配置 Microsoft Entra ID
自 FactoryTalk Services Platform 版本 6.40.00 起,FactoryTalk Security 支持 Microsoft Entra ID(也称为 Azure Active Directory)身份验证。Microsoft Entra ID 在不同的安全部署方案中提供灵活且安全的身份验证,包括需要多重因素身份验证 (MFA) 的方案。在 Microsoft Azure 门户中配置 Microsoft Entra ID 后,即可在 FactoryTalk Security 系统中使用 Microsoft Entra ID 用户组。
重要提示:
Microsoft 已将 Azure Active Directory (Azure AD) 重命名为 Microsoft Entra ID。
前提
- 将用户添加到 Microsoft Entra ID 用户组
配置 Microsoft Entra ID
- 登录到 Microsoft Azure 门户:https://portal.azure.com。
- 注册应用程序。
- 在 Azure 门户菜单或主页上,选择Azure Active Directory。
- 在管理下,选择应用程序注册,然后选择新建注册。
- 在注册应用程序中,仅输入应用程序的画面名称。选择仅此组织目录中的帐户 (仅 <Tenant name> - 单个租户),这是 FactoryTalk Services Platform 唯一支持的应用程序类型。此时请勿设置重定向 URI。将在步骤 5中进行此配置。
- 选择注册。随即出现应用程序注册的概述窗格,其中显示应用程序 (客户端) ID和目录 (租户) ID。
- 添加 Microsoft Graph 通知的使用权限。
- 在左窗格中,选择API 权限,然后选择添加权限。
- 在Microsoft API下,选择Microsoft Graph,然后选择委派的权限。
- 在选择权限搜索框中,输入group,然后展开Group。
- 选择Group.Read.All,然后选择添加权限。所选权限显示在已配置的权限下。
- 选择是以完成授权。
- 添加重定向 URI。Microsoft Entra ID 将通过重定向 URI(应答 URL)将验证代码发送到应用程序。要使 FactoryTalk Services Platform Microsoft Entra ID 身份验证生效,请执行以下操作之一:重定向移动和桌面应用程序的 URL
- 自动添加重定向 URI:
- 在左侧窗格中,选择快速入门>移动和桌面应用程序>Windows 桌面。随即显示从桌面应用程序获取令牌和调用 Microsoft 图形 API窗格。
- 选择为我进行此更改,然后选择进行更新。
- 手动添加重定向 URI:
- 选择应用程序,然后选择添加重定向 URI。
- 添加https://login.microsoftonline.com/common/oauth2/nativeclient and ms-appx web://microsoft.aad.brokerplugin/{client_id}。
- 选择保存。
重定向 Web 的 URL- 在左窗格的管理下,选择身份验证。
- 在平台配置下,选择添加平台,然后选择Web。
- 在重定向 URI下,
- 如果已启用 HTTPS,请输入https://<FactoryTalk Directory computer name>:<Reverse Proxy port>/FTSecurity/api/v1/aad/redirect。
- 如果已启用 HTTP,请输入http://localhost:<FactoryTalk Web Authentication port>/FTSecurity/api/v1/aad/redirect。例如,http://localhost:80/FTSecurity/api/v1/aad/redirect。
小贴士:要让已启用 FactoryTalk 的产品的 Web 客户端(例如 FactoryTalk AssetCentre 版本 13.00 或更高版本的 Web 客户端)中的 Web 身份验证正常工作,需要重定向 Web 的 URL。
提供反馈