檢視次數:

Microsoft Entra ID 配置為 TrendAI Vision One™ 使用的 SAML (2.0) 身分提供者。

開始之前

確保您用來登入Microsoft Azure 入口網站的帳戶被指派了一個可以建立企業應用程式的Microsoft Entra ID角色。最低權限角色是「Cloud Application Administrator」「Application Administrator」角色也包含此權限。如果您的帳戶未被指派這些角色之一,您將無法建立自己的應用程式。欲了解更多資訊,請參閱Microsoft Entra ID 中依任務劃分的最低權限角色
Microsoft Entra ID 是一個多租戶雲端目錄和身份管理服務。
要使用 Microsoft Entra ID 作為身份提供者 (IdP),您必須擁有有效的 Microsoft Entra ID 版本許可證訂閱(免費、基本或高級),該許可證處理登錄過程並向 TrendAI Vision One™ 管理控制台提供驗證憑據。

步驟

  1. Microsoft Entra ID 控制台中建立一個新的企業應用程式。
    1. 使用您的Microsoft Entra ID管理員帳戶登入Microsoft Azure 入口網站
    2. Azure services 下,點選 Microsoft Entra ID
      首次使用時,您可能需要點擊「More services」並搜尋 Microsoft Entra ID。
    3. 在左側導航欄中,前往ManageEnterprise applications
    4. 點選+ New application
    5. Browse Microsoft Entra Gallery畫面上,點選+ Create your own application
      Create your own application 視窗出現。
    6. 請為應用程式指定顯示名稱。
    7. What are you looking to do with your application? 下,選擇 Integrate any other application you don't find in the gallery (Non-gallery)
    8. 點選Create
      應用程式的防護總覽畫面出現。
  2. 指派使用者和群組到應用程式。
    您必須至少指派一位使用者或群組至企業應用程式以啟用 SSO 存取。如果未指派任何使用者或群組,所有對 SSO 應用程式的登入嘗試將被拒絕。
    如果您打算在 Zero Trust Secure Access 中使用 Private Access 和 Internet Access 服務,TrendAI™ 建議跳過此步驟。相反地,請前往左側導航欄中的 ManageProperties,將 Assignment required? 設定為 ,點擊 儲存,然後繼續進行步驟 3。
    如果需要指派使用者,請個別指派每位使用者使用私人存取服務和網路存取服務。
    1. Getting Started下,點選1. Assign users and groups部分中的連結。
    2. 點選+ Add user/group
    3. 在左側導航欄的Users and groups下,點選None Selected
    4. 選擇或搜尋您想要指派的使用者,然後點選Select
    5. 當您完成選擇使用者後,點選Assign
    6. 點選Assign
      選定的使用者會顯示在應用程式的「Users and groups」畫面上。
  3. 為應用程式配置單一登入。
    1. 前往左側導航欄中的防護總覽
    2. Getting Started下,點選2. Set up single sign on部分中的連結。
    3. Select a single sign-on method 下,點選 SAML
    4. 點選Upload metadata file
    5. 點選Select a file,然後在TrendAI Vision One™控制台中選擇從身份提供者下載的元數據 XML 檔案。
      如需取得 TrendAI Vision One™ 中繼資料檔案的詳細資訊,請參閱 身份提供者
    6. 點選新增以上傳檔案。
      Basic SAML Configuration 視窗會自動出現。
    7. 點選儲存並關閉Basic SAML Configuration視窗。
  4. (可選)配置屬性和聲明以支援 IdP-Only SAML 群組帳戶。
    1. Attributes & Claims部分,點選編輯
      Attributes & Claims畫面出現。
    2. 對於唯一用戶識別碼(名稱 ID),請確保預設值為 user.userprincipalname。
    3. 點選+ Add a group claim以授予選定群組對TrendAI Vision One™的訪問權限。
    4. 根據您分配給應用程式的使用者,選擇最合適的選項。
      如需有關選擇群組的詳細資訊,請參閱 Microsoft Entra ID 文件
    5. 對於Source attribute,請使用預設值Group ID
    6. 點選儲存
      請務必複製並保留Group ID聲明名稱,以在TrendAI Vision One™身份提供者應用程式中指定為Group attribute
    7. 選擇性地,點擊「+ Add new claim」,在「名稱」欄位中指定名稱並在「Source attribute」欄位中選擇屬性,然後點擊「儲存」
      TrendAI™ 建議跳過此步驟,除非您想使用預設值 user.userprincipalname 以外的屬性來區分不同的使用者。預設情況下,使用者是由其 「NameID」 來區分的。
      如果您選擇完成此步驟,請務必複製並保留此聲明名稱,以在TrendAI Vision One™身份提供者應用程式中指定為User attribute
    8. 點擊「+ Add new claim」,在「名稱」欄位中指定顯示名稱,在「Source attribute」欄位中指定user.displayname,然後點擊「儲存」
      請務必複製並保留此宣告名稱,以在TrendAI Vision One™身份提供者應用程式中指定為User display name attribute
      MicrosoftEntraIDClaims=GUID-b8fb2432-007c-4e19-876d-826703b95818.png
    9. 點選SAML-based Sign-on以返回上一個畫面。
    10. 如果系統提示您測試新應用程式的單一登入,請點選No, I'll test later
  5. 「SAML Certificates」部分,點擊「下載」以獲取聯邦中繼資料 XML 檔案。
  6. TrendAI Vision One™ 控制台中,將 Microsoft Entra ID 添加為身份提供者並導入下載的元數據文件。
    請注意,TrendAI Vision One™ 的多個實例可以使用相同的 Entra ID 中繼資料檔案。
    如需有關將身份提供者新增至TrendAI Vision One™的詳細資訊,請參閱身份提供者
  7. 使用單一登入登入 TrendAI Vision One™
    在您將 Microsoft Entra ID 新增為身份提供者後,分配給該應用程式的使用者可以從 TrendAI Vision One™ 登入頁面 使用單一登入功能,以其 Microsoft Entra ID 憑證進行登入。