如何使用 VMware Carbon Black Cloud 通过 Azure Active Directory 配置单点登录

1. 在网页浏览器中，打开您所在区域的相应登录页面，然后使用管理员帐户登录。
   提醒：区域登录页面如下。

   • 美洲 = https://defense-prod05.conferdeploy.net/
   • 欧洲 = https://defense-eu.conferdeploy.net/
   • 亚太地区 = https://defense-prodnrt.conferdeploy.net/
   • 澳大利亚和新西兰 = https://defense-prodsyd.conferdeploy.net
2. 展开 Settings。
   
3. 选择 Users。
   
4. 在 SAML Config 下选择 Enabled 以从 Carbon Black 环境收集 SSO 所需的信息。
5. 复制以绿色突出显示的信息，因为在 Azure 配置过程中将需要这些信息。
   • 以橙色突出显示的部分是需要从 Azure 获取的信息，将在下面的 Azure 部分中收集。
     提醒：

     • 此信息因环境注册到的 Carbon Black 实例而异。
     • 在单点登录 URL（HTTP 重定向绑定）和 X509 证书填充并保存之前，环境不会发生任何更改。
     
     

1. 使用具有应用程序管理员或更高权限的帐户，通过 https://portal.azure.com 登录到 Azure 门户。
2. 在顶部栏中进行搜索以找到 Enterprise applications。
   
3. 在“Enterprise Applications”屏幕上，单击左侧 Manage 菜单中的 All applications，然后单击 New Application 选项。
   
4. 选择 Create your own application 选项。
   
5. 在“ 创建自己的应用程序 ”窗格中，提供应用程序的名称，选择 “集成库中找不到的任何其他应用程序（非库） ”单选按钮，然后单击 “创建”。
   
   提醒：创建过程可能需要几分钟时间。
6. 在创建的应用程序中，从左侧“管理”菜单中选择“单一登录”。
   
7. 在 Select a single sign-on method 窗格中，选择 SAML 作为单点登录方法。
   
8. 单击 Basic SAML Configuration 部分右上角的 Edit 图标。
   
9. 将来自 VMware Carbon Black Cloud 控制台的 受众 URL 粘贴到 标识符（实体 ID） 字段中，并将其设置为默认值。
   
10. 将从 VMware Carbon Black Cloud 控制台获取的 ACS (Consumer) URL 粘贴到 Reply URL (Assertion Consumer Service URL) 字段中，并将其设置为默认。
    
11. 单击 Basic SAML Configuration 窗格左上角的 Save 图标。
    
12. 单击 User Attributes & Claims 部分右上角的 Edit 图标。
    
13. 单击三个点以查看其他声明 user.surname开始， user.userprincipalname开始， user.givenname 并删除这些选项。这会留下 user.mail 作为“其他报销申请”部分中的唯一报销申请。
    
    
14. 单击 Required Claim 部分中的 Unique User Identifier 以修改该声明。
15. 从 修改源属性 user.userprincipalname 设置为 user.mail登录。
    
16. 展开 Choose name identifier format。
    
17. 将 Name identifier format 修改为 Default。
    
18. 单击左上角的 Save 图标。
19. 在“Additional Claim”标题下选择 Claim name。
    
20. 将 Name 修改为 mail。
    提醒：

    • 不设置 名称 会导致 INVALID_ASSERTION 失败。
    • 确保清除 命名空间 。此字段中的任何条目都会导致 INVALID_ASSERTION 失败。
    
    
21. 保存更改，然后关闭 User Attributes & Claims 窗格。
22. 在 SAML Signing Certificate 部分中，单击 Certificate (Base64) 选项旁边的 Download，然后保存证书文件。此证书将会在配置 Carbon Black Cloud 控制台时用到。
    
23. 从 设置 <应用程序名称> 部分复制登录 URL。此证书将会在配置 Carbon Black Cloud 控制台时用到。
    
24. 必须将用户添加到应用程序以允许用户登录。从左侧 Manage 菜单中选择 Users and groups。
    
25. 选择 Add user/group 选项。
    
26. 单击 None Selected 以添加用户。
    
27. 分配相应的用户和组，然后单击 Select。
    提醒：必须将分配的任何用户手动添加到 VMware Carbon Black Cloud 控制台并在其中设置适当的角色。有关角色的更多信息，请参阅 如何添加 VMware Carbon Black Cloud 管理员。
    
    
28. 添加用户后，单击左下角的 Assign。
    
    

现在已经有了从“Azure 配置”部分中的步骤中获得的 SAML 签名证书和登录 URL。

1. 在网页浏览器中，打开您所在区域的相应登录页面，然后使用管理员帐户登录。
   提醒：区域登录页面如下。

   • 美洲 = https://defense-prod05.conferdeploy.net/
   • 欧洲 = https://defense-eu.conferdeploy.net/
   • 亚太地区 = https://defense-prodnrt.conferdeploy.net/
   • 澳大利亚和新西兰 = https://defense-prodsyd.conferdeploy.net
2. 展开 Settings。
   
3. 选择 Users。
   
4. 在“SAML Config”下选择 Enabled 以更新 SSO 的 SAML 配置。
5. 将从 Azure 配置部分中获得的 Login URL 粘贴到 Single sign-on URL (HTTP-redirect binding) 字段中。
   
6. 右键单击之前从 Azure 下载的 SAML 签名证书， 然后选择 Open with…登录。
   
7. 从列表中选择记事本或您偏好的文本编辑器以打开 .cer 文件。
   
8. 复制证书文件的内容并将其粘贴到 X509 certificate 字段中。
   
   
   提醒：此字段会自动截断回车以及页眉和页脚文本。
   
   
   
9. 单击 Save。屏幕顶部将显示一条消息，确认 SAML 配置已更新。
   

1. 在网页浏览器中，打开您所在区域的相应登录页面，然后选择 Sign in via SSO 选项。
   提醒：区域登录页面如下。

   • 美洲 = https://defense-prod05.conferdeploy.net/
   • 欧洲 = https://defense-eu.conferdeploy.net/
   • 亚太地区 = https://defense-prodnrt.conferdeploy.net/
   • 澳大利亚和新西兰 = https://defense-prodsyd.conferdeploy.net
   
   
2. 输入分配给 Azure 应用程序的用户的电子邮件地址，然后选择 Sign In。
   
3. 登录到 Azure，然后接受 最终用户协议 以进入 Carbon Black Cloud 控制台（如果尚未对此用户帐户接受此控制台）。
   
   VMware Carbon Black Cloud 按预期加载。