Microsoft Entra 集成
SaaS 对接指南
对接方式说明:根据 Microsoft Entra的策略规定,SaaS 平台对接Microsoft Entra,需通过 Entra 管理员授权�应用权限,授权完成后统一交给平台(HAP)完成剩余的对接工作。
注:私有部署用户对接,可参考自助对接方式进行对接或修改。
1、申请 Entra 授权
- 在HAP中,超级管理员点击【个人头像】 > 【组织管理】 > 【集成】 >【企业身份】,选择 “Microsoft Entra”。
HAP只能对接一个平台,如果已经对接了一个,其他平台不再显示,关闭已集成后可以对接其他平台。
- 连接 Entra 进行授权
Microsoft Entra 管理员点击按钮跳转到 Microsoft 授权页面,按照引导完成授权即可。
2、设置同步范围
若不需要同步Entra 目录下的全部成员时,可在 Microsoft Entra 后台选择组类型为 "Security" 的一个组,将需要同步的成员加入到这个安全组内即可。
打开 “Security” 组详情页面 ,复制安全组的ID。
进入HAP集成页面,将复制的安全组的 ObjectID 粘贴进 GroupID 文本框中。
不填写 GroupID 内容将会同步目录下的全部人员。
3、同步人员
确认同步范围后,点击【同步】按钮开始同步。
Microsoft 账号要一键登录HAP,那么在HAP也必须要有一个关联绑定的组织账户,对接完成前最后一步就是同步账户数据,将Microsoft账户和HAP组织账户绑定起来。
平台(HAP)在获取 Microsoft 账户时,通过获取 Microsoft 账户的 User principal name 与平台的邮箱账号匹配,未匹配到平台组织账户时会根据User principal name 创建一个新的组织账户。
4、管理已绑定关系
管理员在组织管理后台>集成>第三方平台>数据同步中,可以查看和管理现有的账号绑定关系。
• 可以查看目前已经绑定的账户
• 可以取消现有绑�定,被取消的Microsoft账户将不能再登录HAP,再次点击同步时,可以重新绑定。
私有部署对接指南
1、Entra 管理员登录 Entra 后台
点此登录:https://entra.microsoft.com
2、在应用注册菜单下点击创建应用
3、创建应用
-
Supported account types:
需要选择应用类型为仅当前租户可访问,若是平台版需要选择为任何租户可访问。
-
Redirect URL:
在HAP 平台管理中,复制两个回调地址。
将平台管理后台生成的两个回调 URL 填入到 Entra 。
4、复制应用信息到平台管理后台
1)将创建的 Entra 应用的 Application(Client)ID 复制到平台管理后台中的 Entra配置服务中
2)为Entra 应用创建应用密钥(Sercet),并将此密钥复制到平台管理后台中的 Entra配置服务中
按照下方引导点击创建应用密钥按钮,创建完成后需要将密钥 复制好保存,然后将密钥复制到平台管理后台。
3)选择需要的 API 权限
在 Entra 后台打开应用点击 API 权限菜单,点击创建权限按钮。
点击 Microsoft Graph,按照下面页面将页面内的权限,点击勾选即可。
添加的API权限如下:
5、HAP 组织后台操作授权同步
按照SaaS地接指南完成操作即可。
Microsoft Entra 单点登录
完成 Microsoft Entra 集成后,在“单点登录设置”中,可启用“仅允许使用 Microsoft 账号登录”。
启用后:将禁用密码/验证码/其他 SSO 等登录方式,并由 Entra 统一管理组织的登录安全策略(如密码策略、登录校验、二次验证/MFA)。
适合希望强制统一身份入口、提升账号安全与合规的业务场景需求。
启用后,组织的登录页面将仅显示Microsoft Entra的登录入口,若用户在平台其他登录页使用其他方式登录时,将会被拦截。
单点登录仅对所有已经同步绑定的成员生效,未同步绑定的成员不生效可继续使用平台账户登录。
