本分步指南将向您介绍如何将 keycloak 设置为 Entra ID 单点登录 (SSO) 的身份提供者。
目录
单点登录(SSO) 使登录多个应用程序变得更简单、更安全。SSO 使用户只需进行一次身份验证,即可访问所有内容,无需再次登录。.
本指南介绍如何通过 Microsoft Azure Active Directory (Entra ID) 配置启用 SSO。.
我们的目标是帮助您设置身份验证,以便与 Entra ID 顺利配合,确保用户可以无缝、安全地登录。我们将保持清晰明了。.
所需物品
开始之前,请确保您已
- 具有管理访问权限的 Entra ID 租户
- Entra ID 管理面板的基本知识
- 使用浏览器进行测试
为什么使用 Entra ID?
Entra ID(已更名为 Microsoft Azure AD)被广泛用于企业用户管理。将其与我们的身份验证相结合,您的应用程序就可以使用 Entra ID 的安全用户数据库,同时利用我们的身份验证组件(Keycloak)进行 SSO 和角色管理。.
对于希望在多个平台上获得统一登录体验的企业来说,这种设置尤其有用。.
步骤 1:了解 SSO 流程
下面简单介绍一下 SSO 流程的工作原理:
- 用户尝试访问 Tridens Monetization 或 Tridens EV Charge 应用程序。.
- 该应用程序会将他们重定向到 Keycloak。.
- Keycloak 会检查用户是否已登录。如果没有,它会将用户发送到 Entra ID 的登录页面。.
- 用户输入 Entra ID 凭据(如电子邮件和密码)。.
- Entra ID 验证用户,并将验证详情发回 Keycloak。.
- Keycloak 向应用程序发出一个令牌,允许用户无需再次登录即可访问应用程序。.
- Entra ID 组的用户角色可用于控制用户在应用程序中的操作。.
这一流程可确保安全顺畅的访问,同时将用户数据保存在 Entra ID 中。.
第 2 步:Azure 应用程序配置
- 创建新的 Azure 应用程序。从 portal.azure.com 创建新的应用程序注册,在要求时选择支持多个组织。您可以在搜索中找到应用程序注册。.
- 单击新注册。.
- 填写应用程序详细信息
创建应用程序后,Azure 会向您显示 应用程序(客户端)ID. .复制这个值--以后会用到。.
- 下一步,转到 证书和秘密 并创建一个 新客户秘密. .安全保存生成的值,它也将用于 Keycloak。.
- 返回应用程序详细信息页面,点击 终点. .复制 OpenID Connect 元数据文档 URL. .这对稍后 Keycloak 的配置非常重要。.
步骤 3:添加身份供应商(IdP)
- 通过业务门户 > 安全 > 身份提供商在 Tridens Monetization 中添加 IdP。.
- 填写 的 表单,其中包含发现端点、客户 ID (这是 Azure 中的应用程序(客户端)ID)和 客户秘密 (这是来自 Azure 的值)。.
- 在发现端点字段下添加 OpenID Connect 元数据文档 URI。.
步骤 4:测试 Keycloak 和 Entra ID SSO 设置
要确保通过 Entra ID 单点登录 (SSO) 集成的身份验证工作正常,请按照以下步骤测试登录过程。这将确认用户可以使用他们的 Entra ID 凭据顺利登录。.
- 打开浏览器,进入 Tridens Monetization 门户(如果已登录,请注销)。.
你应该会看到一个类似下面的登录页面。.
- 在登录页面,点击 “Microsoft ”按钮。.
这将把您重定向到 Microsoft Entra ID 登录页面。.
- 使用 Microsoft 凭证登录。输入您的 Microsoft Entra ID 用户名和密码。.
如果这是您第一次登录,您可能会看到一个权限请求,要求您允许应用程序访问您的账户。点击 “接受 ”继续。.
- 检查结果
接受后,您将被重定向到 Keycloak 账户控制台的个人资料页面。.
看到此页面意味着 SSO 集成工作正常。.
故障排除
如果您没有看到 Entra ID 登录页面,请仔细检查您的身份供应商设置。.
确保您的 Entra ID 凭据正确无误,且用户有访问应用程序的权限。如果配置文件页面没有出现,请验证 Keycloak 中的重定向 URI 是否与应用程序的设置一致。.
成功秘诀
- 彻底测试:尝试使用不同账户登录。.
- 检查文件:如有需要,请参阅 Entra ID 文档。.
- 备份配置:保存 Entra ID 设置。.
将 Tridens Monetization 与用于 SSO 的 Entra ID 集成,可简化网络应用程序的用户身份验证,同时利用 Entra ID 强大的用户管理功能。.
按照以下步骤,您就可以建立一个安全高效的登录系统。.
