設定從微軟 Azure 廣告到 CloudEndure Migration 的 SAML SSO - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定從微軟 Azure 廣告到 CloudEndure Migration 的 SAML SSO

由茜卓 ‧ 席卡哈爾 ‧ 亞拉莎 (AWS) 創作

環境:生產

技術:移轉;基礎架構;安全、身份、合規

工作負載:Microsoft

AWS 服務:AWS Directory Service

Summary

此模式可協助您透過設定安全性聲明標記語言 (SAML) 單一登入 (SSO) 驗證來整合 CloudEndure Migration 與 Microsoft Azure Active Directory (Azure AD)。此方法表示您可以透過 SAML SSO 整合使用 Azure 認證,並將 Azure AD 使用者與 CloudEndure Migration 登入同盟。 

使用 SSO 提供了幾個好處, ,例如使用單一帳戶登入以存取加入網域的裝置、公司資源、軟體即服務 (SaaS) 應用程式,以及 Web 應用程式。登入後,使用者可以從 Microsoft Office 365 或我的應用程式入口網站啟動應用程式。系統管理員也可以集中管理使用者帳戶,並根據群組成員資格自動新增或移除應用程式的使用者存取權。

請注意:AWS Application Migration Service (MGN)是針對移轉遷移至 Amazon Web Services (AWS) Cloud 的建議使用的主要遷移服務。建議目前使用 CloudEndure Migration 或 AWS Server Migration Service (AWS SMS) 的客戶切換至 MGN 以便將來進行遷移。

先決條件和限制

 

先決條件

  • 擁有管理員權限的現有 CloudDure 遷移使用者帳戶。如需此項目的詳細資訊,請參閱使用者管理(位於 CloudEndure 文件中)。         

  • 具有 Azure AD 存取權的現有 Azure 帳戶,以及註冊新的 Azure 企業應用程式的足夠權限。如需此項目的詳細資訊,請參閱Microsoft Azure Active Directory。                            

限制

  • AWS 僅支援 SAML 2.0

  • 所以此Azure AD 免費版本不會驗證超過十個 SaaS 應用程式的使用者認證,且目錄物件的限制為 500,000 個物件。 

Architecture

此圖表顯示下列工作流程:

  1. 使用者嘗試存取 CloudEndure Migration。

  2. 使用者會重新導向至 Azure AD,然後輸入其使用者名稱和密碼。

  3. Azure AD 會加密使用者名稱和密碼,然後將它們放在佇列中。

  4. 內部部署 Azure AD 代理程式會從佇列擷取要求。

  5. 代理程式會使用私密金鑰解密密碼。

  6. 代理程式會根據 Azure AD 驗證使用者名稱和密碼。

  7. Azure 的 AD 會將結果傳回給代理程式。

  8. 代理程式會傳回 Azure AD 的回應。

  9. Azure AD 完成登入程序。如果使用者已成功驗證,他們就可以存取 CloudEndure Migration。

技術堆疊

  • Azure AD

  • CloudEndure Migration

Tools

  • Microsoft Azure Active Directory— Azure AD 是雲端式身分識別和存取管理服務,可協助使用者登入並存取外部和內部資源。

  • CloudEndure Migration— CloudEndure Migration 是基於代理程式的工具,可在 AWS 雲端上重新託管您的應用程式。 

Epics

任務描述所需技能
將 CloudEndure Migration 新增至 Azure AD 中的企業應用程式。
  1. 登入您的 Azure 帳戶,然後開啟 Azure AD 主控台。 

  2. 選擇企業應用程式。 

  3. 在 中所有應用程式窗格中,選擇新應用程式,然後選擇非資源庫應用程式

  4. 輸入「CloudEndure」做為應用程式名稱。

  5. 根據您的需求編輯屬性,然後選擇建立

  6. 所以此入門頁面會顯示為您組織設定應用程式的選項。

雲端管理員,雲端工程師
將 Azure AD 使用者和群組新增至 CloudEndure 應用程式。
  1. 在 Azure 的 AD 主控台上,選擇使用者中,選擇新使用者,然後建立或邀請使用者。

  2. 返回 Azure AD 主控台,選擇Groups (群組)中,選擇新增群組 ,然後視需要輸入群組資訊。

  3. 返回 Azure AD 主控台,選擇企業應用程式中,選擇CloudEndure,然後選擇指派使用者和群組中的入門部分。

  4. 在 中應用程式使用者和群組的名稱視窗中,選擇新增使用者

  5. 在 中新增指派視窗中,選擇使用者和群組

  6. 選擇您稍早建立的群組和使用者,然後選擇選擇來驗證您 Azure 環境中的 SSO 的 CloudEndure。

如需此項目的詳細資訊,請參閱將使用者指派給使用 Azure AD 作為身分供應商的應用程式在微軟 Azure 文檔中。

雲端管理員,雲端工程師
為您的 CloudEndure 應用程式設定 SAML。
  1. 開啟 [CCloudEndure 應用程式概觀] 區段,選擇設定單一登入,然後選擇SAML

  2. 記錄登入 URL 和 Azure AD 識別碼。 

  3. 在 中SAML 簽署憑證區段中,下載Federation Metadatafile.

  4. 在網頁瀏覽器中開啟新索引標籤,然後登入 CloudEndure 使用者主控台。 

  5. 選擇帳戶圖示,然後選擇設定 SAML

  6. 在 中設定 SAML區段中,有一個名為將此連結加入書籤。您必須將此救援連結加入書籤,才能重新取得 CloudEndure 帳戶的存取權 (如果該帳戶已鎖定)。連結格式如下所示:https://console.cloudendure.com/api/v5/accounts/<account identifier>/access?username=<your email> 請注意:設定 SAML 之後,您將無法再使用您的使用者名稱和密碼 CloudEndure 使用者主控台。

  7. 儲存 CCloudEndure p 帳戶識別符。此識別碼是 Azure AD 中的進一步設定所需。

  8. 使用下列數值設定 SAML區段,然後選擇儲存組態

    • 身分供應商 ID— Azure AD 識別符

    • 身分供應商 URL— 登入 URL

    • 身分供應商憑證— 開啟Federation Metadata 檔案,並複製並貼上<X509Certificate></X509Certificate>標籤。

雲端管理員,雲端工程師
在 Azure AD 上設定 CloudEndure Migration 帳戶識別碼,並測試應用程式。
  1. 在 Azure AD 入口網站的 [CloudEndure 應用程式概觀] 區段中,輸入下列值單一登入的 區段基本 SAML 組態

    • 金鑰Identifier (Entity ID)Value (值)https://console.cloudendure.com

    • 金鑰Reply URL (Assertion Consumer Service URL) Value (值)https://console.cloudendure.com/api/v5/assertionConsumerService

    • 金鑰Relay State Value (值)https://console.cloudendure.com/#/signin;<cloudendure account identifier>

  2. 選擇 Save changes (儲存變更)

  3. 在 中使用者屬性和宣告區段中,將唯一使用者識別符作為對應於您在 CloudEndure 使用者主控台中註冊的電子郵件的屬性。屬性取決於目錄,可以是使用者主要名稱或其他屬性,例如user.mail

  4. 刪除所有其他聲明並添加」使用者名稱」聲明的值與user.mail

  5. 在 中透過 CloudEndure 測試單一登入中,選擇以目前使用者身分登入,然後選擇使用者帳戶。然後,系統會自動將您重新導向至 CloudEndure 主控台。

雲端管理員,雲端工程師
任務描述所需技能
新增使用者,並將權限授與 Azure AD 中的 CloudEndure 應用程式。
  1. 開啟 Azure AD 主控台,選擇Manage (管理)中,選擇使用者中,選擇新使用者,然後選擇建立使用者邀請使用者。根據您的需求設定剩餘的選項。

  2. 將新的使用者權限授與給 CloudEndure 應用程式,方法是開啟 Azure AD 主控台並選擇企業應用程式。選擇CloudEndure,然後選擇指派使用者和群組。選擇新增使用者中,選擇使用者,然後選擇您先前建立的使用者,並將應用程式的存取權授與他們。

  3. 開啟 CCloudEndure 使用者主控台,選擇帳戶圖示,然後選擇管理使用者。 

  4. 選擇建立使用者,並設定使用者接收電子郵件邀請。確定帳戶狀態會從PendingConfirmed

如需此項目的詳細資訊,請參閱將使用者指派給使用 Azure AD 作為身分供應商的應用程式在微軟 Azure 文檔中。

雲端管理員,雲端工程師
使用者存取 CloudEndure Migration。
  1. 使用者會開啟 CloudEndure Migration 的登入頁面,選擇使用公司認證 (SSO)選項,並使用您先前建立的書籤中的帳戶識別碼。

  2. 使用者登入後,他們必須接受 CloudEndure 的服務條款。 

  3. 接受服務條款後,CloudEndure 使用者主控台中的使用者狀態會從Pending狀態為Confirmed。用戶現在可以通過使用以下鏈接輕鬆地從 Azure 應用程序登錄到 CloudEndure 門戶網站:https://myapps.microsoft.com

請注意:您帳戶中的每個使用者首次登入時,都必須接受 CloudEndure 的服務條款。

雲端工程師

相關資源