时间:2021-07-15 | 标签: | 作者:Q8 | 来源:莫得感情的搬运工网络
小提示:您能找到这篇{本地AD域迁移到 Azure AD,WS1怎么调整?}绝对不是偶然,我们能帮您找到潜在客户,解决您的困扰。如果您对本页介绍的本地AD域迁移到 Azure AD,WS1怎么调整?内容感兴趣,有相关需求意向欢迎拨打我们的服务热线,或留言咨询,我们将第一时间联系您! |
< font-size: 16px;">现在使用Azure AD的企业慢慢变多,很多企业开始准备将本地AD域搬迁到Azure AD上面去。Workspace ONE中不管是UEM或者是Access都是将本地AD域作为最重要的认证和用找营销策划户信息来源,AD迁移到AAD必然是对目前架构的一次重大调整。 < font-size: 16px;">那么,与之对应的,Workspace ONE如何调整?理一下思路: < font-size: 16px;">1Workspace ONE UEM和Azure AD对接 < font-size: 16px;">没问题,UEM支持将Azure AD作为认证源。 < font-size: 16px;">2Workspace ONE Access和Azure AD对接 < font-size: 16px;">也没有问题,Access和Azure AD都支持SAML。也就是说,我们可以将Azure AD作为WS1 Access的SAML IDP。 < font-size: 16px;">单独对接都没有问题,那么UEM和Access都有的情况呢? < font-size: 16px;">3Workspace ONE UEM 和Access都有,如何和Azure AD对接? < font-size: 16px;">我们需要看一下UEM和Access都存在的情况下,企业应用的场景包括:
< font-size: 16px;">所以,我们在设置上会将注册时的认证来源选为Workspace ONE Access。 < font-size: 16px;">是不是开始有点懵了? < font-size: 16px;">那么是不是UEM和Access分别与AAD对接,就可以了呢? < font-size: 16px;">我曾经也这么认为,结果发现分别对接后两边的用户属性无法匹配,会出现一旦将Access作为认证源,Hub就无法进行正常注册。 < font-size: 16px;">如果将UEM作为认证源,Hub可以注册,但无法获取到Access发布的应用列表。 < font-size: 16px;">貌似是一个两难的境地。 < font-size: 16px;">突破点是让两边的用户属性统一,最合理的方式是:Access把用户写入到UEM里面。 < font-size: 16px;">事实上是用户属性从AAD→_→Access→_→UEM。 < font-size: 16px;">我知道听起来有点玄幻,但确实可以做。基于两点: < font-size: 16px;">1将Azure AD作为WS1 Access的SAML IDP,配置Just in Time用户,在 用户登录Access(其实是登录Azure AD)的同时,把信息写入Access。 < font-size: 16px;">实现了用户属性从AAD→_→Access。 < font-size: 16px;">2 利用Airwatch Provisioning APP,实现用户属性从Access→_→UEM。 < font-size: 16px;">也就是说在开始时Azure AD用户在UEM和Access都是没有账户,更不用说用户属性了。 < font-size: 16px;">Azure AD用户要做的就是登录一次Access,即可完成在Access和UEM的账户创建,包括用户属性和Azure AD同步。 < font-size: 16px;">接下来用户就可以用Azure AD凭证来注册设备,获取完整的应用门户了! < font-size: 16px;">管理员无需进行用户生命周期管理。只需要负责Azure AD的部分就好了。 < font-size: 16px;">很好对吧,下面我们来看看如何实现。 < font-size: 16px;">测试环境准备:
< font-size: 16px;">如何获得以上测试环境我就不写了。 < font-size: 16px;">首先我们利用hub service的向导,将UEM和Access进行集成。这是最简易的方式,很轻松将UEM和Access集成起来。注意hub注册认证源选择成Access。 < font-size: 16px;">下面我们将Azure AD配置成Access的SAML IDP。 < font-size: 16px;">第一步先下载Access的SAML元数据,注意此时Access是作为服务提供商(SP),所以我们需要下载SP的元数据。 < font-size: 16px;">第二步,我们需要配置Azure AD。先打开https://aad.portal.azure.com/ 。 < font-size: 16px;">选择Azure Active Directory,创建一个新的企业应用程序。 < font-size: 16px;">选择最后一危机公关就是组织危机的公项Non-gallery。 < font-size: 16px;">授权用户,把自己的测试账户分配进去,要不然没有授权,用户是没法使用这个应用程序来完成SAML的。 < font-size: 16px;">点击单一登录,SAML。 < font-size: 16px;">设置基本SAML配置。 < font-size: 16px;">实体ID:刚才Access SP的XML地址。记得设置成默认。 < font-size: 16px;">回复URL:SP.xml里面可以找到。 < font-size: 16px;">注销URL:同上。 < font-size: 16px;">添加断言中的用户属性和声明: < font-size: 16px;">注意这些值会作为Access的JIT用户属性,其中最关键的是ExternalID,是将来配置Airwatch Provisioning APP所必须的,如果没有则会造成用户无法置备到UEM里面去。注意声明名称的大小写。 < font-size: 16px;">下载联合元数据XML。 < font-size: 16px;">第三步,我们回到Access界面。 < font-size: 16px;">在身份提供程序中点击添加SAML IDP。 < font-size: 16px;">填写身份提供程序的名称,绑定协议HTTP重定向。 < font-size: 16px;">SAML 元数据就是把刚才从Azure AD下载的联合元数据XML用编辑器打开,粘贴到框中,点击处理IDP元数据。 < font-size: 16px;">用户识别方式选为NameID元素,点击加号两次,添加: < font-size: 16px;">“urn:oasis:names:tc:1.1:nameid-format:unspecified”映射到 < font-size: 16px;">“userPrincipalName”。 < font-size: 16px;">“urn:oasis:names:tc:1.1:nameid-format:emailAddress”映射到 < font-size: 16px;">“userPrincipalName”。 < font-size: 16px;">选中即时用户置备,创建目录名称(可以是任意,不一定是FQDN那种)。 < font-size: 16px;">选中使用的网络范围,没有设置过就选中所有。默认是不选的,一定要选中。 < font-size: 16px;">身份验证方法自己随便起名字,SAML上下文是 < ">选中启用单点注销配置。 < font-size: 16px;">修改访问策略,根据实际情况,本文是修改了default策略。选中所使用刚才自己创建的身份验证名称。 < font-size: 16px;">可以观察到目录中多出了一个即时目录,希望你刚才起了一个容易分辨的名字。 < font-size: 16px;">打开另外一个浏览器或者是隐私模式之类的,尝试用Azure AD用户来登录Access。 < font-size: 16px;">你会发现界面会自动跳转到Azure AD登录。 < ">登录完成之后会发现该用户被即时创建了出来。 < ">注意观察此时的用户属性,包括了我们的ExternalID,也就是图中的外部ID。 < font-size: 16px;">第四步:配置Airwatch Provisioning APP来做用户置备。这步还是在Access界面上。 < font-size: 16px;">新建Web应用,从目录中选择Airwatch Provisioning,先不用做任何配置,一路点击下一步,保存。 < font-size: 16px;">回到Web应用列表。选中新建出来的Airwatch Provisioning,点击编辑。会发现界面有所变化。出现在置备的相关内容。 < font-size: 16px;">点开配置。这里可以采用粘贴XML内容的方式来自动填写。XML是来自UEM设置目录集成这里导出。 < font-size: 16px;">置备选项页中,可以选择启用证书身份验证,或者手动输入的方式。把启用置备改成“是”。 < font-size: 16px;">用户置备页面。带红色星号的是必须的,可以看到ExternalID(外部ID)的重要性。 < ">组置备可以不配置。 < font-size: 16px;">保存并分配给用户/组即可。稍后可以看到用户已经置备成功。 < font-size: 16px;">此时回到UEM界面,就可以看到置备出来的用户。 < font-size: 16px;">需要说明的是,用户只需要登录一次Access即可,并不需要手工点击Airwatch Provisioning这个APP,其实默认这个APP是隐藏,不显示在用户门户中的,因为没必要。 < font-size: 16px;">最后一步就可以用设备来注册试试看了。 < font-size: 16px;">至此我们就完成了WS1的挑战,和Azure AD的集成。 |
上一篇:多名资深开发者以实际案例分享卡牌游戏设计经
下一篇:什么是速卖通数据纵横?速卖通数据分析案例:
基于对传统行业渠道的理解,对互联网行业的渠道我们可以下这样一个定义:一切...
小米应用商店的后台操作和苹果是比较相似的,因为都能填写100字符关键词,允许...
小米的规则目前是在变更中的,但是根据经验小米的搜索排名评分的高低是个很重...
为了恰饭,有时候是要接入一些广告的,所以FB也专门有一个广告的SDK,这就是A...
在 2018 年于旧金山举行的游戏开发者大会上,Amazon Web Services (AWS) 曾宣布,目前世...
关于Facebook Audience Network如何收款的问题,其实官方已经给了详细的步骤。本文主要...
本文介绍了Audience Network对广告载体的质量检查,以及它重点广告形式需要注意的问...
随着iOS开发,作为开发者或公司需要针对iOS App开发涉及的方方面面作出对应的信息...
Facebook和谷歌对出海企业广告渠道都很熟悉,但事实上,在国外还有一些渠道也很...
卖家从做号的第1分钟开始,就一定要想好变现路径是什么?一定要以变现为目的去...
小提示:您应该对本页介绍的“本地AD域迁移到 Azure AD,WS1怎么调整?”相关内容感兴趣,若您有相关需求欢迎拨打我们的服务热线或留言咨询,我们尽快与您联系沟通本地AD域迁移到 Azure AD,WS1怎么调整?的相关事宜。
关键词:本地AD域迁移到,Azure,AD,