若要在 Microsoft Azure Active Directory (AzureAD) 中設定單一登入 (SSO) 的 OpenID Connect (OIDC) 型應用程式,請執行下列步驟。

必要條件

請確定您有 AzureAD 帳戶可進行登入。

程序

  1. 以管理員使用者身分登入您的 Microsoft Azure 帳戶。
    Microsoft Azure 主畫面隨即出現。
  2. 若要建立新的應用程式:
    1. 搜尋並選取 Azure Active Directory 服務。
    2. 移至應用程式登錄 (App registration) > 新增登錄 (New registration)
      登錄應用程式 (Register an application) 畫面隨即出現。
    3. 名稱 (Name) 欄位中,輸入 SASE Orchestrator 應用程式的名稱。
    4. 重新導向 URL (Redirect URL) 欄位中,輸入 SASE Orchestrator 應用程式作為回撥端點的重新導向 URL。
      SASE Orchestrator 應用程式的 設定驗證 (Configure Authentication) 畫面底部,您可以找到重新導向 URL 連結。理想情況下, SASE Orchestrator 重新導向 URL 將會採用下列格式:https://<Orchestrator URL>/login/ssologin/openidCallback。
    5. 按一下登錄 (Register)
      您的 SASE Orchestrator 應用程式將登錄並顯示在 所有應用程式 (All applications)擁有的應用程式 (Owned applications) 索引標籤中。請務必記下在 SASE Orchestrator 中 SSO 設定期間所要使用的用戶端識別碼/應用程式識別碼。
    6. 按一下端點 (Endpoints),然後複製在 SASE Orchestrator 中 SSO 設定期間所要使用的已知 OIDC 組態 URL。
    7. 若要為 SASE Orchestrator 應用程式建立用戶端密碼,請在擁有的應用程式 (Owned Applications) 索引標籤上,按一下您的 SASE Orchestrator 應用程式。
    8. 移至憑證和密碼 (Certificates & secrets) > 新增用戶端密碼 (New client secret)
      新增用戶端密碼 (Add a client secret) 畫面隨即出現。
    9. 提供密碼的說明和到期值等詳細資料,然後按一下新增 (Add)
      系統會為應用程式建立用戶端密碼。請記下在 SASE Orchestrator 中 SSO 設定期間所要使用的新用戶端密碼值。
    10. 若要設定 SASE Orchestrator 應用程式的權限,請按一下您的 SASE Orchestrator 應用程式,然後移至 API 權限 (API permissions) > 新增權限 (Add a permission)
      要求 API 權限 (Request API permissions) 畫面隨即出現。
    11. 按一下 Microsoft Graph,然後選取應用程式權限 (Application permissions) 作為應用程式的權限類型。
    12. 選取權限 (Select permissions) 下,從目錄 (Directory) 下拉式功能表中選取 Directory.Read.All,然後從使用者 (User) 下拉式功能表中選取 User.Read.All
    13. 按一下新增權限 (Add permissions)
    14. 若要在資訊清單中新增和儲存角色,請按一下 SASE Orchestrator 應用程式,然後在應用程式的概觀 (Overview) 畫面中,按一下資訊清單 (Manifest)
      此時會開啟以 Web 為基礎的資訊清單編輯器,可讓您在入口網站內編輯資訊清單。您可以選擇性地選取 下載 (Download) 以在本機編輯資訊清單,然後使用 上傳 (Upload) 將其重新套用至應用程式。
    15. 在資訊清單中搜尋 appRoles 陣列,並新增一或多個角色物件 (如下列範例所示),然後按一下儲存 (Save)
      備註: 必須將 appRoles 中的值內容新增到 角色對應 (Role Map) 資料表的 身分識別提供者角色名稱 (Identity Provider Role Name) 資料行 (位於 驗證 (Authentication) 索引標籤中),才能正確對應角色。
      範例角色物件
      {
                  "allowedMemberTypes": [
                      "User"
                  ],
                  "description": "Standard Administrator who will have sufficient privilege to manage resource",
                  "displayName": "Standard Admin",
                  "id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1",
                  "isEnabled": true,
                  "lang": null,
                  "origin": "Application",
                  "value": "standard"
              },
              {
                  "allowedMemberTypes": [
                      "User"
                  ],
                  "description": "Super Admin who will have the full privilege on SASE Orchestrator",
                  "displayName": "Super Admin",
                  "id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75",
                  "isEnabled": true,
                  "lang": null,
                  "origin": "Application",
                  "value": "superuser"
              } 
      
      備註: 請確定已將 id 設為新產生的全域唯一識別碼 (Global Unique Identifier, GUID) 值。您可以使用 Web 型工具 (例如, https://www.guidgen.com/) 或執行以下命令,在線上產生 GUID:
      • Linux/OSX - uuidgen
      • Windows - powershell [guid]::NewGuid()
      角色在 SASE Orchestrator 中手動設定,且必須與 Microsoft Azure 入口網站中設定的角色相符。
  3. 若要將群組和使用者指派給 SASE Orchestrator 應用程式:
    1. 移至 Azure Active Directory > 企業應用程式 (Enterprise applications)
    2. 搜尋並選取您的 SASE Orchestrator 應用程式。
    3. 按一下使用者和群組 (Users and groups),然後將使用者和群組指派給應用程式。
    4. 按一下提交 (Submit)

結果

您已完成在 AzureAD 中設定以 OIDC 為基礎的應用程式以進行 SSO 的作業。

下一步

SASE Orchestrator 中設定單一登入。