跳转至

AAD 单点登录示例


Azure Active Directory (AAD) 是 Microsoft 推出的基于云的标识和访问管理服务,可帮助企业管理内外部资源。

操作步骤

1、创建应用程序

1)登录进入 Azure Active Directory 管理中心,点击企业应用程序 > 所有应用程序 > 新建应用程序

2)在新建应用程序页面,点击创建你自己的应用程序,在打开的页面输入应用的名称,并选择非库应用程序,点击创建,即可创建一个新的应用程序。

2、为应用程序配置 SAML

注意:本步骤将 AAD 应用程序属性映射到观测云的属性,建立 AAD 和观测云之间的信任关系。

1)在新创建的应用程序,点击单一登录,选择 SAML

2)在设置 SAML 单一登录的第一步基本 SAML 配置部分,点击编辑

填入以下断言地址和实体 ID 示例。

注意:此次配置仅为获取下一步的元数据文档使用,需要在观测云中启用 SSO 单点登录后,获取到正确的实体 ID断言地址后重新替换。

3)在第二步属性和索赔部分,添加关联身份提供商用户邮箱的声明,点击编辑

在属性和索赔编辑页面,点击添加新的声明

在管理声明页面,输入名称源属性,并保存:

  • 名称:必需填入 Email,此部分内容为必填项,如果不填,单点登录时将提示无法登录;
  • 源属性:根据身份提供商实际邮箱选择“user.mail”。

注意:观测云定义了一个字段,必须填入 Email 用于关联身份提供商的用户邮箱(即身份提供商将登录用户的邮箱映射到 Email)。

3、获取 AAD 元数据文档

注意:本步骤可获取在观测云创建身份提供商的元数据文档。

1)在第三步 SAML 签名证书部分,点击下载联合元数据 XML

4、在观测云启用单点登录

1)在观测云工作空间管理 > 成员管理 > SSO 管理新建 SSO

2)上传在步骤 3中下载的元数据文档,配置域名(邮箱的后缀域名),选择角色,即可获取该身份提供商的实体 ID断言地址,支持直接复制登录地址进行登录。

注意:域名用于观测云和身份提供商进行邮箱域名映射来实现单点登录,即用户邮箱的后缀域名需和观测云中添加的域名保持一致。

5、在 AAD 替换 SAML 断言地址

1)返回 AAD,更新步骤 2中的实体 ID断言地址

注意:在观测云配置单点登录时,身份提供商 SAML 中配置的断言地址必须和观测云中的保持一致,才能实现单点登录。

6、配置 AAD 用户

注意:本步骤配置在观测云创建身份提供商的授权用户邮箱账号,通过配置的 AAD 用户邮箱账号可单点登录到观测云平台。

1)在新创建的应用程序,点击用户和组,点击添加用户/组

2)点击未选择任何项,在弹出的页面搜索并选择用户,点击选择

3)选择完用户以后,返回到添加分配,点击添加分配

4)添加完用户以后,可以在用户和组查看分配的 SSO 授权登录用户列表。

注意:若无用户,可在用户菜单下新建用户。

7、使用 AAD 账号单点登录观测云

1)SSO 配置完成后,通过 观测云官网 或者 观测云控制台 登录,在登录页面选择单点登录

2)输入在创建 SSO 的邮箱地址,点击获取登录地址

3)点击链接打开企业账号登录页面。

4)输入企业通用邮箱(在 AAD 和观测云 SSO 管理中配置的企业邮箱地址)和密码。

5)登录到观测云对应的工作空间。

文档评价

文档内容是否对您有帮助? ×