配置 Entra ID 认证
在 Microsoft Entra 管理中心配置各种设置
注释 |
有关操作 Microsoft Entra 管理中心的信息,请参阅 Microsoft 提供的文档。 |
1.
使用可操作 Microsoft Entra ID 的管理员账户登录 Microsoft Entra 管理中心。
2.
将应用程序注册到 Entra ID。
将本软件的信息注册到 Entra ID。
输入您选择的名称作为应用程序名称。
选择支持的账户类型。
选择最适合您环境的账户类型。
将本软件的 URL 注册为重定向 URI。
如果您以具有管理员权限的用户身份登录本软件,并在以下屏幕上选中 [Enable login using Microsoft Entra ID] 复选框,则本软件的重定向 URI 会显示在 [Redirect URI] 字段中。
[System] 菜单 > [Preferences] > [Authentication Server Settings]
3.
要使用客户端密码进行认证,请添加客户端密码。
注释 |
您还可以使用密钥和证书进行认证。必须在这种情况下,有必要在本软件中配置 Entra ID,然后将密钥上传到 Microsoft Entra 管理中心。有关步骤的信息,请参阅以下内容。 |
在 Microsoft Entra 管理中心中,添加客户端密码。
在客户端密码列表中复制以下信息,并将其粘贴到 Notepad 等文本编辑器中,然后保存此信息。
添加的客户端密码的值(非 ID)
到期日期
4.
添加对 Graph API 的访问权限。
选择以下访问权限作为委托访问权限。
User.Read.All
Group.Read.All
GroupMember.Read.All
授予管理员协议。
5.
复制 Microsoft Entra 管理中心屏幕上的以下信息,将其粘贴到 Notepad 等文本编辑器中,然后保存此信息。
应用程序(客户端)ID
目录(租户)ID
用于登录的 URL
Graph API 的 URL
将本软件配置为使用 Entra ID 登录
1.
以系统管理员的身份登录本软件。
2.
选择 [System] 菜单 > [Preferences]。
3.
在 [Preferences] 页面顶部的下拉列表中,选择 [Authentication Server Settings]。
4.
选择 [Enable login using Microsoft Entra ID]。
5.
输入您在 Microsoft Entra 管理中心确认的值。
[Directory (tenant) ID] | 输入您在操作 Microsoft Entra 管理中心时记下的目录(租户)ID。 |
[Application (client) ID] | 输入您在操作 Microsoft Entra 管理中心时记下的应用程序(客户端)ID。 |
[Microsoft Entra ID Authentication URL] | 会默认输入 URL。要使用其他 URL,请进行更改。 |
[Microsoft Graph API endpoint] | 会默认输入 URL。要使用其他 URL,请进行更改。 |
6.
在应用程序认证中配置用于使用客户端密码的设置。
使用密钥和证书进行认证时,不需要执行此操作。请执行步骤 7 中的操作。
注释 |
如果密码的有效期不足一个月,或密码已到期,则具有系统管理员角色的用户登录本软件时,会显示错误消息。如果发生这种情况,请更新客户端密码。 |
选择 [Use client secret for authentication]。
输入您在 Microsoft Entra 管理中心确认的值。
[Client Secret] | 您在操作 Microsoft Entra 管理中心时记下的客户端密码值 |
[Expiration] | 您在操作 Microsoft Entra 管理中心时记下的客户端密码到期日期 |
单击 [Authentication Server Settings] 页面底部的 [Save]。
7.
要使用密钥和证书进行应用程序认证,请向本软件注册密钥和证书。
使用客户端密码进行认证时,不需要执行步骤 7 中的操作。请执行步骤 6 中的操作。
注释 |
认证可使用本软件中生成的自签名证书,也可使用证书颁发机构颁发的证书。生成或上传的证书会保存到本软件中。已注册的证书将被覆盖。 您可以使用以 2048 位 RSA 作为密钥算法、以 SHA256/SHA384/SHA512 作为签名算法的证书。 |
选择 [Use key/certificate for authentication]。
使用自签名证书时
单击 [Generate Key for Self-Signed Certificate] 旁的 [Generate Key]。
所生成密钥的相关信息会显示在 [Key Registered for Authentication] 中。
使用由证书颁发机构颁发的证书时
单击 [Upload Key for Authentication]。
选择要上传的证书文件。
可选择扩展名为“.pfx”或“.p12”的文件。
输入所选文件的密码。
单击 [Upload]。
所上传证书的相关信息会显示在 [Key Registered for Authentication] 字段中。
8.
下载密钥和证书。
单击 [Key Registered for Authentication] 旁的 [Download Certificate]。
单击 [Authentication Server Settings] 页面底部的 [Save]。
9.
将下载的证书注册到 Entra ID 应用程序。
使用可操作 Microsoft Entra ID 的管理员账户登录 Microsoft Entra 管理中心。
上传您下载的证书。
10.
配置角色和区域。
在 [Role Settings] 中,输入要与本软件的各种角色关联的 Entra ID 组名。
要将多个组与一个角色关联,请输入用逗号分隔的组名。
注释 |
不能向本软件注册包含逗号的组名。 除非已输入要关联的组名,否则不能使用 Entra ID 认证登录。 |
在 [Region Settings] 中,输入要与在本软件中创建的区域关联的 Entra ID 组名。
选中 [Set the region associated with the group name as the user's region] 复选框。
在每个区域的 [Group Name] 设置中,输入要关联的组名。要将多个组与一个区域关联,请输入用逗号分隔的组名。
注释 |
不能向本软件注册包含逗号的组名。 单个组可以分配给多个区域。 没有关联区域的组中的用户不属于任何区域。 有关配置区域的信息,请参阅以下内容。 |
11.
单击 [Save]。
使用 Microsoft Entra 认证登录本软件
1.
在 Web 浏览器中输入以下 URL 以访问本软件。
对于已安装 Manager 的服务器计算机:
https://localhost:<端口号>/
对于客户端计算机:
https://<安装 Manager 的计算机的 FQDN 或 IP 地址>:<端口号>/
有关在 Web 浏览器中显示安全警告时的操作步骤的详细信息,请参见以下内容。
注释 |
如果默认端口号(HTTPS 为 443)没有更改,可不用输入端口号。 |
2.
在登录屏幕中,单击 [Log In with Microsoft Entra ID]。