Microsoft Entra ID 认证模块
Microsoft Entra ID 认证模块允许用户使用其 Microsoft Entra ID 账户登录 IDE Services Cloud。
设置 Microsoft Entra ID 认证时,您可以配置自定义或通用租户。 对于自定义租户,您需要定义一个特定的租户 ID,仅允许您的 Microsoft Entra ID 实例中的用户登录。 如果未指定租户 ID,则认证模块允许任何 Microsoft Entra ID 租户中的用户登录,无论其组织成员资格如何。
如需了解如何设置新租户,请参阅 Microsoft Entra ID 文档。
要创建 Microsoft Entra ID 模块:
在 Administration (行政) 菜单的 Access Management (权限管理) 部分,选择 Auth Modules (身份验证模块)。
点击 New module (新模块) 按钮。
Select an identity provider (选择一个身份提供商) 对话框将打开。
在 Select an identity provider (选择一个身份提供商) 对话框中,选择 Microsoft Entra ID。
Configure Login with Microsoft Entra ID (使用 Microsoft Entra ID 配置登录) 向导打开。
要继续 自定义租户设置 ,请在 Microsoft Entra ID 中指定 Tenant ID (租户 ID) 字段的值。
要继续 通用租户设置 ,请将 Tenant ID (租户 ID) 字段留空。
点击 Next (下一步)。
复制生成的重定向 URI。
按照向导中的说明,在 Microsoft Entra ID 中注册 IDE Services Cloud 应用并配置重定向 URI。 这将使您获得启用 Microsoft Entra ID 认证模块所需的客户端 ID 和密钥。
从 Microsoft Entra ID 复制 Application (client) ID (应用程序(客户端)ID) 和 Client secret (客户端密钥) ,并分别粘贴到 IDE Services Cloud 的 Client ID (客户端 ID) 和 Client Secret (客户端密钥) 字段中。
点击 Finish (完成)。
Auth Modules (验证模块) 页面会显示新 Microsoft Entra ID 认证模块的设置。
如需了解如何在 Microsoft Entra ID 中注册 IDE Services Cloud,请按照 Microsoft Entra ID 产品文档 中的说明操作。
下表列出了该认证模块在 Microsoft Entra ID 中所需的关键配置选项:
设置 | 描述 |
|---|---|
支持的账户类型 | 这决定了谁可以使用该应用程序,有时称为其 登录受众。 对于此配置,选择 Accounts in this organizational directory only (仅限本组织目录中的帐户) (单租户)选项。 |
重定向 URI | 将 IDE Services Cloud 生成的重定向 URI 粘贴到输入字段。 对于类型,选择 Web 选项。 |
应用程序(客户端)ID | 在 Microsoft Entra ID 中注册应用程序时,该值会自动生成。 请将此字段的值用作 IDE Services Cloud 中的 Client ID (客户端 ID) 设置。 |
客户端密钥 | 值 | 此值是在应用注册过程中 Certificates & secrets (证书和密钥) 部分生成的。 为应用程序添加客户端密钥后,请将该密钥的值作为 IDE Services Cloud 中的 Client secret (客户端密钥) 使用。 |
API 权限 | 如需将 Microsoft Entra ID 服务中的现有组成员信息映射到 IDE Services Cloud 的组,请为应用程序授予以下用于 Microsoft Graph API 的 Delegated (委托的) 类型权限:
如需在 Microsoft Entra ID 与 IDE Services Cloud 之间设置同步,还需要以下 Application (应用程序) 类型权限:
目前您应用可用的所有权限会在 API permissions (API 权限) 页面列出。 |
获得所需的授权服务连接值后,您可以启用 Microsoft Entra ID 认证模块。
要启用 Microsoft Entra ID 认证模块:
如有需要,可为认证模块配置可选设置。 如需详细信息,请参阅 其他设置。
点击页面底部的 Save (保存) 按钮。
点击标题栏中的 Enable (启用) 按钮。
Microsoft Entra ID 认证模块已启用。
Microsoft Entra ID 图标已添加到登录对话窗口。 用户可点击此图标,使用其 Microsoft 账户登录 IDE Services Cloud。
设置
在设置页面标题栏,您可以找到关于认证模块的常规信息,包括其名称和租户 ID。
设置 | 描述 |
|---|---|
名称 | 用于存储认证模块名称。 通过此设置可以在 Auth Modules (身份验证模块) 列表中将该模块与其他认证模块区分开。 您可以通过 Rename (重命名) 操作更改认证模块的名称。 有关详细信息,请参阅 操作。 |
租户 | 用于存储 Microsoft Entra ID 服务中自定义租户的 ID。 对连接到通用租户的认证模块,该字段为空。 |
导入到 IDE Services Cloud 的账户 | 显示已导入到 IDE Services Cloud 安装中的 Microsoft Entra ID 用户数量。 |
在 Entra ID 中找到的用户账户 | 显示 IDE Services Cloud 在 Microsoft Entra ID 中发现的用户账户数量。 |
上次同步 | 显示 IDE Services Cloud 与 Microsoft Entra ID 之间上一次同步用户账户和组的时间。 |
在 General Settings (常规设置) 选项卡中,您可以找到认证模块的常规设置。 其中包括您用于在授权服务中注册 IDE Services Cloud 的重定向 URI,以及用于存储 Client ID (客户端 ID) 和 Client Secret (客户端密钥) 的输入字段。
设置 | 描述 |
|---|---|
重定向 URI | 显示用于在授权服务中注册与 IDE Services Cloud 连接的授权重定向 URI。 |
客户端 ID | 用于存储授权服务用于校验登录请求的标识符。 在配置 Web 应用授权设置并输入授权重定向 URI 时,您会在授权服务中生成该值。 |
客户端密钥 | 用于存储校验客户端 ID 所使用的密钥或密码。 您会在生成客户端 ID 的同时在授权服务中生成该值。 |
默认 | 将当前认证模块设为 默认。 |
用户和组
Users & Groups (用户和用户小组) 选项卡中的设置可让您配置 IDE Services Cloud 与 Microsoft Entra ID 之间的用户账户及组数据同步。
启用同步后,对 Microsoft Entra ID 资料的更改将与 IDE Services Cloud 同步。 此同步是在用户使用 Microsoft 账户凭据登录 IDE Services Cloud 时自动发送的同步请求之外执行的。
设置 | 描述 |
|---|---|
选定组 | 允许您选择需要与 IDE Services Cloud 同步的 Entra ID 用户组。 |
选择所有组 | 启用该选项后,将同步 Entra ID 中发现的所有组至 IDE Services Cloud。 |
计划同步 | 用于确定与 Microsoft Entra ID 同步用户属性和组成员身份的频率。 启用该设置后,您可以在三个预定义的时间间隔中进行选择:
您也可以随时点击标题栏中的 Sync users and groups now (立即同步用户和用户小组) 按钮手动启动同步。 禁用该设置时,组成员关系依然会在用户登录时按用户同步。 同步功能仅在认证模块处于 Enabled (启用) 状态时激活。 |
群组映射
如果 Entra ID 未授予所需的 API 权限 ,您可以手动填写 Entra ID 组名称以在 IDE Services Cloud 中使用。
Microsoft Entra ID 模块会自动将存储 Microsoft Entra ID 组成员身份的属性映射到 IDE Services Cloud 数据库中存放成员记录的字段。 您只需将 Microsoft Entra ID 服务中的组映射到 IDE Services Cloud 中相应的组。
配置组映射后,IDE Services Cloud 会在用户使用目录服务管理的账户登录时检查其 Microsoft Entra ID 组成员身份。 IDE Services Cloud 会针对每个已映射到 IDE Services Cloud 组的 Microsoft Entra ID 组执行以下操作:
属于已映射 Microsoft Entra ID 组但不属于对应 IDE Services Cloud 组的用户将被添加到 IDE Services Cloud 中的该组。
不属于已映射 Microsoft Entra ID 组但属于对应 IDE Services Cloud 组的用户将从 IDE Services Cloud 组中移除。
只有在用户使用其 Microsoft Entra ID 账户登录时,授权服务中的组成员变更才会应用于 IDE Services Cloud。
要将 Microsoft Entra ID 的组映射到 IDE Services Cloud 的组:
打开您的 Microsoft Entra ID 认证模块。
选择 Users & Groups (用户和用户小组) 选项卡。
点击 Add group by name (按名称添加用户小组) 按钮。
在指定字段输入 Microsoft Entra ID 组的名称。
点击 Save (保存) 按钮。
指定的组已添加到 IDE Services Cloud。
点击组名会跳转到 页面。
重复步骤 3 至 5,直到映射完所有需要的组。
SCIM 预置
Hub 支持通过 Microsoft Entra ID 进行 SCIM 2.0 预置,允许您将目录中的用户和组同步到 Hub。 但 Microsoft Entra 仅对 Azure AD Gallery 中列出的一些应用支持 SCIM 预置。 要判断您的应用是否支持 SCIM 预置,请在应用设置中查找 Provisioning (正在预置) 菜单选项。
要启用 SCIM 预置:
转到 Microsoft Entra Admin Center (Microsoft Entra 管理中心)。
导航到 。
登录方法请选择 SAML 2.0。
为应用命名并继续填写任意占位符 SAML 设置(不会使用),然后创建应用。
应用创建后,切换到 Provisioning (正在预置) 选项卡。
在 Admin Credentials (管理员凭据) 部分,为以下设置输入值:
设置
值
租户 URL
您的 Hub 安装的 SCIM endpoint URL (SCIM 端点 URL)。 该端点为:
<hub-base-url>/api/rest/scim2要查找您的 Hub 站点的基础 URL,请参考 Hub 服务的 Settings (设置) 选项卡中的 Services (服务) 页面。 如果 Base URLs (基本 URL) 设置为空,请使用 Home URL (主页 URL)。 欲了解更多信息,请参阅 https://www.jetbrains.com.cn/help/hub/configuring-service-settings.html#ServiceSettings。
密钥令牌
为您的 Hub 账户生成的永久令牌。 如需了解如何在 Hub 中生成永久令牌,请参阅 https://www.jetbrains.com.cn/help/hub/manage-permanent-tokens.html
点击 Test Connection (测试连接) 按钮以确认配置。
确保 Provisioning Status (预置状态) 开关已设置为 On (开) ,然后点击 Save (保存) 按钮。
如果您的 Entra 应用不支持预置,但您仍希望使用此功能,则可以通过启动另一个应用来访问这些设置。 如需了解详情,请参阅 Microsoft Entra 官方文档。
其他设置
Additional settings (其他设置) 选项卡上的设置可帮助您管理账户创建和组成员关系,并减少空闲连接消耗的处理资源损失。
选项 | 描述 |
|---|---|
ID 令牌 | 确定 Hub 是否在请求认证码时也请求 ID 令牌。 ID 令牌不是必需的,但可用于在 Microsoft Entra ID 中强制实施多因素认证。 为确保该功能正常工作,您必须在启用该功能前为 Entra ID 应用启用 ID 令牌。 发放 ID 令牌的选项位于 Entra ID 应用的 Implicit grant and hybrid flows (隐式授权和混合流程) 部分的 Authentication (身份验证) 设置中。 详细说明请参阅 Microsoft Entra 官方文档。 。 |
帐户状态 | 确定在 Microsoft 身份平台中删除或停用具有相应凭据的帐户时,IDE Services Cloud 中的帐户是否被禁用。
|
用户创建 | 启用为使用已连接授权服务中账户登录的未注册用户创建 IDE Services Cloud 账户。 IDE Services Cloud 使用电子邮件地址来判断用户是否已有账户。 |
自动加入组 | 当用户使用在连接的认证服务中保存的帐户登录时,将其添加到用户组。 您可以选择一个或多个组。 自动加入组的新用户将继承分配给该组的所有权限。 建议您至少将用户加入一个组。 否则,新用户只会获得当前分配给 All Users (所有用户) 组的权限。 |
连接超时 | 设置连接授权服务的等待时间。 默认设置为 5000 毫秒(5 秒)。 |
读取超时 | 设置从授权服务读取和获取用户资料数据的等待时间。 默认设置为 5000 毫秒(5 秒)。 |
对 Entra ID 的更改 | 链接到 IDE Services Cloud 中的 Audit Events (审核事件) 页面。 在此,您可以查看应用于该身份验证模块的更改列表。 |
字段映射
如果您已在用户资料中添加了自定义属性,这些属性也可映射到授权服务中存储的属性。 每个自定义属性都会按名称列出,并带有用于存储授权服务中对应字段名称的输入框。
属性名称区分大小写。 如果 Microsoft 同步的属性采用驼峰命名法 ,则输入到 IDE Services Cloud 的属性字段名称必须完全匹配。
IDE Services Cloud 中的自定义属性创建时需要 特定类型。 Azure 字段的相应值必须与 IDE Services Cloud 中指定的字段类型匹配。
IDE Services Cloud 支持可直接从认证服务用户账户检索的属性。 需要查询其他资源的属性(如 Manager 或 Sponsors )不受支持。
如需了解用户资料中的自定义属性,请参阅 管理自定义属性。
当 Microsoft Entra ID 以响应对象形式返回用户资料时,指定字段路径中的值将复制到 IDE Services Cloud 的用户资料。 请使用以下设置定义用于定位已认证用户资料数据的端点,并将授权服务用户资料中的字段映射到 IDE Services Cloud 中相应的用户账户。
要指定嵌套对象内字段的路径,请输入以斜杠字符(
/)分隔的段序列。要引用可能存储在多个位置的值,请使用"埃尔维斯运算符" (
?:) 作为多路径的定界符。 启用此选项后,IDE Services Cloud 会使用在指定字段中遇到的第一个非空值。
操作
页眉中可用以下操作:
操作 | 描述 |
|---|---|
测试登录 | 允许您输入用户名和密码以测试与身份验证服务的连接。 |
立即同步 | 启动 Microsoft Entra ID 与 IDE Services Cloud 之间的用户和组同步。 您可以在 Users & Groups (用户和用户小组) 选项卡上配置在 IDE Services Cloud 中要使用的 Entra ID 组。 |
启用 | 启用身份验证模块。 仅当身份验证模块当前已禁用时才会显示此选项。 |
禁用 | 禁用身份验证模块。 仅当身份验证模块当前已启用时才会显示此选项。 |
重命名 | 允许您更新现有的身份验证模块名称及更改其默认图标。 您可在 More options (更多选项) (... )菜单找到此操作。 |
删除 | 从 IDE Services Cloud 中移除身份验证模块。 仅当您配置了其他身份验证模块以允许用户登录您的 IDE Services Cloud 安装时才使用。 您可在 More options (更多选项) (... )菜单找到此操作。 |
从 Azure AD 2.0 认证模块迁移
IDE Services Cloud 2022.2 之前版本中包含的 Azure AD 身份验证模块不支持将 Microsoft Entra ID 服务中的组与 IDE Services Cloud 中的组进行映射和同步。 如需使用该功能,您需要迁移到新版身份验证模块。
执行迁移操作:
删除现有的 Azure AD 2.0 身份验证模块。 您可以通过在列表中分配的 OAuth 2.0 类型来区分该旧模块。
按本页面说明设置新的 Microsoft Entra ID 身份验证模块。