通过

使用 Microsoft Entra ID 配置 Contentstack 进行单一登录

本文介绍如何将 Contentstack 与 Microsoft Entra ID 集成。 将 Contentstack 与 Microsoft Entra ID 集成后,可以:

  • 在 Microsoft Entra ID 中控制哪些用户有权访问 Contentstack。
  • 让用户能够使用其 Microsoft Entra 帐户自动登录到 Contentstack。
  • 在中心位置管理帐户。

先决条件

本文中概述的方案假定你已具备以下先决条件:

  • 已启用 Contentstack 单一登录 (SSO) 的订阅。

方案描述

本文中,您将在测试环境中配置并测试 Microsoft Entra SSO。

  • Contentstack 支持 SP 和 IDP 发起的 SSO
  • Contentstack 支持实时用户预配

若要配置 Contentstack 与 Microsoft Entra ID 的集成,需要从库中将 Contentstack 添加到托管 SaaS 应用程序列表。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 请导航到 Entra ID>企业应用>新应用
  3. 在“从库中添加”部分的搜索框中,键入“Contentstack”
  4. 在结果面板中选择“Contentstack”,然后添加该应用。 在该应用添加到租户时等待几秒钟。

或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户,将用户/组添加到应用,分配角色,并逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。

配置并测试 Contentstack 的 Microsoft Entra SSO

使用名为 B.Simon 的测试用户配置并测试 Contentstack 的 Microsoft Entra SSO。 若要使 SSO 正常工作,需要在 Microsoft Entra 用户与 Contentstack 中的相关用户之间建立关联。

若要配置并测试 Contentstack 的 Microsoft Entra SSO,请执行以下步骤:

  1. 配置 Microsoft Entra SSO - 使用户能够使用此功能。
    1. 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
    2. 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
  2. 配置 Contentstack SSO - 在应用程序端配置单一登录设置
    1. 创建 Contentstack 测试用户 - 在 Contentstack 中创建 B.Simon 的对应用户,该用户链接到该用户的 Microsoft Entra 表示形式。
  3. 测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤在 Microsoft Entra 管理中心启用 Microsoft Entra SSO。

  1. 云应用程序管理员身份登录到 Microsoft Entra 管理中心,并浏览到 Entra ID>Enterprise 应用

  2. 现在,选择 “+ 新建应用程序 ”并搜索 Contentstack,然后选择“ 创建”。 创建后,现在转到 “设置单一登录 ”,或从左侧菜单中选择 “单一登录 ”链接。

    屏幕截图显示了如何创建新应用程序。

  3. 接下来,在“选择单一登录方法”页面上选择“SAML”

    屏幕截图显示了如何选择单一登录方法。

  4. “使用 SAML 设置单一登录 ”页上,选择 基本 SAML 配置的 铅笔图标以编辑设置。

    显示如何编辑基本 SAML 配置的屏幕截图。

  5. 在“基本 SAML 配置”部分,需要执行几个步骤。 若要获取这些步骤所需的信息,首先需要转到 Contentstack 应用程序,并按以下方式创建 SSO 名称和ACS URL

    a。 登录到 Contentstack 帐户,转到“组织设置”页,然后选择“ 单一登录 ”选项卡。

    屏幕截图显示了“基本 SAML 配置”的步骤。

    b. 输入所选的 SSO 名称 ,然后选择“ 创建”。

    屏幕截图显示了如何输入或创建名称。

    注意

    例如,如果公司名为“Acme, Inc.” 请在此处输入“acme”。 登录时,组织用户将此名称用作登录凭据之一。 SSO 名称只能包含字母(小写)、数字 (0-9) 和/或连字符 (-)。

    选项c. 选择 “创建”时,这将生成 断言使用者服务 URL 或 ACS URL,以及其他详细信息,例如 实体 ID属性NameID 格式

    屏幕截图显示了如何生成要配置的值。

  6. 返回“基本 SAML 配置”部分,将上述步骤中生成的“实体 ID”和“ACS URL”分别粘贴到“标识符(实体 ID)”和“回复 URL”部分,并保存条目。

    1. 在“标识符”文本框中,粘贴从 Contentstack 复制的“实体 ID”值。

      屏幕截图显示了如何粘贴标识符值。

    2. 在“回复 URL”文本框中,粘贴 从 Contentstack 复制的 ACS URL

      屏幕截图显示了如何粘贴回复 URL。

  7. 这是可选步骤。 如果要在 SP 发起的模式下配置应用程序,请在“登录 URL”部分输入登录 URL:

    屏幕截图显示了如何粘贴登录 URL。

    注意

    完成 Contentstack SSO 配置后,可以找到 SSO One-Select URL (即登录 URL)。 屏幕截图显示了如何启用访问页面。

  8. Contentstack 应用程序需要特定格式的 SAML 断言,这要求向 SAML 令牌属性配置添加自定义属性映射。 以下屏幕截图显示了默认属性的列表。

    显示属性配置映像的屏幕截图。

  9. 除了上述属性,Contentstack 应用程序还要求在 SAML 响应中传递回更多的属性,如下所示。 这些属性也是预先填充的,但可以根据要求查看它们。 这是可选步骤。

    名称 源属性
    角色 user.assignedroles

    注意

    请点击此处以了解如何在 Microsoft Entra ID 中配置角色。

  10. 在“使用 SAML 设置单一登录”页的“SAML 签名证书”部分中,找到“证书(Base64)”,选择“下载”以下载该证书并将其保存到计算机上 。

    显示证书下载链接的屏幕截图。

  11. 在“设置 Contentstack”部分,根据要求复制相应的 URL

    显示复制配置 URL 的屏幕截图。

创建和分配 Microsoft Entra 测试用户

请遵循创建和分配用户帐户快速指南中的指引,创建一个名为 B.Simon 的测试用户帐户。

配置 Contentstack SSO

  1. 以管理员身份登录到 Contentstack 公司站点。

  2. 转到“组织设置”页,然后选择左侧菜单上的“ 单一登录 ”选项卡。

  3. 在“单一登录”页面中,导航到“SSO 配置”部分,然后执行以下步骤:

    1. 输入所选的有效 SSO 名称 ,然后选择“ 创建”。

      屏幕截图显示配置的设置。

      注意

      例如,如果公司名为“Acme, Inc.” 请在此处输入“acme”。 登录时,组织用户将此名称用作登录凭据之一。 SSO 名称只能包含字母(小写)、数字 (0-9) 和/或连字符 (-)。

    2. 选择 “创建”时,这将生成 断言使用者服务 URL 或 ACS URL,以及 实体 ID属性NameID 格式 等其他详细信息,然后选择“ 下一步”。

      屏幕截图显示了配置值。

  4. 导航到“Idp 配置”选项卡并执行以下步骤:

    屏幕截图显示了标识中的登录值。

    1. 在“单一登录 URL”文本框中,粘贴从 Microsoft Entra 管理中心复制的“登录 URL”

    2. 从 Microsoft Entra 管理中心打开下载的“证书 (Base64)”,并将其上传到“证书”字段。

    3. 选择“下一步”。

  5. 接下来,需要在 Contentstack 中创建角色映射。

    注意

    仅当 IdP 角色映射是 Contentstack 计划的一部分时,才能查看和执行此步骤。

  6. 在 Contentstack SSO 设置页的 “用户管理 ”部分中,你将看到 “严格模式 ”(仅通过 SSO 登录授权组织用户的访问权限)和 “会话超时 ”(为通过 SSO 登录的用户定义会话持续时间)。 在这些选项下方,还会看到 “高级设置” 选项。

    屏幕截图显示了“用户管理”部分。

  7. 选择 “高级设置” 以展开“IdP 角色映射”部分,将 IdP 角色映射到 Contentstack。 这是可选步骤。

  8. “添加角色映射 ”部分中,选择“ + 添加角色映射 ”链接以添加 IdP 角色的映射详细信息,其中包括以下详细信息:

    屏幕截图显示了如何添加映射详细信息。

    1. 在“IdP 角色标识符”中,输入 IdP 组/角色标识符(例如“开发人员”),可以使用清单中的值。

    2. 对于“组织角色”,请为映射的组/角色选择“管理员”或“成员”角色。

    3. 对于“堆栈级权限”(可选),请将堆栈和相应的堆栈级角色分配给此角色。 同样,可以为 Contentstack 组织添加更多的角色映射。 若要添加新的角色映射,请选择“ + 添加角色映射 ”并输入详细信息。

    4. 将“角色分隔符”留空,因为 Microsoft Entra ID 通常以数组形式返回角色。

    5. 最后,选中“ 启用 IdP 角色映射 ”复选框以启用该功能,然后选择“ 下一步”。

    注意

    有关更多信息,请参阅 Contentstack SSO 指南

  9. 启用 SSO 之前,建议测试到目前为止配置的 SSO 设置。 要创建,请执行以下步骤:

    1. 选择 “测试 SSO” 按钮后,系统将带您前往 Contentstack 的使用 SSO 登录页面,在该页面中您需要指定组织的 SSO 名称。
    2. 然后,选择“继续”转到 IdP 登录页。
    3. 登录到帐户,如果能够登录到 IdP,则测试成功。
    4. 成功连接后,会看到一条成功消息,如下所示。

    屏幕截图显示了成功的测试连接。

  10. 测试 SSO 设置后,选择“ 启用 SSO ”,为 Contentstack 组织启用 SSO。

    屏幕截图显示了启用测试的部分。

  11. 启用此功能后,用户即可通过 SSO 访问组织。 如果需要,还可以从此页面“禁用 SSO”

    屏幕截图显示了如何禁用访问页面。

创建 Contentstack 测试用户

在本部分,我们会在 Contentstack 中创建一个名为 Britta Simon 的用户。 Contentstack 支持默认启用的实时用户预配。 本节中没有需要你完成的事项。 如果 Contentstack 中不存在用户,则会在身份验证后创建一个新用户。

测试 SSO

在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。

SP 启动的:

  • 在 Microsoft Entra 管理中心选择 测试此应用程序 。 此选项重定向到 Contentstack 登录 URL,可在其中启动登录流。

  • 直接转到 Contentstack 登录 URL,并从中启动登录流。

IDP 启动的:

  • 在 Microsoft Entra 管理中心中选择 “测试此应用程序 ”,应会自动登录到为其设置了 SSO 的 Contentstack。

还可以使用 Microsoft“我的应用”在任何模式下测试此应用程序。 在“我的应用”中选择 Contentstack 磁贴时,如果是在 SP 模式下配置的,你会重定向到应用程序登录页来启动登录流;如果是在 IDP 模式下配置的,则应会自动登录到为其设置了 SSO 的 Contentstack。 有关“我的应用”的详细信息,请参阅“我的应用”简介

相关内容

配置 Contentstack 后,可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制

  • Last updated on