跳至主内容

配置 GravityZone 基于Azure AD的云单点登录

GravityZone GravityZone Cloud支持与采用SAML 2.0认证标准的各类身份提供商(IdP)实现单点登录(SSO)。

本文档描述如何配置 GravityZone Cloud与微软Azure Active Directory(Azure AD)的单点登录。如需配置其他身份提供商的通用信息,请参阅 使用第三方身份提供商配置单点登录 .

配置Azure AD单点登录涉及多个小步骤,主要在Azure门户中操作,请仔细遵循下述流程。

前提条件与要求

  • 您需拥有已激活Azure AD Premium许可证的微软Azure账户,并具备全局管理员或协同管理员角色权限。

  • 您需拥有 GravityZone Cloud管理员账户以管理用户、本公司及下属公司。

  • GravityZone 用户的Azure AD账户需使用相同邮箱地址。

重要提示

  • 作为 GravityZone 管理员,您可为本公司及下属公司用户配置单点登录。基于安全原因,您无法为自身 GravityZone 账户启用SSO功能。

  • 用户必须隶属于已启用SSO的公司。SSO激活期间,用户无法使用 GravityZone 凭据登录。

  • 邮箱地址在 GravityZone SSO中区分大小写。因此username[at]company.domain与UserName[at]company.domain及USERNAME[at]company.domain被视为不同账户。若 GravityZone 中的邮箱地址与身份提供商记录不匹配,用户尝试登录 控制中心 .

配置Azure AD

要实现与Azure Active Directory的单点登录,您需要配置一个非库应用程序。关于在Azure中为基于SAML的非库应用程序配置单点登录的通用信息,您也可以参考这篇Microsoft 知识库文章 .

以下是创建和配置非库Azure应用程序的步骤:

设置您的应用程序

  1. 登录Azure门户: https://portal.azure.com .

  2. 在左侧菜单中,进入 Azure Active Directory .

    gz_azure_ad_access_c_292944_en.png

  3. 在新的左侧菜单中,点击 企业应用程序 .

    gz_azure_ad_enterprise_applications_c_292944_en.png

  4. 在页面顶部,点击 + 新建应用程序 .

    gz_azure_ad_new_application_c_292944_en.png

  5. 浏览Azure AD库 部分,点击 创建自己的应用程序 .

    gz_azure_ad_browse_gallery_c_292944_en.png

  6. 创建自己的应用程序 部分,输入相关名称(例如 GravityZone SSO),选择 集成库中未找到的其他任何应用程序(非库) ,然后点击 创建 .

    gz_azure_ad_create_your_own_application_c_292944_en.png

  7. 用户和组 部分,点击 + 添加用户/组 以将用户或用户组分配到此应用程序。

    gz_azure_ad_add_user_group_c_292944_en.png

  8. 添加分配 页面,转到 用户和组 并点击 未选择 .

    gz_azure_ad_add_assignment_c_292944_en.png

  9. 在右侧面板中,选择要分配给应用程序的用户并点击 选择 .

  10. 返回 添加分配 页面,点击 分配 以确认附加到应用程序的用户。

    gz_azure_ad_assignment_done_c_292944_en.png

  11. 接下来,在 单点登录 部分,点击 SAML .

    gz_azure_ad_sso_SAML_c_292944_en.png

  12. 使用SAML设置单点登录 页面,完成以下部分:

    • 基本SAML配置

    • 用户属性与声明

    • SAML签名证书

    • 设置应用程序

    以下详细说明这些部分的选项。

    gz_azure_ad_SAML_based_sign_on_c_292944_en.png

基本SAML配置

  1. 点击铅笔图标进行编辑。

  2. 配置以下字段:

    • 标识符(实体ID) 。输入 https://gravityzone.bitdefender.com/sp

    • 回复URL(断言消费者服务URL) 。输入 https://gravityzone.bitdefender.com/sp/login

    • 登录URL 。输入 https://gravityzone.bitdefender.com/sp/login

    • 中继状态 。跳过。此参数用于指定认证完成后应用程序将用户重定向至何处。

    • 注销URL 。输入 https://gravityzone.bitdefender.com/sp/logout

  3. 点击 保存 .

    gz_azure_ad_basic_SAML_configuration_c_292944_en.png

返回设置页面。

用户属性与声明

  1. 点击铅笔图标进行编辑。

  2. 在新页面中,点击 + 添加新声明 选项。

  3. 配置以下字段:

    • 名称 。输入用户名。

    • 来源 。选择 属性 .

    • 来源属性 。从下拉菜单中选择user.mail。

  4. 点击 保存 .

    gz_azure_ad_manage_claim_c_292944_en.png

返回设置页面。

SAML签名证书

  1. 点击铅笔图标进行编辑。

  2. 在配置页面中,输入用于证书到期提醒的电子邮件地址。

  3. 点击 保存 .

    gz_azure_ad_SAML_Signing_Certificate_c_292944_en.png

返回设置页面。

SAML签名证书部分还显示应用程序联盟元数据URL。 这是身份提供商元数据URL,在为公司或您管理的公司配置单点登录时,您需要将其添加到 GravityZone 控制中心 中。点击 复制到剪贴板 按钮复制URL并粘贴到方便的位置,或将此窗口保持打开状态。

gz_azure_ad_app_federation_metadata_url_c_292944_en.png

设置应用程序

点击 测试 测试单点登录配置的按钮,用于 GravityZone SSO。

gz_azure_ad_test_sso_c_292944_en.png
gz_azure_ad_test_single_signon_c_292944_en.png

GravityZone

启用SSO 配置完Azure中的应用程序后,进入 GravityZone 控制中心以为公司和用户启用SSO。对于未启用SSO的公司旗下的用户,无法启用单点登录。

为您的公司启用SSO

以下是在您的公司启用SSO的步骤:

  1. 控制中心 右上角,点击 control_center_user_menu_icon.png 用户图标,然后选择 我的公司 .

  2. 身份验证 选项卡中,在 使用SAML的单点登录 下,输入身份提供者元数据URL到相应字段。另一个为 GravityZone 元数据URL保留的字段不可编辑。

    如果您已经保存了该URL,请复制到这里。如果没有,请进入 Azure门户 > Azure Active Directory > 企业应用 > [您的应用] > 设置单点登录 。应用程序联合元数据URL位于 SAML签名证书 部分。点击 复制到剪贴板 按钮以复制URL并粘贴到 GravityZone .

  3. 点击 保存 .

    gz_enable_sso_own_company_c_292944_en.png

更改用户的身份验证方法

为公司启用SSO后, GravityZone 中该公司的用户账户即可更改其身份验证方法。

您可以按以下步骤逐一更改用户的身份验证方法:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 账户 页面。

  3. 在表格中点击用户名。

  4. 登录安全 下,前往 身份验证方法 并选择 使用您的身份提供商登录 .

  5. 点击 保存 .

    gz_authentication_method_c_292944_en.png

    您可以为任意数量的 GravityZone 用户启用SSO,但不能为您自己的管理员账户启用。

    注意

    如果某个 GravityZone 用户账户的配置页面未显示 设置与权限 部分,则可能该公司未启用SSO功能。

测试 GravityZone SSO

完成身份提供商和 GravityZone 的配置后,可按以下步骤测试单点登录:

  1. GravityZone .

  2. 从Azure注销。

  3. 访问 https://gravityzone.bitdefender.com/ .

  4. 输入为测试创建的有效电子邮件地址(非您的 GravityZone 管理员账户邮箱)。

  5. 点击 下一步 .

    您将被重定向至身份提供商的身份验证页面。

  6. 通过您的身份提供商进行认证。

    您将被重定向回 GravityZone ,片刻之后,您应会自动登录到 控制中心 .

禁用 GravityZone 单点登录

若要为您的公司或您管理的公司禁用单点登录:

  1. 从该公司配置页面删除身份提供商的元数据URL。

  2. 点击 保存 并确认操作。

用户可通过点击 重置密码 选项(位于 控制中心 登录页面)并按照说明获取新密码。

若要重新启用 GravityZone 单点登录功能,请在该公司配置页面再次输入身份提供商信息并点击 保存 .

重新启用单点登录后,该公司下的用户将继续使用 控制中心 GravityZone 凭据登录。您需逐一手动配置每个账户,才能再次通过身份提供商登录。

本节内容 :