使用Azure AD(仅身份验证)
要继续,您需要同时访问Interact的应用程序设置和Azure Active Directory门户。
首先,我们将把您的交互实例注册为Azure中的应用程序。
配置Azure
1.注册一个新应用
在Azure门户中:选择Azure活动目录从左边的菜单。下一个选择应用程序注册而且新的注册从后续子菜单。
从这里,您将看到一个名为注册应用程序。
为应用程序注册提供一个名称,将支持的帐户类型设置为仅限组织目录并填写重定向URI:https:// {Your-Intranet-Domain} /互动/登录/ default . aspx
点击注册继续。
2.添加权限
接下来,选择API的权限从侧边菜单,然后添加权限
你会得到一个请求API权限窗格。从微软的api选项卡选择微软图.
选择委托权限.从暴露的选项展开目录并选择Directory.Read.All,目录中。读WriteAll而且DirectoryAcessAsUser。所有.也扩大用户并选择用户。读
接下来,选择应用程序权限.扩大目录并选择Directory.Read.All
在窗口底部单击添加权限关闭。
3.授予的权限
现在,您将看到所选权限的列表。单击授予行政许可按钮应用这些选项。
点击是的确认
4.获得EntityID
接下来,登录到您的Interact内部网并导航到>控制面板>管理安全>管理SAML认证.
如果您的域目前没有设置单击设置域,否则跳过2步。
在下一页单击保存
单击编辑按钮表示您正在处理的域。
在下一页复制的文本EntityId.
切换回Azure Portal。从侧边子菜单点击公开API然后,在主窗格中单击集设置应用程序ID URI
粘贴的EntityId,从交互设置复制到应用程序ID URI中。
点击保存
5.元数据URL
接下来,您需要Azure域名来形成元数据URL。这可以通过单击找到Azure活动目录那就从主菜单开始吧自定义域名从子菜单。您的域名将显示在右边的窗格中。
Azure的元数据URL格式如下:
将{your_domain_name}替换为上一步中获取的域名。
6.在交互中创建一个Idp
切换回您的交互式内部网,并再次导航到>控制面板>管理安全>管理SAML认证.
单击单位供应商按钮
在下一个屏幕上,将在步骤5中创建的元数据URL输入到元数据URL文本框中,然后单击进口如下图所示。
一个新的身份提供程序应该出现在下面的列表中。
点击编辑浏览新创建的IdP
为标识提供程序提供一个名称,并选择是否希望它作为一个按钮显示在内部网的登录屏幕上。您在这里输入的名称将是按钮上显示的名称。
点击保存
这就是它!您现在应该能够使用Azure AD信用证书登录到您的内部网。
如果您想为此提供程序启用无缝SSO(自动登录)。按照下一步操作:
6.自动登录
从管理标识提供程序页面。选择选项设置默认提供程序,然后按回来按钮,位于蓝色的New Identity Provider按钮上方。
选择选项启用自动登录
故障排除
如果您得到下面这个错误,通常是因为您没有正确配置“暴露API”。看看上面的步骤,确保你有http(不是https)和完整的URL{你的URL是)。
AADSTS50011:在请求中指定的回复URL与为应用程序配置的回复URL不匹配:http://{你URL} / saml-sp '
如果您收到下面的错误,通常您没有在交互中的“身份提供程序详细信息”屏幕中正确配置NameID格式。您需要将NameID设置为“电子邮件地址”。
无法找到“email1”值为“fb7e5ae2-e643-4f38-b872-7cc8237a1c40”的用户
如果你总是出错,不知道发生了什么,你可以去Azure应用程序注册中的清单。通常当您查看这里时,错误会变得很明显,因为您在某个字段中遗漏了一些关键信息。
如果您在使用SAML时出现错误,有时这可能是由于在“管理标识提供程序”部分的交互中有多个行造成的。删除额外的行,以便您只处理一个身份提供程序。
交互缓存SAML设置以提高性能,如果您进行更改,您可能需要等待十分钟才能允许缓存刷新。
Azure SAML支持的已知限制
关于Azure SAML设置中的错误和已知问题的更多信息可以在这里找到:
https://docs.microsoft.com/en-us/troubleshoot/azure/active-directory/troubleshoot-adding-apps
更新 27天前