Summary 先決條件和限制 Architecture Tools Epics 相關資源

設定從微軟 Azure 廣告到 CloudEndure Migration 的 SAML SSO

由茜卓 ‧ 席卡哈爾 ‧ 亞拉莎 (AWS) 創作

環境：生產	技術：移轉；基礎架構；安全、身份、合規	工作負載：Microsoft
AWS 服務：AWS Directory Service

Summary

此模式可協助您透過設定安全性聲明標記語言 (SAML) 單一登入 (SSO) 驗證來整合 CloudEndure Migration 與 Microsoft Azure Active Directory (Azure AD)。此方法表示您可以透過 SAML SSO 整合使用 Azure 認證，並將 Azure AD 使用者與 CloudEndure Migration 登入同盟。

使用 SSO 提供了幾個好處，，例如使用單一帳戶登入以存取加入網域的裝置、公司資源、軟體即服務 (SaaS) 應用程式，以及 Web 應用程式。登入後，使用者可以從 Microsoft Office 365 或我的應用程式入口網站啟動應用程式。系統管理員也可以集中管理使用者帳戶，並根據群組成員資格自動新增或移除應用程式的使用者存取權。

請注意：AWS Application Migration Service (MGN)是針對移轉遷移至 Amazon Web Services (AWS) Cloud 的建議使用的主要遷移服務。建議目前使用 CloudEndure Migration 或 AWS Server Migration Service (AWS SMS) 的客戶切換至 MGN 以便將來進行遷移。

先決條件和限制

先決條件

擁有管理員權限的現有 CloudDure 遷移使用者帳戶。如需此項目的詳細資訊，請參閱使用者管理(位於 CloudEndure 文件中)。
具有 Azure AD 存取權的現有 Azure 帳戶，以及註冊新的 Azure 企業應用程式的足夠權限。如需此項目的詳細資訊，請參閱Microsoft Azure Active Directory。

限制

AWS 僅支援 SAML 2.0
所以此Azure AD 免費版本不會驗證超過十個 SaaS 應用程式的使用者認證，且目錄物件的限制為 500,000 個物件。

Architecture

此圖表顯示下列工作流程：

使用者嘗試存取 CloudEndure Migration。
使用者會重新導向至 Azure AD，然後輸入其使用者名稱和密碼。
Azure AD 會加密使用者名稱和密碼，然後將它們放在佇列中。
內部部署 Azure AD 代理程式會從佇列擷取要求。
代理程式會使用私密金鑰解密密碼。
代理程式會根據 Azure AD 驗證使用者名稱和密碼。
Azure 的 AD 會將結果傳回給代理程式。
代理程式會傳回 Azure AD 的回應。
Azure AD 完成登入程序。如果使用者已成功驗證，他們就可以存取 CloudEndure Migration。

技術堆疊

Azure AD
CloudEndure Migration

Tools

Microsoft Azure Active Directory— Azure AD 是雲端式身分識別和存取管理服務，可協助使用者登入並存取外部和內部資源。
CloudEndure Migration— CloudEndure Migration 是基於代理程式的工具，可在 AWS 雲端上重新託管您的應用程式。

Epics

任務	描述	所需技能
將 CloudEndure Migration 新增至 Azure AD 中的企業應用程式。	登入您的 Azure 帳戶，然後開啟 Azure AD 主控台。選擇企業應用程式。在中所有應用程式窗格中，選擇新應用程式，然後選擇非資源庫應用程式。輸入「CloudEndure」做為應用程式名稱。根據您的需求編輯屬性，然後選擇建立。所以此入門頁面會顯示為您組織設定應用程式的選項。	雲端管理員，雲端工程師
將 Azure AD 使用者和群組新增至 CloudEndure 應用程式。	在 Azure 的 AD 主控台上，選擇使用者中，選擇新使用者，然後建立或邀請使用者。返回 Azure AD 主控台，選擇Groups (群組)中，選擇新增群組、，然後視需要輸入群組資訊。返回 Azure AD 主控台，選擇企業應用程式中，選擇CloudEndure，然後選擇指派使用者和群組中的入門部分。在中應用程式使用者和群組的名稱視窗中，選擇新增使用者。在中新增指派視窗中，選擇使用者和群組。選擇您稍早建立的群組和使用者，然後選擇選擇來驗證您 Azure 環境中的 SSO 的 CloudEndure。如需此項目的詳細資訊，請參閱將使用者指派給使用 Azure AD 作為身分供應商的應用程式在微軟 Azure 文檔中。	雲端管理員，雲端工程師
為您的 CloudEndure 應用程式設定 SAML。	開啟 [CCloudEndure 應用程式概觀] 區段，選擇設定單一登入，然後選擇SAML。記錄登入 URL 和 Azure AD 識別碼。在中SAML 簽署憑證區段中，下載`Federation Metadata`file. 在網頁瀏覽器中開啟新索引標籤，然後登入 CloudEndure 使用者主控台。選擇帳戶圖示，然後選擇設定 SAML。在中設定 SAML區段中，有一個名為將此連結加入書籤。您必須將此救援連結加入書籤，才能重新取得 CloudEndure 帳戶的存取權 (如果該帳戶已鎖定)。連結格式如下所示：`https://console.cloudendure.com/api/v5/accounts/<account identifier>/access?username=<your email>` 請注意：設定 SAML 之後，您將無法再使用您的使用者名稱和密碼 CloudEndure 使用者主控台。儲存 CCloudEndure p 帳戶識別符。此識別碼是 Azure AD 中的進一步設定所需。使用下列數值設定 SAML區段，然後選擇儲存組態：身分供應商 ID— Azure AD 識別符身分供應商 URL— 登入 URL 身分供應商憑證— 開啟`Federation Metadata` 檔案，並複製並貼上`<X509Certificate>`和`</X509Certificate>`標籤。	雲端管理員，雲端工程師
在 Azure AD 上設定 CloudEndure Migration 帳戶識別碼，並測試應用程式。	在 Azure AD 入口網站的 [CloudEndure 應用程式概觀] 區段中，輸入下列值單一登入的區段基本 SAML 組態：金鑰：`Identifier (Entity ID)`Value (值)：`https://console.cloudendure.com` 金鑰：`Reply URL (Assertion Consumer Service URL)` Value (值)：`https://console.cloudendure.com/api/v5/assertionConsumerService` 金鑰：`Relay State` Value (值)：`https://console.cloudendure.com/#/signin;<cloudendure account identifier>` 選擇 Save changes (儲存變更)。在中使用者屬性和宣告區段中，將唯一使用者識別符作為對應於您在 CloudEndure 使用者主控台中註冊的電子郵件的屬性。屬性取決於目錄，可以是使用者主要名稱或其他屬性，例如`user.mail`。刪除所有其他聲明並添加」使用者名稱」聲明的值與`user.mail`。在中透過 CloudEndure 測試單一登入中，選擇以目前使用者身分登入，然後選擇使用者帳戶。然後，系統會自動將您重新導向至 CloudEndure 主控台。	雲端管理員，雲端工程師

任務描述所需技能

新增使用者，並將權限授與 Azure AD 中的 CloudEndure 應用程式。

任務	描述	所需技能
新增使用者，並將權限授與 Azure AD 中的 CloudEndure 應用程式。	開啟 Azure AD 主控台，選擇Manage (管理)中，選擇使用者中，選擇新使用者，然後選擇建立使用者或邀請使用者。根據您的需求設定剩餘的選項。將新的使用者權限授與給 CloudEndure 應用程式，方法是開啟 Azure AD 主控台並選擇企業應用程式。選擇CloudEndure，然後選擇指派使用者和群組。選擇新增使用者中，選擇使用者，然後選擇您先前建立的使用者，並將應用程式的存取權授與他們。開啟 CCloudEndure 使用者主控台，選擇帳戶圖示，然後選擇管理使用者。選擇建立使用者，並設定使用者接收電子郵件邀請。確定帳戶狀態會從`Pending`至`Confirmed`。如需此項目的詳細資訊，請參閱將使用者指派給使用 Azure AD 作為身分供應商的應用程式在微軟 Azure 文檔中。	雲端管理員，雲端工程師
使用者存取 CloudEndure Migration。	使用者會開啟 CloudEndure Migration 的登入頁面，選擇使用公司認證 (SSO)選項，並使用您先前建立的書籤中的帳戶識別碼。使用者登入後，他們必須接受 CloudEndure 的服務條款。接受服務條款後，CloudEndure 使用者主控台中的使用者狀態會從`Pending`狀態為`Confirmed`。用戶現在可以通過使用以下鏈接輕鬆地從 Azure 應用程序登錄到 CloudEndure 門戶網站：`https://myapps.microsoft.com` 請注意：您帳戶中的每個使用者首次登入時，都必須接受 CloudEndure 的服務條款。	雲端工程師

開啟 Azure AD 主控台，選擇Manage (管理)中，選擇使用者中，選擇新使用者，然後選擇建立使用者或邀請使用者。根據您的需求設定剩餘的選項。
將新的使用者權限授與給 CloudEndure 應用程式，方法是開啟 Azure AD 主控台並選擇企業應用程式。選擇CloudEndure，然後選擇指派使用者和群組。選擇新增使用者中，選擇使用者，然後選擇您先前建立的使用者，並將應用程式的存取權授與他們。
開啟 CCloudEndure 使用者主控台，選擇帳戶圖示，然後選擇管理使用者。
選擇建立使用者，並設定使用者接收電子郵件邀請。確定帳戶狀態會從Pending至Confirmed。

如需此項目的詳細資訊，請參閱將使用者指派給使用 Azure AD 作為身分供應商的應用程式在微軟 Azure 文檔中。

雲端管理員，雲端工程師

使用者存取 CloudEndure Migration。

使用者會開啟 CloudEndure Migration 的登入頁面，選擇使用公司認證 (SSO)選項，並使用您先前建立的書籤中的帳戶識別碼。
使用者登入後，他們必須接受 CloudEndure 的服務條款。
接受服務條款後，CloudEndure 使用者主控台中的使用者狀態會從Pending狀態為Confirmed。用戶現在可以通過使用以下鏈接輕鬆地從 Azure 應用程序登錄到 CloudEndure 門戶網站：https://myapps.microsoft.com

請注意：您帳戶中的每個使用者首次登入時，都必須接受 CloudEndure 的服務條款。

雲端工程師