如何透過 Azure Active Directory 在 VMware Carbon Black Cloud 上設定單一登入

1. 在網頁瀏覽器中，前往您所在地區的適當登入頁面，然後使用系統管理員帳戶登入。

2. 展開設定。

圖 1：（僅限英文）展開設定

3. 選取使用者。

圖 2：（僅限英文）選取使用者

4. 在 SAML 設定下選取啟用，以從 Carbon Black 環境收集 SSO 需要的資訊。
5. 複製以綠色強調之區塊內的資訊，在 Azure 組態期間需要這些資訊。
   • Azure 需要橘色強調區塊內的資訊，可由下方的 Azure 區段中取得。

圖 3：（僅限英文）SAML 組態

1. 使用具有應用程式管理員或更高許可權的帳戶 ，以 https://portal.azure.com 登入您的 Azure 入口網站。
2. 在頂端列搜尋以前往企業應用程式。

圖 4：（僅限英文）移至企業應用程式

3. 在「企業應用程式」按一下左側管理功能表中的所有應用程式，然後按一下新應用程式選項。

圖 5：（僅限英文）按兩下新應用程式

4. 選取建立自己的應用程式選項。

圖 6：（僅限英文）選取 [Create your own application] （建立自己的應用程式）

5. 在 「建立自己的應用程式 」窗格中，為應用程式提供名稱，選取「 整合任何其他您找不到的應用程式」， 然後按兩下「 建立」。

圖 7：（僅限英文）選取「整合其他任何您在資源庫中找不到的應用程式」（非資源庫）

6. 從您建立的應用程式中，從左側管理功能表中選取單一登錄。

圖 8：（僅限英文）選取單一登錄

7. 在選取單一登入方法窗格中，選取 SAML 作為單一登入方法。

圖 9：（僅限英文）選取 SAML

8. 按一下基本 SAML 組態區段右上角的編輯圖示。

圖 10：（僅限英文）按兩下[Edit] （編輯）

9. 將來自 VMware Carbon Black Cloud 控制台 的 物件 URL 貼到 標識碼 （實體 ID） 字段中，並將其設定為預設值。

圖 11：（僅限英文）將物件 URL 貼至識別碼 （實體 ID） 欄位

10. 將 VMware Carbon Black Cloud 主控台的 ACS (消費者) URL 貼到回復 URL (聲明消費者服務 URL) 欄位中，並將其設為預設值。

圖 12：（僅限英文）將 ACS （消費者） URL 貼至回覆 URL （聲明消費者服務 URL）

11. 按一下基本 SAML 組態窗格左上角的儲存圖示。

圖 13：（僅限英文）點選取[Save] （儲存）

12. 按一下使用者屬性與宣告區段右上角的編輯圖示。

圖 14：（僅限英文）按兩下[Edit] （編輯）

13. 按兩下「 Additional Claims」的三個點 user.surname, user.userprincipalname, user.givenname 並刪除這些選項。這會留下 user.mail 作為「額外請領」區段中唯一的請領單。

圖 15：（僅限英文）刪除其他請領單 user.surname, user.userprincipalname和 user.givenname

圖 16：（僅限英文）使用者郵件左側

14. 按一下要求的宣告區段中的唯一使用者識別符以修改宣告。
15. 從 user.userprincipalname 變更為 user.mail。

圖 17：（僅限英文）從 user.userprincipalname 變更為 user.mail

16. 展開選擇名稱識別符格式。

圖 18：（僅限英文）展開選擇名稱識別碼格式

17. 將名稱識別符格式修改為預設。

圖 18：（僅限英文）將名稱識別碼格式修改為預設

18. 按一下左上方的儲存圖示。
19. 選取「其他宣告」標題下的宣告名稱。

圖 19：（僅限英文）選取請領單名稱

20. 將名稱修改為 mail。

圖 20：（僅限英文）清除命名空間

21. 儲存變更，然後關閉使用者屬性與宣告窗格。
22. 在 SAML 簽署憑證區段中，按一下憑證 (Base64) 選項旁的下載，然後儲存認證檔案。這會用於設定 Carbon Black Cloud 主控台。

圖 21：（僅限英文）儲存憑證 （Base64） 檔案

23. 從 「設定 <應用程式名稱> 」區段複製登入URL。這會用於設定 Carbon Black Cloud 主控台。

圖 22：（僅限英文）複製登入 URL

24. 必須將使用者新增至應用程式才能登入。從左側的管理功能表中選取使用者和群組。

圖 23：（僅限英文）選取使用者和群組

25. 選取新增使用者/群組選項。

圖 24：（僅限英文）選取「新增使用者/群組」

26. 按一下無選取以新增使用者。

圖 25：（僅限英文） 單擊「None Selected」

27. 指派適當的使用者和群組，然後按一下選取。

圖 26：（僅限英文）按兩下 [Select] （選取

28. 新增使用者後，按一下左下角的指派。

圖 27：（僅限英文）新增使用者

圖 28：（僅限英文）按兩下 [Assign] （指派）

根據「Azure 組態」區段中的步驟，取得 SAML 簽署憑證和登入 URL。

1. 在網頁瀏覽器中，前往您所在地區的適當登入頁面，然後使用系統管理員帳戶登入。

2. 展開設定。

圖 29：（僅限英文）展開設定

3. 選取使用者。

圖 30：（僅限英文）選取使用者

4. 在「SAML 組態」下選取啟用，以更新 SSO 的 SAML 組態。
5. 將 Azure 組態區段的登入 URL 貼至單一登入 URL (HTTP 重新導向繫結) 欄位。

圖 31：（僅限英文）將登入 URL 貼至單一登入 URL （HTTP-重新導向綁定 ）

6. 以滑鼠右鍵按下您先前從 Azure 下載的 SAML 簽署憑證， 然後選取 Open with…。

圖 32：（僅限英文）選取「Open with...

7. 從清單中選擇記事本或您偏好的文字編輯器來開啟 .cer 檔案。

圖 33：（僅限英文）選取記事本

8. 將認證檔案的內容複製並貼上到 X509 憑證欄位中。

圖 34：（僅限英文）複製憑證檔案的內容

圖 35：（僅限英文）貼至 X509 憑證欄位

圖 36：（僅限英文）欄位會自動截斷線路傳回

圖 37：（僅限英文）點選取[Save] （儲存）

9. 按一下儲存。畫面頂端會出現訊息，確認 SAML 組態已更新。

圖 38：（僅限英文）SAML 組態已更新

1. 在網頁瀏覽器中，前往您所在地區的適當登入頁面，然後選取透過 SSO 登入選項。

圖 39：（僅限英文）Carbon Black Cloud 登入

2. 輸入已指派給 Azure 應用程式的使用者電子郵件地址，然後選取登入。

圖 40：（僅限英文）使用 SSO 登入

3. 登入 Azure，接著接受終端使用者合約以繼續進入 Carbon Black Cloud 主控台 (如果此使用者帳戶尚未接受)。

圖 41：（僅限英文）接受用戶協定

VMware Carbon Black Cloud 會如預期載入。

圖 42：（僅限英文）VMware Carbon Black Cloud 儀錶板