共用方式為

Microsoft Entra SSO 與 Reach 360 整合方案

  • 發行項

在本文中,您將瞭解如何整合 Reach 360 與 Microsoft Entra ID。 在整合 Reach 360 與 Microsoft Entra ID 時,您可以:

  • 在 Microsoft Entra 識別碼中控制可存取 Reach 360 的人員。
  • 讓使用者使用其Microsoft Entra 帳戶自動登入 Reach 360。
  • 在一個中央位置管理您的帳戶。

先決條件

本文中所述的案例假設您已經具備下列必要條件:

  • 取得啟用單一登入(SSO)功能的 360 訂閱。

案例描述

在本文中,您會在測試環境中設定及測試 Microsoft Entra SSO。

  • Reach 360 同時支援 SP 和 IDP 所啟動的 SSO。
  • Reach 360 支援 Just In Time 使用者布建。

若要設定將 Reach 360 整合到 Microsoft Entra 識別碼中,您需要從資源庫將 Reach 360 新增到受控 SaaS 應用程式清單。

  1. 以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽到 Identity>應用程式>企業應用程式>新增應用程式
  3. 在 [從資源庫新增 ] 區段的 [] 區段中,於搜尋方塊中輸入 Reach 360
  4. 從結果面板選取 [Reach 360],然後新增應用程式。 將應用程式新增至您的租戶時,請稍等幾秒鐘。

或者,您也可以使用 企業應用程式設定精靈。 在此精靈中,您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式、指派角色,以及逐步解說 SSO 設定。 深入瞭解Microsoft 365 精靈。

設定並測試 Microsoft Entra 為 Reach 360 的單一登入 (SSO)

名為 B.Simon的測試用戶,設定及測試與 Reach 360 搭配運作的 Entra SSO Microsoft。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Reach 360 中相關使用者之間的連結關聯性。

若要設定及測試與 Reach 360 搭配運作的 Entra SSO Microsoft,請執行下列步驟:

  1. 設定 Microsoft Entra SSO - 讓用戶能夠使用此功能。
    1. 建立 Microsoft Entra 測試使用者 - 使用 B.Simon 測試 Microsoft Entra 單一登入。
    2. 指派Microsoft Entra 測試使用者 - 讓 B.Simon 能夠使用 Microsoft Entra 單一登錄。
  2. 設定 Reach 360 SSO - 在應用程式端設定單一登入設定。
    1. 創建 Reach 360 測試使用者 - 以便在 Reach 360 中擁有一個與 B.Simon 對應的使用者,並與 Microsoft Entra 的使用者表示方式連結。
  3. 測試 SSO - 確認組態是否正常運作。

設定 Microsoft Entra SSO

請遵循下列步驟,在 Microsoft Entra 系統管理中心啟用 Microsoft Entra SSO。

  1. 以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 身份>應用程式>企業應用程式,>Reach 360>單一登入

  3. 在 [選取單一登錄方法 頁面上,選取 [saml ]。

  4. 設定單一登錄的 SAML 頁面中,點擊 基本 SAML 組態 的鉛筆圖示以編輯設定。

    螢幕快照顯示如何編輯基本 SAML 組態。

  5. 在 [基本 SAML 組態] 區段上,執行下列步驟:

    一個。 在 [標識符] 文字框中,使用下列模式輸入 URL: https://reach360.com/sso/saml2/<ID>

    b. 在 [回應 URL] 文字框中,輸入 URL:https://reach360.com/sso/saml2

  6. 如果您想要以 SP 起始模式設定應用程式,請執行下列步驟:

    在 [登入 URL] 文字框中,使用下列模式輸入 URL: https://<Customer_TenantName>.reach360.com/

    注意

    這些值不是真實的。 使用實際的標識碼和登入 URL 來更新這些值。 請連絡 Reach 360 支援小組 以取得這些值。 您也可以參閱 Microsoft Entra 系統管理中心 基本 SAML 組態 一節中顯示的模式。

  7. Reach 360 應用程式需要特定格式的 SAML 判斷提示,因此您必須將自定義屬性對應新增至 SAML 令牌屬性組態。 下列螢幕快照顯示此範例。 唯一使用者標識符 的預設值是 user.userprincipalname,但 Reach 360 預期這會與使用者的 objectid 對應。 因此,您可以從清單中使用 user.objectid 屬性,或使用適當的屬性值,並根據您的組織設定將 名稱標識符格式 更新為 永久,然後按一下 儲存

    螢幕快照顯示屬性設定的圖片。

  8. 除了上述屬性外,Reach 360 應用程式還需要在 SAML 回應中多傳回幾個屬性,如下所示。 這些屬性也會預先填入,但您可以根據您的需求檢閱這些屬性。

    名字 來源屬性
    名字 用戶.名字
    lastName 用戶.姓氏
    群組 使用者群組
    電子郵件 使用者.郵件

  9. 在 [設定使用 SAML 單一登錄] 頁面上的 [SAML 簽署憑證] 區段中,尋找 [憑證 [Base64],然後 選取 [下載],以下載憑證並將其儲存在您的計算機上。

    螢幕快照顯示 [憑證下載] 連結。

  10. 設定 Reach 360 區段上,根據您的需求複製適當的 URL。

    顯示複製組態 URL 的螢幕快照。

建立 Microsoft Entra 測試用戶

在本節中,您將在名為 B.Simon 的 Microsoft Entra 系統管理中心建立測試使用者。

  1. 請以至少作為使用者系統管理員身分,登入 Microsoft Entra 系統管理中心
  2. 流覽至 身分識別>使用者>所有使用者
  3. 選取畫面頂端的 新增使用者>建立新使用者
  4. User 屬性中,遵循下列步驟:
    1. 在 [顯示名稱] 欄位中,輸入 B.Simon
    2. 在 [使用者主體名稱] 欄位中,輸入 username@companydomain.extension。 例如,B.Simon@contoso.com
    3. 選取 [顯示密碼] 複選框,然後記下 [密碼] 方塊中顯示的值。
    4. 選取 檢閱 + 建立
  5. 選擇 建立

指派 Microsoft Entra 測試使用者

在本節中,您會將 Reach 360 的存取權授與 B.Simon,讓其能夠使用 Microsoft Entra 單一登錄。

  1. 以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 身分識別>應用程式>企業應用程式>Reach 360
  3. 在應用程式的 [概觀] 頁面中,選取 [[使用者和群組]
  4. 選取 新增使用者/群組,然後在 新增指派 對話框中選取 使用者和群組
    1. 在 [使用者和群組] 對話框中,從 [使用者] 列表中選取 [B.Simon],然後按兩下畫面底部的 [選取 ] 按鈕
    2. 如果您預期將角色指派給使用者,您可以從 選取角色 下拉式清單中加以選取。 如果未為此應用程式設定任何角色,您會看到已選取 [預設存取] 角色。
    3. 在 [新增指派] 對話框中,按兩下 [指派] 按鈕。

設定 Reach 360 SSO

  1. 以系統管理員身分登入 Reach 360 公司網站。

  2. 移至 管理>設定>SSO

  3. 在 [SSO] 區段中,執行下列步驟。

    螢幕快照顯示組態。

    1. 在 [Idp SSO URL] 字段中,貼上您從 Microsoft Entra 系統管理中心複製 登入 URL

    2. 在 [Idp 簽發者 URI] 字段中,貼上您從 Microsoft Entra 系統管理中心複製的 Microsoft Entra 標識符

    3. 開啟下載的 憑證 (Base64) 記事本,並將內容貼到 [IDP SIGNATURE CERTIFICATE] 文本框中。

    4. 儲存 SSO 設定後,從您的 Microsoft Entra 系統管理中心中的 Reach 360 租用戶複製 受眾 URI 值,然後將其貼入 [基本 SAML 組態] 區段的 [標識符] 文本框中。

    5. 點選 儲存

建立 Reach 360 測試使用者

本節會在 Reach 360 中建立名為 Britta Simon 的使用者。 Reach 360 支援即時啟用的使用者布建功能,並預設啟用。 本節中沒有行動項目。 如果 Reach 360 中還沒有任何使用者存在,在驗證之後就會建立新的使用者。

測試 SSO

在本節中,您會使用下列選項來測試Microsoft Entra 單一登錄設定。

SP 發起:

  • 按一下 在 Microsoft Entra 系統管理中心測試此應用程式。 這會重新導向至您可以在其中起始登入流程的 Reach 360 登入 URL。

  • 直接移至 Reach 360 登入 URL,然後從該處起始登入流程。

IDP 啟動:

  • 按兩下 [在 Microsoft Entra 系統管理中心測試此應用程式,您應該會自動登入您已設定 SSO 的 Reach 360。

您也可以使用Microsoft我的應用程式,在任何模式中測試應用程式。 當您在 My Apps 中按兩下 [觸達 360] 圖格時,如果是在 SP 模式中設定,您會重新導向至應用程式登入頁面來起始登入流程,如果在 IDP 模式中設定,則應該會自動登入您已設定 SSO 的 Reach 360。 如需 My Apps 的詳細資訊,請參閱 My Apps簡介。

相關內容

設定 Reach 360 後,您可以強制執行會話控件,以即時防止組織的敏感數據遭到外泄和滲透。 會話控制從條件式存取控制延伸。 瞭解如何使用適用於 Cloud Apps 的 Microsoft Defender強制執行會話控制。