应用场景
Microsoft Entra ID 是 Microsoft 推出的基于云的标识和访问管理服务,可帮助员工管理内外部资源。e签宝支持基于 SAML 2.0(安全断言标记语言 2.0)的联合身份验证,SAML 2.0 是许多身份验证提供商(Identity Provider, IdP)使用的一种开放标准。您可以通过基于 SAML 2.0 联合身份验证将Microsoft Entra ID 与e签宝进行集成,从而实现Microsoft Entra ID 账户自动登录(单一登录)e签宝,不必为企业或组织中的每一个成员都创建一个 CAM 子用户。
使用步骤
①创建Microsoft Entra ID 应用——②配置CAM——③配置Azure AD用户——④配置并启用SSO连接器——⑤验收效果
一、创建 Microsoft Entra ID 应用
您可以通过本步骤创建 Microsoft Entra ID 企业应用程序,如您已经有正在使用的应用程序,可忽略本操作,直接进入第二步配置 CAM。
1、登录azure官网
- 使用在租户中具有足够权限的帐户登录到Azure门户,点击右上角的【登录】
Azure官网地址:https://azure.microsoft.com/zh-cn/?OCID=cmmyhidqdn5_brandzone__EFID__
- 如果没有账号,跟着操作步骤注册账号
- 如果已有账号,直接登录你的账号
2、新建目录
登录后,点击右上角【新建目录】,在小窗口里点击【切换目录】
3、进入Microsoft Entra ID
- 右上角点击菜单按钮,进入【Microsoft Entra ID】或在“Azure服务” 下搜索进入
4、新建应用
- 左侧菜单栏点击【企业应用程序】
- 左侧菜单栏点击【所有应用程序-新建应用程序】
- 顶部菜单栏点击【创建你自己的应用程序】
- 选择【集成未在库中找到的任何其他应用程序(非库) 】并创建
5、创建成功
二、配置 用户
您可以通过本步骤分配用户访问权限,向 Microsoft Entra ID 用户分配Esign的 SSO 访问权限。
如您原先已经分配则忽略此步骤。
1、点击【分配用户和组】卡片
2、点击【添加用户组】
3、点击【未选择任何项】添加用户
三、设置单一登录
您可以通过本步骤配置 Azure AD 和Esign之间的信任关系使之相互信任。
1、左侧导航栏,点击【单一登录】,并选择SAML
2、设置 SAML 单一登录
- 标识符(实体 ID):https://tapi.esign.cn
- 回复 URL (断言使用者服务 URL):前往e签宝企业控制台-集成中心-单点登录(SSO)配置,第二步复制【SSO回调地址】,详细步骤请见 SaaS单点登录SSO配置
Tips:普通员工默认没有集成中心-单点登录SSO的访问权限,需要企业管理员在"企业控制台-组织管理-角色权限"中给员工开通集成中心相应权限
- "登录URL":前往e签宝企业控制台-集成中心-SSO配置中【企业域名】获取,例testss.sso.esign.cn
Tips:非必须,用于在微软应用商店内通过SSO登录e签宝
3、下载XML文件
在 “SAML 单一登录”的预览页面,下载SAML签名证书中的联合元数据 XML文件。如下图所示:
4、上传XML文件,完成SSO配置
前往e签宝企业控制台-集成中心-单点登录(SSO)配置,将第三步下载得到的XML文件,上传到第三步中
5、启用SSO
四、管理企业单点登录(SSO)
前往e签宝企业控制台-集成中心-单点登录(SSO)管理,在此可以管理你的主企业和所有关联企业(若有)的SSO登录使用域名,支持对单个企业或多个企业进行管理,设置该企业使用哪个企业域名登录。
详细介绍请见:SaaS单点登录SSO管理
五、验证SSO
打开e签宝官网-选择SSO登录-输入企业域名,点击登录,将唤起微软Azure验证