将 Azure Active Directory 配置为身份提供者

在线编辑

IBM® Verify若要使用 Microsoft™ Azure Active Directory 来管理通过联合单点登录访问应用程序的用户 ID 和密码,您必须将其配置为身份提供商。

准备工作

您必须具有带管理访问权的 Azure Active Directory 帐户。

过程

  1. 以管理员身份登录 Azure AD 门户网站。
    https://portal.azure.com/
  2. 在左侧导航栏中,点击“ Azure ” Active Directory
    该图展示了 Azure AD 门户的导航窗格。
  3. 点击 “企业应用程序”
    该图片展示了 Azure Active Directory 的导航窗格。
  4. “企业应用程序 ”页面上,点击 “新建应用程序 ”。
    该图片展示了“企业应用程序”页面的选项。
  5. 点击 “全部” > “非图库应用 ”。
    该图片展示了新的应用程序选项。
  6. 输入应用程序的名称,然后单击 “添加 ”。
    例如,
    图中显示的是“姓名”字段。
    创建应用程序可能需要几分钟时间。 创建后,将显示管理页面。
  7. 单击 “属性 ”,然后在 “需要用户分配 ”选项下选择 “是”
    图中显示的是“姓名”字段。
  8. 点击 “保存”
  9. “管理” 导航栏中,点击 “用户和组 ”。
    分配有权访问此应用程序的用户和组。
    1. 点击 “用户和组 ” > “添加用户 ” > “未选中”
    2. 选择要授权的用户和组。
    3. 点击 “分配”
    1. 点击 “保存”
  10. 点击 “单点登录”
    1. “单点登录模式 ”菜单中选择 “基于 SAML 的登录 ”。
    2. IBM Verify请从以下链接获取有关 SAML ( EntityID和断言消费者服务( URL )的信息。
      1. 登录 IBM Verify
      2. 单击 “配置” > “身份来源 ”> “添加身份来源 ”。
        该图展示了 IBM Verify 身份源创建任务中的一个步骤,该步骤用于获取实体ID和断言消费者服务 URL。
      3. 返回到 Azure Active Directory。
    3. 指定以下设置。
      标识
      IBM Verify指定 SAML EntityID 的。
      回复 URL
      IBM Verify指定断言消费者服务 URL。
      例如,
      该图显示了“标识符”和“回复” URL 字段。
    4. “用户属性 ”部分,从 “用户标识符 ”菜单中选择要作为 SAML 主题发送的属性。
      例如,选择 user.userprincipalname
      该图显示了“用户标识符”字段。
    5. 选中 “查看和编辑所有其他用户属性 ”复选框,即可查看或编辑在 SAML 令牌中向应用程序颁发的声明。
      该图片列出了 SAML 令牌的属性。
    6. 选择“创建新证书”。
      该图片展示了“管理证书”选项,其中“创建新证书”已被高亮显示。
    7. 单击 “保存” > “确定” 以创建新证书。
      该图片展示了“管理证书”选项,其中“创建新证书”已被高亮显示。
    8. 选中 “将新证书设为活动 ”复选框。
    9. 在“ SAML 签名证书 ”部分的 “下载 ”列中,点击 “元数据XML ”,以下载需在服务提供商端导入的身份提供商元数据(Verify)。
      该图片展示了“管理证书”选项,其中“元数据 XML”已被高亮显示。
    10. 选中 “显示高级证书签名设置 ”复选框,并指定以下设置。
      签名选项
      从下拉列表中选择符合需求的选项。
      签名算法
      从下拉列表中选择 SHA-256SHA1
      该图片展示了证书管理选项。
    11. 可选: 修改“通知电子邮件”的值。
    12. 点击 “保存”