”,然后在“添加分配”对话框中选择“用户和组”。
  5. 在“用户和组”对话框中,从“用户”列表中选择“B.Simon”,然后单击屏幕底部的“选择”按钮。
  6. 如果你希望将某角色分配给用户,可以从“选择角色”下拉列表中选择该角色。 如果尚未为此应用设置任何角色,你将看到选择了“默认访问权限”角色。
  7. 在“添加分配”对话框中,单击“分配”按钮。

配置 Pendo SSO

若要在 Pendo 端配置单一登录,需要将下载的“联合元数据 XML”以及从 Azure 门户复制的相应 URL 发送给 Pendo 支持团队。 他们会对此进行设置,使两端的 SAML SSO 连接均正确设置。

创建 Pendo 测试用户

在本部分,我们将在 Pendo 中创建名为 Britta Simon 的用户。 与 Pendo 支持团队协作,在 Pendo 平台中添加用户。 使用单一登录前,必须先创建并激活用户。

测试 SSO

在本部分,你将使用以下选项测试 Azure AD 单一登录配置。

  • 在 Azure 门户中单击“测试此应用程序”后,你应会自动登录到为其设置了 SSO 的 Pendo。

  • 你可使用 Microsoft 的“我的应用”。 在“我的应用”中单击“Pendo”磁贴时,你应会自动登录到为其设置了 SSO 的 Pendo。 有关“我的应用”的详细信息,请参阅“我的应用”简介

后续步骤

配置 Pendo 后,可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制