教學課程: Azure AD 與 SURFsecureID 整合的 SSO-Azure MFA

在本教學課程中,您將瞭解如何整合 SURFsecureID-Azure MFA 與 Azure Active Directory (Azure AD) 。 當您整合 SURFsecureID-Azure MFA 與 Azure AD 時,您可以:

  • 在 Azure AD 中控制可存取 SURFsecureID-Azure MFA 的人員。
  • 讓使用者使用其 Azure AD 帳戶自動登入 SURFsecureID-Azure MFA。
  • 在 Azure 入口網站集中管理您的帳戶。

必要條件

若要開始,您需要下列項目:

  • Azure AD 訂用帳戶。 如果沒有訂用帳戶,您可以取得免費帳戶
  • SURFsecureID-Azure MFA 單一登入 (SSO) 已啟用訂用帳戶。

案例描述

在本教學課程中,您會在測試環境中設定和測試 Azure AD SSO。

  • SURFsecureID-Azure MFA 支援 SP 起始的 SSO。

注意

此應用程式的識別碼是固定的字串值,因此一個租用戶中只能設定一個執行個體。

若要設定 SURFsecureID Azure MFA 與 Azure AD 整合,您需要從資源庫將 Azure MFA SURFsecureID 新增至受控 SaaS 應用程式清單。

  1. 使用公司或學校帳戶或個人的 Microsoft 帳戶登入 Azure 入口網站。
  2. 在左方瀏覽窗格上,選取 [Azure Active Directory] 服務。
  3. 巡覽至 [企業應用程式],然後選取 [所有應用程式]。
  4. 若要新增應用程式,請選取 [新增應用程式] 。
  5. 在 [ 從資源庫新增 ] 區段的 [搜尋] 方塊中,輸入 SURFsecureID-Azure MFA
  6. 從結果面板選取 [ SURFsecureID-Azure MFA ],然後新增應用程式。 當應用程式新增至您的租用戶時,請等候幾秒鐘。

設定及測試 SURFsecureID 的 Azure AD SSO-Azure MFA

使用名為 b. Simon 的測試使用者,設定及測試與 SURFsecureID Azure MFA 的 Azure AD SSO。 若要讓 SSO 能夠運作,您必須建立 Azure AD 使用者與 SURFsecureID-Azure MFA 中相關使用者之間的連結關聯性。

若要設定及測試與 SURFsecureID Azure MFA Azure AD SSO,請執行下列步驟:

  1. 設定 Azure AD SSO - 讓您的使用者能夠使用此功能。
    1. 建立 Azure AD 測試使用者 - 使用 B.Simon 測試 Azure AD 單一登入。
    2. 指派 Azure AD 測試使用者 - 讓 B.Simon 能夠使用 Azure AD 單一登入。
  2. 設定 SURFsecureID-AZURE MFA SSO -在應用程式端設定單一登入設定。
    1. 建立 SURFsecureID Azure MFA 測試使用者-使 Azure MFA SURFsecureID 中 Simon 的對應使用者連結到該使用者在 Azure AD 中的代表身分。
  3. 測試 SSO - 驗證組態是否能運作。

設定 Azure AD SSO

依照下列步驟在 Azure 入口網站中啟用 Azure AD SSO。

  1. 在 Azure 入口網站的 [ SURFsecureID-Azure MFA 應用程式整合] 頁面上,尋找 [ 管理 ] 區段並選取 [ 單一登入]。

  2. 在 [選取單一登入方法] 頁面上,選取 [SAML]。

  3. 在 [以 SAML 設定單一登入] 頁面上,按一下 [基本 SAML 設定] 的鉛筆圖示,以編輯設定。

    編輯基本 SAML 組態

  4. 在 [基本 SAML 組態] 區段上,執行下列步驟:

    a. 在 [ 識別碼 (實體識別碼) ] 文字方塊中,輸入下列其中一個 url:

    環境 URL
    預備 https://azuremfa.test.surfconext.nl/saml/metadata
    Production https://azuremfa.surfconext.nl/saml/metadata

    b. 在 [ 回復 URL ] 文字方塊中,輸入下列其中一個 url:

    環境 URL
    預備 https://azuremfa.test.surfconext.nl/saml/acs
    Production https://azuremfa.surfconext.nl/saml/acs

    b. 在 [登入 URL] 文字方塊中,輸入下列其中一個 URL:

    環境 URL
    預備 https://sa.test.surfconext.nl
    生產 https://sa.surfconext.nl
  5. SURFsecureID Azure MFA 應用程式需要特定格式的 SAML 判斷提示,因此您必須將自訂屬性對應新增至 SAML 權杖屬性設定。 以下螢幕擷取畫面顯示預設屬性清單。

    image

  6. 除了上述屬性外,SURFsecureID Azure MFA 應用程式還需要在 SAML 回應中多傳回幾個屬性,如下所示。 這些屬性也會預先填入,但您可以根據您的需求來檢閱這些屬性。

    名稱 來源屬性
    urn: mace: dir: attribute-def: mail user.mail
  7. 在 [以 SAML 設定單一登入] 頁面的 [SAML 簽署憑證] 區段中,按一下 [複製] 按鈕以複製 [應用程式同盟中繼資料 URL],並將資料儲存在您的電腦上。

    憑證下載連結

建立 Azure AD 測試使用者

在本節中,您將在 Azure 入口網站中建立名為 B.Simon 的測試使用者。

  1. 在 Azure 入口網站的左窗格中,依序選取 [Azure Active Directory] 、[使用者] 和 [所有使用者] 。
  2. 在畫面頂端選取 [新增使用者] 。
  3. 在 [使用者] 屬性中,執行下列步驟:
    1. 在 [名稱] 欄位中,輸入 B.Simon
    2. 在 [使用者名稱] 欄位中,輸入 username@companydomain.extension。 例如: B.Simon@contoso.com
    3. 選取 [顯示密碼] 核取方塊,然後記下 [密碼] 方塊中顯示的值。
    4. 按一下 [建立]。

指派 Azure AD 測試使用者

在本節中,您會將 SURFsecureID-Azure MFA 的存取權授與 b. Simon,讓她能夠使用 Azure 單一登入。

  1. 在 Azure 入口網站中,選取 [企業應用程式] ,然後選取 [所有應用程式] 。
  2. 在應用程式清單中,選取 [ SURFsecureID-Azure MFA]。
  3. 在應用程式的概觀頁面中尋找 [管理] 區段,然後選取 [使用者和群組] 。
  4. 選取 [新增使用者] ,然後在 [新增指派] 對話方塊中選取 [使用者和群組] 。
  5. 在 [使用者和群組] 對話方塊的 [使用者] 清單中選取 [B.Simon],然後按一下畫面底部的 [選取] 按鈕。
  6. 如果您需要將角色指派給使用者,您可以從 [選取角色] 下拉式清單中選取。 如果未設定此應用程式的角色,您會看到已選取 [預設存取] 角色。
  7. 在 [新增指派] 對話方塊中,按一下 [指派] 按鈕。

設定 SURFsecureID-Azure MFA SSO

若要在 SURFsecureID-Azure MFA 端設定單一登入,您必須將 應用程式同盟中繼資料 Url 傳送給 Azure MFA SURFsecureID 支援小組。 他們會進行此設定,讓兩端的 SAML SSO 連線都設定正確。

建立 SURFsecureID Azure MFA 測試使用者

在本節中,您會在 SURFsecureID-Azure MFA 中建立名為 Britta Simon 的使用者。 請與 Azure MFA SURFsecureID 支援小組 合作,在 SURFsecureID Azure MFA 平臺中新增使用者。 您必須先建立和啟動使用者,然後才能使用單一登入。

測試 SSO

在本節中,您會使用下列選項來測試您的 Azure AD 單一登入組態。

  • 在 Azure 入口網站中按一下 [測試此應用程式]。 這會重新導向至 SURFsecureID Azure MFA 登入 URL,您可以在其中起始登入流程。

  • 直接移至 SURFsecureID-Azure MFA 登入 URL,並從該處起始登入流程。

  • 您可以使用 Microsoft 的「我的應用程式」。 當您按一下我的應用程式中的 [SURFsecureID] Azure MFA 圖格時,這會重新導向至 SURFsecureID Azure MFA 登入 URL。 如需「我的應用程式」的詳細資訊,請參閱我的應用程式簡介

後續步驟

一旦設定 SURFsecureID Azure MFA,您可以強制執行會話控制項,以即時防止組織的敏感性資料遭到外泄和滲透。 工作階段控制項會從條件式存取延伸。 瞭解如何使用適用于雲端應用程式的 Microsoft Defender 來強制執行會話控制項