如何使用 VMware Carbon Black Cloud 通过 Azure Active Directory 配置单点登录

1. 在网页浏览器中，打开您所在区域的相应登录页面，然后使用管理员帐户登录。

2. 展开 Settings。

图 1：（仅限英文）展开 Settings （设置）

3. 选择 Users。

图 2：（仅限英文）选择用户

4. 在 SAML Config 下选择 Enabled 以从 Carbon Black 环境收集 SSO 所需的信息。
5. 复制以绿色突出显示的信息，因为在 Azure 配置过程中将需要这些信息。
   • 以橙色突出显示的部分是需要从 Azure 获取的信息，将在下面的 Azure 部分中收集。

图 3：（仅限英文）SAML 配置

1. 使用具有应用程序管理员或更高权限的帐户 https://portal.azure.com 登录 Azure 门户。
2. 在顶部栏中进行搜索以找到 Enterprise applications。

图 4：（仅限英文）转至“企业应用程序”

3. 在“Enterprise Applications”屏幕上，单击左侧 Manage 菜单中的 All applications，然后单击 New Application 选项。

图 5：（仅限英文）单击 New application （新建应用程序）

4. 选择 Create your own application 选项。

图 6：（仅限英文）选择 Create your own application （创建您自己的应用程序）

5. 在 Create your own application 窗格中，为应用程序提供名称，选择 集成您在库（非库）中找不到的任何其他应用程序 单选按钮，然后单击 创建 。

图 7：（仅限英文）选择 集成您在库中找不到的任何其他应用程序（非库）

6. 从您创建的应用程序中，从左侧管理菜单中选择 单点登录 。

图 8：（仅限英文）选择单点登录

7. 在 Select a single sign-on method 窗格中，选择 SAML 作为单点登录方法。

图 9：（仅限英文）选择 SAML

8. 单击 Basic SAML Configuration 部分右上角的 Edit 图标。

图 10：（仅限英文）单击 编辑

9. 将来自 VMware Carbon Black Cloud 控制台的 受众 URL 粘贴到 “标识符（实体 ID）” 字段中，并将其设置为默认值。

图 11：（仅限英文）将受众 URL 粘贴到“标识符（实体 ID）”字段中

10. 将从 VMware Carbon Black Cloud 控制台获取的 ACS (Consumer) URL 粘贴到 Reply URL (Assertion Consumer Service URL) 字段中，并将其设置为默认。

图 12：（仅限英文）将 ACS（消费者）URL 粘贴到回复 URL 中（断言消费者服务 URL）

11. 单击 Basic SAML Configuration 窗格左上角的 Save 图标。

图 13：（仅限英文）单击 Save （保存）

12. 单击 User Attributes & Claims 部分右上角的 Edit 图标。

图 14：（仅限英文）单击 编辑

13. 单击其他 报销申请 的三个点 user.surname、 user.userprincipalname、 user.givenname 并删除这些选项。这会离开 user.mail 作为“其他报销申请”部分中的唯一报销申请。

图 15：（仅限英文）删除 的附加报销申请 user.surname、 user.userprincipalname以及 user.givenname

图 16：（仅限英文）用户邮件已保留

14. 单击 Required Claim 部分中的 Unique User Identifier 以修改该声明。
15. 从 修改源属性 user.userprincipalname 变为 user.mail。

图 17：（仅限英文）从 修改源属性 user.userprincipalname 变为 user.mail

16. 展开 Choose name identifier format。

图 18：（仅限英文）展开 选择名称标识符格式

17. 将 Name identifier format 修改为 Default。

图 18：（仅限英文）将名称标识符格式修改为默认值

18. 单击左上角的 Save 图标。
19. 在“Additional Claim”标题下选择 Claim name。

图 19：（仅限英文）选择报销申请名称

20. 将 Name 修改为 mail。

图 20：（仅限英文）清除命名空间

21. 保存更改，然后关闭 User Attributes & Claims 窗格。
22. 在 SAML Signing Certificate 部分中，单击 Certificate (Base64) 选项旁边的 Download，然后保存证书文件。此证书将会在配置 Carbon Black Cloud 控制台时用到。

图 21：（仅限英文）保存证书 （Base64） 文件

23. 从 设置 <应用程序名称> 部分复制登录 URL。此证书将会在配置 Carbon Black Cloud 控制台时用到。

图 22：（仅限英文）复制登录 URL

24. 必须将用户添加到应用程序以允许用户登录。从左侧 Manage 菜单中选择 Users and groups。

图 23：（仅限英文）选择用户和组

25. 选择 Add user/group 选项。

图 24：（仅限英文）选择 Add user/group

26. 单击 None Selected 以添加用户。

图 25：（仅限英文）单击 None Selected （未选择）

27. 分配相应的用户和组，然后单击 Select。

图 26：（仅限英文）单击 Select （选择）

28. 添加用户后，单击左下角的 Assign。

图 27：（仅限英文）添加用户

图 28：（仅限英文）单击“分配”

现在已经有了从“Azure 配置”部分中的步骤中获得的 SAML 签名证书和登录 URL。

1. 在网页浏览器中，打开您所在区域的相应登录页面，然后使用管理员帐户登录。

2. 展开 Settings。

图 29：（仅限英文）展开 Settings （设置）

3. 选择 Users。

图 30：（仅限英文）选择用户

4. 在“SAML Config”下选择 Enabled 以更新 SSO 的 SAML 配置。
5. 将从 Azure 配置部分中获得的 Login URL 粘贴到 Single sign-on URL (HTTP-redirect binding) 字段中。

图 31：（仅限英文）将登录 URL 粘贴到单点登录 URL（HTTP 重定向绑定）

6. 右键单击之前从 Azure 下载的 SAML 签名证书， 然后选择 Open with…。

图 32：（仅限英文）选择 Open with...

7. 从列表中选择记事本或您偏好的文本编辑器以打开 .cer 文件。

图 33：（仅限英文）选择记事本

8. 复制证书文件的内容并将其粘贴到 X509 certificate 字段中。

图 34：（仅限英文）复制证书文件的内容

图 35：（仅限英文）粘贴到 X509 证书字段

图 36：（仅限英文）字段自动截断行返回

图 37：（仅限英文）单击 Save （保存）

9. 单击 Save。屏幕顶部将显示一条消息，确认 SAML 配置已更新。

图 38：（仅限英文）SAML 配置已更新

1. 在网页浏览器中，打开您所在区域的相应登录页面，然后选择 Sign in via SSO 选项。

图 39：（仅限英文）Carbon Black Cloud 登录

2. 输入分配给 Azure 应用程序的用户的电子邮件地址，然后选择 Sign In。

图 40：（仅限英文）使用 SSO 登录

3. 登录 Azure，然后接受最终用户协议以进入 Carbon Black Cloud 控制台（如果尚未使用此用户帐户接受）。

图 41：（仅限英文）接受最终用户协议

VMware Carbon Black Cloud 按预期加载。

图 42：（仅限英文）VMware Carbon Black Cloud 控制面板