Microsoft Entra 集成
SaaS 对接指南
对接方式说明:根据 Microsoft Entra的策略规定,SaaS 平台对接Microsoft Entra,需通过 Entra 管理员授权应用权限,授权完成后统一交给平台(HAP)完成剩余的对接工作。
1、申请 Entra 授权
- 在HAP中,超级管理员点击【个人头像】 > 【组织管理】 > 【集成】 >【企业身份】,选择 “Microsoft Entra”。
HAP只能对接一个平台,如果已经对接了一个,其他平台不再显示,关闭已集成后可以对接其他平台。
- 连接 Entra 进行授权
Microsoft Entra 管理员点击按钮跳转到 Microsoft 授权页面,按照引导完成授权即可。
2、设置同步范围
若不需要同步Entra 目录下的全部成员时,可在 Microsoft Entra 后台选择组类型为 "Security" 的一个组,将需要同步的成员加入到这个安全组内即可。
打开 “Security” 组详情页面 ,复制安全组的ID。
进入HAP集成页面,将复制的安全组的 ObjectID 粘贴进 GroupID 文本框中。
不填写 GroupID 内容将会同��步目录下的全部人员。
3、同步人员
确认同步范围后,点击【同步】按钮开始同步。
Microsoft 账号要一键登录HAP,那么在HAP也必须要有一个关联绑定的组织账户,对接完成前最后一步就是同步账户数据,将Microsoft账户和HAP组织账户绑定起来。
平台(HAP)在获取 Microsoft 账户时,通过获取 Microsoft 账户的 User principal name 与平台的邮箱账号匹配,未匹配到平台组织账户时会根据User principal name 创建一个新的组织账户。
4、管理已绑定关系
管理员在组织管理后台>集成>第三方平台>数据同步中,可以查看和管理现有的账号绑定关系。
• 可以查看目前已经绑定的账户
• 可以取消现有绑定,被取消的Microsoft账户将不能再登录HAP,再次点击同步时,可以重新绑定。
私有部署对接指南
1、Entra 管理员登录 Entra 后台
点此登录:https://entra.microsoft.com
2、在应用注册菜单下点击创建应用
3、创建应用
-
Supported account types:
需要选择应用类型为仅当前租户可访问,若是平台版需要选择为任何租户可访问。
-
Redirect URL:
在HAP 平台管理中,复制两个回调地址。
将平台管理后台生成的两个回调 URL 填入到 Entra 。
4、复制应用信息到平台管理后台
1)将创建的 Entra 应用的 Application(Client)ID 复制到平台管理后台中的 Entra配置服务中
2)为Entra 应用创建应用密钥(Sercet),并将此密钥复制到平台管理后台中的 Entra配置服务中
按照下方引导点击创建应用密钥按钮,创建完成后需要将密钥 复制好保存,然后将密钥复制到平台管理后台。
3)选择需要的 API 权限
在 Entra 后台打开应用点击 API 权限菜单,点击创建权限按钮。
点击 Microsoft Graph,按照下面页面将页面内的权限,点击勾选即可。
添加的API权限如下:
5、HAP 组织后台操作授权同步
按照SaaS地接指南完成操作即可。
Microsoft Entra 单点登录
完成 Microsoft Entra 集成后,在“单点登录设置”中,可启用“仅允许使用 Microsoft 账号登录”。
启用后:将禁用密码/验证码/其他 SSO 等登录方式,并由 Entra 统一管理组织的登录安全策略(如密码策略、登录校验、二次验证/MFA)。
适合希望强制统一身份入口、提升账号安全与合规的业务场景需求。
启用后,组织的登录页面将仅显示Microsoft Entra的登录入口,若用户在平台其他登录页使用其他方式登录时,将会被拦截。
单点登录仅对所有已经同步绑定的成员生效,未同步绑定的成员不生效可继续使用平台账户登录。
