配置微软 Entra (Azure AD) 单点登录 - AWS Wickr

本指南提供了以下方面的文档 AWS Wickr 的版本。如果您使用的是本地版本的 Wickr,请参阅《企业管理指南》

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置微软 Entra (Azure AD) 单点登录

AWS可以将 Wickr 配置为使用微软 Entra (Azure AD) 作为身份提供者。为此,请在 Microsoft Entra 和 Wic AWS kr 管理控制台中完成以下过程。

警告

SSO在网络上启用后,它将使活跃用户退出 Wickr,并强制他们使用提供商重新进行身份验证。SSO

完成以下步骤,在 M AWS icrosoft Entra 中将 Wickr 注册为应用程序。

注意

有关详细的屏幕截图和疑难解答,请参阅 Microsoft Entra 文档。有关更多信息,请参阅在 Microsoft 身份平台上注册应用程序

  1. 在导航窗格中,选择 “应用程序”,然后选择 “应用程序注册”。

  2. 在 “应用程序注册” 页面上,选择 “注册应用程序”,然后输入应用程序名称。

  3. 仅选择此组织目录中的帐户(仅限默认目录-单租户)

  4. 在 “重定向” 下URI,选择 “We b”,然后输入以下网址:https://messaging-pro-prod.wickr.com/deeplink/oidc.php

    注意

    URI也可以从 AWS Wickr 管理员控制台的SSO配置设置中复制重定向。

  5. 选择 Register

  6. 注册后,复制/保存生成的应用程序(客户端)ID。

    客户端应用程序 ID 图像。

  7. 选择 “端点” 选项卡记下以下内容:

    1. Oauth 2.0 授权端点 (v2):例如:https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/oauth2/v2.0/authorize

    2. 编辑此值以删除 “oauth2/” 和 “授权”。例如 fi URL xed 将如下所示:https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/

    3. 这将被称为SSO发行人

完成以下步骤在 Microsoft Entra 中设置身份验证。

  1. 在导航窗格中,选择身份验证

  2. 在 “身份验证” 页面上,确保 Web 重定向URI与之前输入的相同(在 “将 AWSWickr 注册为应用程序” 中)。

    客户端身份验证图像。

  3. 选择用于隐式流程的访问令牌和用于隐式和混合流程的 ID 令牌

  4. 选择保存

    索取访问令牌图片。

完成以下步骤在 Microsoft Entra 中设置证书和密钥。

  1. 在导航窗格中,选择 “证书和机密”。

  2. 在 “证书和密钥” 页面上,选择 “客户机密” 选项卡。

  3. 在 “客户机密” 选项卡下,选择 “新建客户机密”。

  4. 输入描述并选择密钥的到期时间。

  5. 选择添加

    添加客户机密图片。

  6. 创建证书后,复制客户机密值

    客户机密值的示例。
    注意

    您的客户端应用程序代码将需要客户端密钥值(不是密钥 ID)。离开此页面后,您可能无法查看或复制密钥值。如果您现在不复制,则必须返回创建新的客户端密钥。

完成以下步骤在 Microsoft Entra 中设置令牌配置。

  1. 在导航窗格中,选择令牌配置

  2. 令牌配置页面上,选择添加可选声明

  3. 在 “可选声明” 下,选择令牌类型作为 ID

  4. 选择 ID 后,在 “声明” 下,选择 “电子邮件” 和 “upn”。

  5. 选择添加

    代币类型图片。

完成以下步骤以在 Microsoft Entra 中设置API权限。

  1. 在导航窗格中,选择API权限

  2. API权限页面上,选择添加权限

    添加权限图片。

  3. 选择 Microsoft Graph,然后选择委派权限

  4. 选中电子邮件、O ffline_access、o pen id、个人资料的复选框。

  5. 选择添加权限

完成以下步骤,在 Microsoft E API ntra 中分别显示 4 个作用域的。

  1. 在导航窗格中,选择 “公开一个” API。

  2. 在 “公开API页面” 上,选择 “添加范围”。

    曝光API图像。

    应用程序 ID URI 应自动填充,后面的 ID URI 应与应用程序 ID(在 Register AWS Wickr 作为应用程序中创建)相匹配。

    添加示波器图像。

  3. 选择 保存并继续

  4. 选择 “管理员和用户” 标签,然后将范围名称输入为 o ff line_access。

  5. 选择 “状态”,然后选择 “启用”。

  6. 选择添加范围

  7. 重复本节的步骤 1-6,添加以下范围:电子邮件openid 和个人资料。

    添加瞄准镜图片。

  8. 在 “授权的客户端应用程序” 下,选择 “添加客户端应用程序”。

  9. 选择在上一步中创建的所有四个范围。

  10. 输入或验证应用程序(客户端)ID

  11. 选择添加应用程序

在 AWS Wickr 控制台中完成以下配置过程。

  1. 打开 AWS Management Console 对于 Wickr 来说。https://console.aws.amazon.com/wickr/

  2. 网络页面上,选择管理员链接以导航到该网络的 Wickr 管理员控制台。

  3. 在 Wickr 管理员控制台的导航窗格中,选择网络设置,然后选择SSO配置

  4. Network En dpoint 下,确保重定向URI与以下网址匹配(已在步骤 4 中将 AWSWickr 注册为应用程序下添加)。

    https://messaging-pro-prod.wickr.com/deeplink/oidc.php.

  5. 在 “SSO配置” 下,选择 “开始

  6. 输入以下详细信息:

    • SSO颁发者-这是之前修改过的端点(例如https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/)。

    • SSO客户端 ID-这是 “概览” 窗格中的应用程序(客户端)ID

    • 公司 ID — 这可以是一个唯一的文本值,包括字母数字和下划线字符。这句话是您的用户在新设备上注册时要输入的内容。

    • 客户端密钥-这是证书和密钥窗格中的客户机密

    • 作用域-这些是 “公开范围API” 窗格中显示的作用域名称。输入电子邮件个人资料离线访问权限和 open id。

    • 自定义用户名范围-输入 upn。

    其他字段是可选的。

  7. 选择 “测试并保存”

  8. 选择保存

SSO配置已完成。要进行验证,您现在可以在 Microsoft Entra 中将用户添加到应用程序中,然后使用SSO和公司 ID 使用该用户登录。

有关如何邀请和加入用户的更多信息,请参阅创建和邀请用户

以下是您可能遇到的常见问题以及解决这些问题的建议。

  • SSO连接测试失败或没有响应:

    • 确保按预期配置SSO发行者

    • 确保 “SSO已配置” 中的必填字段按预期设置。

  • 连接测试成功,但用户无法登录:

    • 确保用户已添加到你在 Microsoft Entra 中注册的 Wickr 应用程序中。

    • 确保用户使用正确的公司 ID,包括前缀。例如。UE1-DemoNetwork w_drqtva

    • AWSWickr SSO 配置中可能未正确设置客户端密钥。通过在 Microsoft Entra 中创建另一个客户端密钥来重置它,然后在 W SSO ickr 配置中设置新的客户机密钥