如何透過 Azure Active Directory 在 VMware Carbon Black Cloud 上設定單一登入

1. 在網頁瀏覽器中，前往您所在地區的適當登入頁面，然後使用系統管理員帳戶登入。
   注意：區域登入頁面如下。

   • 美洲 = https://defense-prod05.conferdeploy.net/
   • 歐洲 = https://defense-eu.conferdeploy.net/
   • 亞太地區 = https://defense-prodnrt.conferdeploy.net/
   • 澳洲和紐西蘭 = https://defense-prodsyd.conferdeploy.net
2. 展開設定。
   
3. 選取使用者。
   
4. 在 SAML 設定下選取啟用，以從 Carbon Black 環境收集 SSO 需要的資訊。
5. 複製以綠色強調之區塊內的資訊，在 Azure 組態期間需要這些資訊。
   • Azure 需要橘色強調區塊內的資訊，可由下方的 Azure 區段中取得。
     注意：

     • 此資訊會依環境註冊的 Carbon Black 例項而有所不同。
     • 在填入並儲存單一登入 URL (HTTP 重新導向繫結) 和 X509 憑證之前，不會對環境進行任何變更。
     
     

1. 使用具有應用程式管理員或更高權限的帳戶登入 https://portal.azure.com 的 Azure 入口網站。
2. 在頂端列搜尋以前往企業應用程式。
   
3. 在「企業應用程式」按一下左側管理功能表中的所有應用程式，然後按一下新應用程式選項。
   
4. 選取建立自己的應用程式選項。
   
5. 在 建立自己的應用程式 窗格中提供應用程式的名稱，選取 整合任何其他在程式庫中找不到的應用程式 （非程式庫） 選項 按鈕，然後按一下建立。
   
   注意：這可能需要一些時間才能完成。
6. 從您建立的應用程式中，在左側的管理功能表中選取單一登入。
   
7. 在選取單一登入方法窗格中，選取 SAML 作為單一登入方法。
   
8. 按一下基本 SAML 組態區段右上角的編輯圖示。
   
9. 將 VMware Carbon Black Cloud 主控台 的受眾 URL 貼到 識別符 （實體 ID） 欄位中，並將其設為預設值。
   
10. 將 VMware Carbon Black Cloud 主控台的 ACS (消費者) URL 貼到回復 URL (聲明消費者服務 URL) 欄位中，並將其設為預設值。
    
11. 按一下基本 SAML 組態窗格左上角的儲存圖示。
    
12. 按一下使用者屬性與宣告區段右上角的編輯圖示。
    
13. 按 一下三個點 以取得 user.surname, user.userprincipalname, user.givenname 並刪除這些選項。這就剩下了 user.mail 作為「附加聲明」部分中的唯一聲明。
    
    
14. 按一下要求的宣告區段中的唯一使用者識別符以修改宣告。
15. 從修改來源屬性 user.userprincipalname 變更為 user.mail。
    
16. 展開選擇名稱識別符格式。
    
17. 將名稱識別符格式修改為預設。
    
18. 按一下左上方的儲存圖示。
19. 選取「其他宣告」標題下的宣告名稱。
    
20. 將名稱修改為 mail。
    注意：

    • 未設定 名稱 會導致 INVALID_ASSERTION 失敗。
    • 請確定 已清除命名空間 。這個欄位中的任何項目都會產生 INVALID_ASSERTION 失敗。
    
    
21. 儲存變更，然後關閉使用者屬性與宣告窗格。
22. 在 SAML 簽署憑證區段中，按一下憑證 (Base64) 選項旁的下載，然後儲存認證檔案。這會用於設定 Carbon Black Cloud 主控台。
    
23. 從 設定 <應用程式名稱> 區段複製登入 URL。這會用於設定 Carbon Black Cloud 主控台。
    
24. 必須將使用者新增至應用程式才能登入。從左側的管理功能表中選取使用者和群組。
    
25. 選取新增使用者/群組選項。
    
26. 按一下無選取以新增使用者。
    
27. 指派適當的使用者和群組，然後按一下 選取。
    注意：任何指派的使用者都必須手動新增至 VMware Carbon Black Cloud 主控台，並設定適當的角色。如需更多關角色的資訊，請參閱 如何新增 VMware Carbon Black Cloud 系統管理員。
    
    
28. 新增使用者後，按一下左下角的指派。
    
    

根據「Azure 組態」區段中的步驟，取得 SAML 簽署憑證和登入 URL。

1. 在網頁瀏覽器中，前往您所在地區的適當登入頁面，然後使用系統管理員帳戶登入。
   注意：區域登入頁面如下。

   • 美洲 = https://defense-prod05.conferdeploy.net/
   • 歐洲 = https://defense-eu.conferdeploy.net/
   • 亞太地區 = https://defense-prodnrt.conferdeploy.net/
   • 澳洲和紐西蘭 = https://defense-prodsyd.conferdeploy.net
2. 展開設定。
   
3. 選取使用者。
   
4. 在「SAML 組態」下選取啟用，以更新 SSO 的 SAML 組態。
5. 將 Azure 組態區段的登入 URL 貼至單一登入 URL (HTTP 重新導向繫結) 欄位。
   
6. 以滑鼠右鍵按一下之前從 Azure 下載的 SAML 簽署憑證， 然後選取 Open with…。
   
7. 從清單中選擇記事本或您偏好的文字編輯器來開啟 .cer 檔案。
   
8. 將認證檔案的內容複製並貼上到 X509 憑證欄位中。
   
   
   注意：此欄位會自動換行及設定標題和頁尾文字。
   
   
   
9. 按一下儲存。畫面頂端會出現訊息，確認 SAML 組態已更新。
   

1. 在網頁瀏覽器中，前往您所在地區的適當登入頁面，然後選取透過 SSO 登入選項。
   注意：區域登入頁面如下。

   • 美洲 = https://defense-prod05.conferdeploy.net/
   • 歐洲 = https://defense-eu.conferdeploy.net/
   • 亞太地區 = https://defense-prodnrt.conferdeploy.net/
   • 澳洲和紐西蘭 = https://defense-prodsyd.conferdeploy.net
   
   
2. 輸入已指派給 Azure 應用程式的使用者電子郵件地址，然後選取登入。
   
3. 登入 Azure，接著接受 終端使用者合約 以繼續進入 Carbon Black Cloud 主控台 （如果此使用者帳戶尚未接受）。
   
   VMware Carbon Black Cloud 會如預期載入。