使用Microsoft Entra ID进行用户SAML 2.0认证示例

操作场景

Workspace与企业进行单点认证登录时，Workspace作为服务提供商（SP），企业自有的身份管理系统是身份提供者（IDP）。本文为您介绍企业IDP与Workspace基于SAML2.0的用户来实现单点登录，配置相应元数据来建立Workspace对身份提供者（IDP）的信任，实现身份提供者（IDP）通过用户单点登录云桌面。启用SAML 2.0单点登录后，企业员工登录客户端时，系统将自动跳转至企业受信任的认证平台完成身份验证。

本章节将以Workspace与Microsoft Entra ID对接为例，介绍 SAML 2.0 单点登录的配置流程。

步骤一：在Microsoft Entra ID中创建应用程序

使用Microsoft Entra ID管理员用户登录Azure 门户。
在左侧导航栏，依次选择“Microsoft Entra ID > 管理 > 企业应用程序 > 所有应用程序”。
单击“新建应用程序”，在浏览Microsoft Entra 库页面，单击“创建你自己的应用程序”。
在创建你自己的应用程序页面，输入应用名称（例如：WorkspaceOAuth2），并选择集成未在库中找到的任何其他应用程序（非库），然后单击“创建”。
在概览页面，将“Workspace”应用的用户分配到该应用中。
单击进入创建的应用程序,在“设置单一登录”下单击“开始。
在“选择单一登录方法”页面单击选择“SAML”。

设置基本SAML配置。

表1 SAML配置参数
参数	配置示例
Identifier	urn:huawei:workspace
Reply URL	{access_url}/v2/access/auth/{project_id}/saml2/assertion-consumer
Logout Url	{access_url}/v2/access/auth/{project_id}/saml2/logout

access_url和project_id请根据实际情况进行替换。

在SAML证书页面的“联合元数据 XML”右侧单击“下载”，保存下载的联合元数据XML文件留作备用。

步骤二：在云桌面的管理控制台开启第三方单点认证

启用SAML 2.0后，系统将统一跳转至企业身份提供商进行认证，同时，Workspace 的本地密码登录方式将会关闭。
企业（IDP）已在第三方平台（Microsoft Entra ID）中获取对应的IDP元数据文件。

登录管理控制台。
在左侧导航中依次选择“租户配置 > 认证配置”，在主认证配置页签下，单击“修改”。
在主认证类型选择“第三方单点认证”。

协议类型选择“SAML2.0”，根据需要配置信息，如表2所示。

表2 SAML 2.0配置项及说明
配置项	说明	参考值	提供方
身份提供者名称	用户自定义，名称只能由英文字母、数字及特殊字符"-"组成，字符范围：1~64个字符	Azure	由租户侧自定义。
接入服务器地址	服务器接入地址（互联网接入地址或云专线接入地址），输入内容不能为空，字符范围1~255个字符	https://vdesk.huawei.com:8443	由租户侧在云桌面的管理控制台上获取。
IDP元数据	Identity Provider（身份提供者，简称 "IDP"）的元数据文件，其中包含了关于IDP的配置信息，如身份提供者的实体ID、支持的身份验证方法、签名证书等。文件必须是有效的UTF-8编码的XML文件，且文件大小不超过1MB。	单击“添加文件 ”将9下载的元数据文件上传。说明：元数据文件由企业IDP提供，一般为XML格式，包含IdP的登录服务地址以及X.509公钥证书（用于验证IdP所颁发的SAML断言的有效性）。	由租户侧SAML身份提供者（IDP）提供。
用户唯一标识	用户唯一标识配置为url格式，该标识对应的值必须与Workspace的用户名保持一致。	http://schemax.xxx.xxx	由租户侧SAML身份提供者（IDP）提供。