AAD 单点登录示例¶

Azure Active Directory （AAD） 是 Microsoft 推出的基于云的标识和访问管理服务，可帮助企业管理内外部资源。

操作步骤¶

1、创建应用程序¶

1）登录进入 Azure Active Directory 管理中心，点击企业应用程序 > 所有应用程序 > 新建应用程序。

2）在新建应用程序页面，点击创建你自己的应用程序，在打开的页面输入应用的名称，并选择非库应用程序，点击创建，即可创建一个新的应用程序。

2、为应用程序配置 SAML¶

注意：本步骤将 AAD 应用程序属性映射到观测云的属性，建立 AAD 和观测云之间的信任关系。

1）在新创建的应用程序，点击单一登录，选择 SAML。

2）在设置 SAML 单一登录的第一步基本 SAML 配置部分，点击编辑。

填入以下断言地址和实体 ID 示例。

• 标识符（实体 ID）：https://auth.guance.com/saml/metadata.xml
• 回复 URL（断言地址），临时使用：https://auth.guance.com/saml/assertion

注意：此次配置仅为获取下一步的元数据文档使用，需要在观测云中启用 SSO 单点登录后，获取到正确的实体 ID 和断言地址后重新替换。

3）在第二步属性和索赔部分，添加关联身份提供商用户邮箱的声明，点击编辑。

在属性和索赔编辑页面，点击添加新的声明。

在管理声明页面，输入名称和源属性，并保存：

• 名称：必需填入 Email，此部分内容为必填项，如果不填，单点登录时将提示无法登录；
• 源属性：根据身份提供商实际邮箱选择“user.mail”。

注意：观测云定义了一个字段，必须填入 Email 用于关联身份提供商的用户邮箱（即身份提供商将登录用户的邮箱映射到 Email）。

3、获取 AAD 元数据文档¶

注意：本步骤可获取在观测云创建身份提供商的元数据文档。

1）在第三步 SAML 签名证书部分，点击下载联合元数据 XML。

4、在观测云启用单点登录¶

1）在观测云工作空间管理 > 成员管理 > SSO 管理，新建 SSO。

2）上传在步骤 3中下载的元数据文档，配置域名（邮箱的后缀域名），选择角色，即可获取该身份提供商的实体 ID和断言地址，支持直接复制登录地址进行登录。

注意：域名用于观测云和身份提供商进行邮箱域名映射来实现单点登录，即用户邮箱的后缀域名需和观测云中添加的域名保持一致。

5、在 AAD 替换 SAML 断言地址¶

1）返回 AAD，更新步骤 2中的实体 ID 和断言地址。

注意：在观测云配置单点登录时，身份提供商 SAML 中配置的断言地址必须和观测云中的保持一致，才能实现单点登录。

6、配置 AAD 用户¶

注意：本步骤配置在观测云创建身份提供商的授权用户邮箱账号，通过配置的 AAD 用户邮箱账号可单点登录到观测云平台。

1）在新创建的应用程序，点击用户和组，点击添加用户/组。

2）点击未选择任何项，在弹出的页面搜索并选择用户，点击选择。

3）选择完用户以后，返回到添加分配，点击添加分配。

4）添加完用户以后，可以在用户和组查看分配的 SSO 授权登录用户列表。

注意：若无用户，可在用户菜单下新建用户。

7、使用 AAD 账号单点登录观测云¶

1）SSO 配置完成后，通过 观测云官网 或者 观测云控制台 登录，在登录页面选择单点登录。

2）输入在创建 SSO 的邮箱地址，点击获取登录地址。

3）点击链接打开企业账号登录页面。

4）输入企业通用邮箱（在 AAD 和观测云 SSO 管理中配置的企业邮箱地址）和密码。

5）登录到观测云对应的工作空间。