配置 Microsoft Entra ID 以与 SAML 身份提供者协作

如何配置 Microsoft Entra ID 以与 SAML 身份提供者协作,以便为您的 Unity 组织提供单点登录。

阅读时间6分钟

您可以配置 Microsoft Entra ID 以与 SAML 身份提供者 (IdP) 协作,以便为您的 Unity 组织提供单点登录 (SSO)。Microsoft Entra ID 是 Azure Active Directory 的新名称。

为此,请按照以下步骤操作

  1. 检查先决条件.
  2. 将您的域添加到 Microsoft Entra ID.
  3. 在 Microsoft Entra ID 中创建 SAML 应用程序.
  4. 在 Microsoft Entra ID 和 Unity Cloud 中设置元数据.
  5. 验证您的组织域.
  6. 在 Microsoft Entra ID 中添加电子邮件属性.
  7. 预配用户.
  8. 测试 SAML SSO 集成.

先决条件
先决条件

在开始之前,请执行以下检查

  • 您拥有对 Microsoft Azure 帐户的管理访问权限。
  • 您拥有配置 Microsoft Entra ID 的必要权限。
  • 管理员用户拥有以下 Microsoft Entra 角色
    • 云应用程序管理员
    • 全局管理员
    • 用户管理员

要访问 Microsoft Entra ID,请按照以下步骤操作

  1. 以 IT 管理员身份登录到 Microsoft Entra 管理中心

  2. 在主页上,选择“Microsoft Entra ID”。

    如果您无法访问 Microsoft Entra ID,请尝试以下替代方法

将您的域添加到 Microsoft Entra ID
将您的域添加到 Microsoft Entra ID

如果您尚未将公司域添加到 Microsoft Entra ID,则必须这样做。否则,您将无法使用您的域预配用户。

要将您的域添加到 Microsoft Entra ID,请按照以下步骤操作

  1. Microsoft Entra ID 管理中心 中,搜索“域名称”服务并选择它。

  2. 选择“添加自定义域”并添加您的域。

  3. 复制 DNS 信息。

  4. 在您的域注册商中,根据复制的 DNS 信息创建 .txt 记录。

    您的 .txt 记录可能需要 48 到 72 小时才能传播。

详细了解 在 Microsoft Entra ID 中管理域 的相关信息,请参阅 Microsoft 文档。

在 Microsoft Entra ID 中创建 SAML 应用程序
在 Microsoft Entra ID 中创建 SAML 应用程序

请按照以下步骤操作

  1. Microsoft Entra ID 管理中心 中,搜索“企业应用程序”服务并选择它。
  2. 选择“新建应用程序”,然后选择“创建您自己的应用程序”。
  3. 输入应用程序的名称,然后选择“非库”。
  4. 选择“创建”。

在 Microsoft Entra ID 和 Unity Cloud 中设置元数据
在 Microsoft Entra ID 和 Unity Cloud 中设置元数据

您必须将元数据从 Unity Cloud 复制到 Microsoft Entra ID,并将其他元数据从 Microsoft Entra ID 复制到 Unity Cloud。

请按照以下步骤操作

  1. Unity Cloud 中,选择“管理”>“单点登录”。
  2. 复制以下字段中的值
    • 实体 ID
    • ACS URL
  3. 将这些值粘贴到 Microsoft Entra 中的 IdP 配置。
  4. 要将设置下载为 XML 文件,请选择“联合元数据 XML”。
  5. 从 XML 文件中复制 X.509 证书文本并将其粘贴到 Unity Cloud 的 SSO 设置中。复制并粘贴以下值
.xml 文件字段Unity SSO 字段
登录 URL单点登录 URL
Microsoft Entra ID 标识符实体 ID

验证您的组织域
验证您的组织域

为了让 Unity 识别您为域所有者,您必须使用 Unity 验证您的组织域。

在 SSO 集成的上下文中,域验证可确保合法拥有和控制域。域验证还有助于防止域冒充和欺诈性应用程序配置。验证充当信任锚。其他方不能轻易声称代表组织(例如您的域)并配置可能导致未经授权的访问或滥用组织身份的应用程序或服务。

要验证您的组织域,请按照以下步骤操作

  1. 检查您是否已以 SSO 配置 IT 管理员身份登录到 Unity Cloud
  2. 在“单点登录”页面上,选择“添加域”。
  3. 输入您的组织域,然后选择“添加并验证”。
  4. 复制 Unity 生成的 DNS 验证记录,然后选择“验证”。
  5. 从域注册商的 DNS 管理面板中,创建一个 .txt 记录并将复制的内容粘贴到其中。

该记录可能需要长达 48 小时才能在互联网上传播。传播后,Unity Cloud 中的域状态将从“待验证”更改为“活动”。

在 Microsoft Entra ID 中添加电子邮件属性
在 Microsoft Entra ID 中添加电子邮件属性

请按照以下步骤操作

  1. Microsoft Entra ID 管理中心 中,从已创建的应用程序的配置页面,选择“单点登录”。
  2. 在“属性和声明”部分,选择“编辑”。
  3. 如果不存在“电子邮件”或“邮件”属性,请选择“添加新声明”。
  4. 设置以下字段
    • 将“名称”设置为 email
    • 将“源属性”设置为 user.userprincipalname。此值表示 Microsoft Entra ID 中用户的电子邮件。将其他字段留空。
  5. 选择“保存”。

“属性和声明”部分显示“电子邮件”属性。

预配用户
预配用户

您必须已经 验证 公司域与 Microsoft Entra ID。

要预配用户,请按照以下步骤操作

  1. 创建用户
    1. Microsoft Entra ID 管理中心 中,搜索“用户”服务并选择它。
    2. 创建一个 SSO 用户。将“用户主体名称”设置为 IT 管理员分配给用户的电子邮件地址。
    3. 在用户的属性中,将“电子邮件”设置为用户的电子邮件地址。如果您未提供电子邮件地址,则 SAML 响应不包含 SAML 属性,并且该用户的 SSO 会失败。
  2. 授予用户对 SAML 应用程序的访问权限
    1. 从用户配置页面,转到“管理”>“应用程序”。
    2. 将 SAML 应用程序分配给用户。

测试 SAML SSO 集成
测试 SAML SSO 集成

要测试 SAML SSO 集成,请使用您创建并分配给 Microsoft Entra ID 的 SAML SSO 应用程序的企业用户登录 Unity。