跳至主内容

配置 GravityZone 与Azure AD的云单点登录

GravityZone 云服务支持与采用SAML 2.0认证标准的各类身份提供商(IdP)实现单点登录(SSO)。

本文描述如何配置 GravityZone 云服务与微软Azure Active Directory(Azure AD)的单点登录。关于配置其他身份提供商的通用信息,请参阅 通过第三方身份提供商配置单点登录 .

配置与Azure AD的单点登录涉及多个小步骤,主要在Azure门户中操作,请仔细按照以下流程执行。

先决条件与要求

  • 您需拥有已激活Azure AD Premium许可证的Microsoft Azure账户,并具备全局管理员或共同管理员角色。

  • 您拥有一个 GravityZone 云管理员账户,用于管理用户、本公司及其他公司。

  • GravityZone 用户的Azure AD账户需使用相同电子邮箱地址。

重要提示

  • 作为 GravityZone 管理员,您可为本公司及下属公司用户配置单点登录。出于安全原因,您无法为自己的 GravityZone 账户启用SSO功能。

  • 用户必须隶属于已启用SSO的公司。SSO激活期间,用户无法使用 GravityZone 凭据登录。

  • 电子邮箱地址在 GravityZone SSO中区分大小写。因此username[at]company.domain与UserName[at]company.domain及USERNAME[at]company.domain被视为不同地址。若 GravityZone 中的邮箱地址与身份提供商不匹配,用户尝试登录 控制中心 .

配置Azure AD

要实现Azure Active Directory单点登录,需配置非库应用程序。关于在Azure中为基于SAML的非库应用配置SSO的通用信息,亦可参考微软 知识库文章 .

以下是创建并配置非库Azure应用的步骤:

设置您的应用程序

  1. 登录Azure门户: https://portal.azure.com .

  2. 在左侧菜单中,转到 Azure Active Directory .

    gz_azure_ad_access_c_292944_en.png

  3. 在新出现的左侧菜单中,点击 企业应用程序 .

    gz_azure_ad_enterprise_applications_c_292944_en.png

  4. 在页面顶部,点击 + 新建应用程序 .

    gz_azure_ad_new_application_c_292944_en.png

  5. 浏览Azure AD库 部分,点击 创建您自己的应用程序 .

    gz_azure_ad_browse_gallery_c_292944_en.png

  6. 创建您自己的应用程序 部分,输入相关名称(例如 GravityZone SSO),选择 集成库中未找到的其他任何应用程序(非库应用) ,然后点击 创建 .

    gz_azure_ad_create_your_own_application_c_292944_en.png

  7. 用户和组 部分,点击 + 添加用户/组 用户,用于将用户或用户组分配到此应用程序。

    gz_azure_ad_add_user_group_c_292944_en.png

  8. 添加分配 页面中,转到 用户和组 并点击 未选择 .

    gz_azure_ad_add_assignment_c_292944_en.png

  9. 在右侧面板中,选择要分配给应用程序的用户并点击 选择 .

  10. 返回 添加分配 页面,点击 分配 以确认附加到应用程序的用户。

    gz_azure_ad_assignment_done_c_292944_en.png

  11. 接下来,在 单点登录 部分,点击 SAML .

    gz_azure_ad_sso_SAML_c_292944_en.png

  12. 使用SAML设置单点登录 页面中,完成以下部分:

    • 基本SAML配置

    • 用户属性与声明

    • SAML签名证书

    • 设置应用程序

    这些部分的选项如下详述。

    gz_azure_ad_SAML_based_sign_on_c_292944_en.png

基本SAML配置

  1. 点击铅笔图标进行编辑。

  2. 配置以下字段:

    • 标识符(实体ID) 输入 https://gravityzone.bitdefender.com/sp

    • 回复URL(断言消费者服务URL) 输入 https://gravityzone.bitdefender.com/sp/login

    • 登录URL 输入 https://gravityzone.bitdefender.com/sp/login

    • 中继状态 跳过。此参数用于指定认证完成后应用将用户重定向至何处。

    • 注销URL 输入 https://gravityzone.bitdefender.com/sp/logout

  3. 点击 保存 .

    gz_azure_ad_basic_SAML_configuration_c_292944_en.png

返回设置页面。

用户属性与声明

  1. 点击铅笔图标进行编辑。

  2. 在新页面中,点击 + 添加新声明 选项。

  3. 配置以下字段:

    • 名称 输入用户名。

    • 来源 。选择 属性 .

    • 源属性 。从下拉菜单中选择user.mail。

  4. 点击 保存 .

    gz_azure_ad_manage_claim_c_292944_en.png

返回设置页面。

SAML签名证书

  1. 点击铅笔图标进行编辑。

  2. 在配置页面中,输入用于证书到期提醒的电子邮件地址。

  3. 点击 保存 .

    gz_azure_ad_SAML_Signing_Certificate_c_292944_en.png

返回设置页面。

SAML签名证书部分还显示应用程序联合元数据URL。 这是身份提供者元数据URL,您需要在 GravityZone 控制中心 为您的公司或您管理的公司配置单点登录时添加此URL。点击 复制到剪贴板 按钮复制URL并粘贴到方便的位置,或保持此窗口在浏览器中打开。

gz_azure_ad_app_federation_metadata_url_c_292944_en.png

设置应用程序

点击 测试 按钮以测试 GravityZone SSO的单点登录配置。

gz_azure_ad_test_sso_c_292944_en.png
gz_azure_ad_test_single_signon_c_292944_en.png

GravityZone

在Azure中配置完应用程序后,请前往 GravityZone 控制中心 为企业及用户启用SSO。对于未启用SSO的企业下属用户,您无法为其启用单点登录功能。

为您的企业启用SSO

按以下步骤为企业启用SSO:

  1. 控制中心 右上角点击 control_center_user_menu_icon.png 用户图标并选择 我的企业 .

  2. 认证 标签页的 使用SAML的单点登录 栏目下,在对应字段输入身份提供者元数据URL。另一个用于 GravityZone 元数据URL的字段不可编辑。

    若已保存该URL,请在此处粘贴;若未保存,请前往 Azure门户 > Azure Active Directory > 企业应用程序 > [您的应用程序] > 设置单点登录 。应用联合元数据URL位于 SAML签名证书 章节。点击 复制到剪贴板 按钮复制URL并粘贴至 GravityZone .

  3. 点击 保存 .

    gz_enable_sso_own_company_c_292944_en.png

为托管公司启用单点登录

按以下步骤为您管理的公司启用单点登录:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 公司 页面。

  3. 在表格中点击公司名称。

  4. 使用SAML配置单点登录 部分,将身份提供者元数据URL填入对应字段。另一个 GravityZone 元数据URL字段不可编辑。

    若已保存该URL,请在此处粘贴。若未保存,请前往 Azure门户 > Azure Active Directory > 企业应用 > [您的应用] > 设置单点登录 。应用联合元数据URL位于 SAML签名证书 部分。点击 复制到剪贴板 按钮复制URL并粘贴至 GravityZone .

  5. 点击 保存 .

    gz_enable_sso_for_managed_comp_c_292944_en.png

更改用户认证方式

为公司启用SSO后, GravityZone 该公司的用户账户即可更改其认证方式。

您可以按以下步骤逐一更改用户的认证方式:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 账户 页面。

  3. 在表格中点击用户名。

  4. 登录安全 下,前往 认证方式 并选择 使用身份提供商登录 .

  5. 点击 保存 .

    gz_authentication_method_c_292944_en.png

    您可以为任意数量的 GravityZone 用户启用SSO,但无法为自身管理员账户启用。

    注意

    若某个 GravityZone 用户账户的配置页面未显示 设置与权限 部分,则可能该公司未启用SSO功能。

测试 GravityZone 单点登录

完成身份提供商与 GravityZone 的配置后,可按以下步骤测试单点登录:

  1. GravityZone .

  2. 从Azure注销。

  3. 访问 https://gravityzone.bitdefender.com/ .

  4. 输入专为测试创建的有效邮箱地址(非您的 GravityZone 管理员账户邮箱)。

  5. 点击 下一步 .

    系统应跳转至身份提供商认证页面。

  6. 通过身份提供商完成认证。

    您将被重定向回 GravityZone ,片刻后将自动登录至 控制中心 .

禁用 GravityZone 单点登录

若要为您所在公司或您管理的公司禁用单点登录:

  1. 从该公司的配置页面删除身份提供者元数据URL。

  2. 点击 保存 并确认操作。

用户可通过点击 重置密码 选项(位于 控制中心 登录页面)并按照说明获取新密码。

若要重新启用 GravityZone 单点登录功能,请在该公司配置页面重新输入身份提供者信息并点击 保存 .

重新启用单点登录后,该公司用户仍将使用 控制中心 GravityZone 凭据登录。您需逐个手动配置每个账户,才能再次通过身份提供者登录。

本节内容 :