本指南提供了使用安全断言标记语言 (SAML 2.0) 为 Udemy Business 配置单点登录 (SSO) 所需的步骤。
请注意:
- 如果您使用的是 Gallery 应用,请记住它与 SCIM 不兼容。如果您计划使用 SCIM,请创建一个非 Gallery 应用程序。
- 如果您已在 Udemy 中配置了 Entra 实例,请参阅本文的为 Udemy Business 设置其他 Entra ID 实例部分
为 Azure 配置单点登录 (SSO)
登录到您的 Azure 门户,然后单击 Microsoft Entra ID。
接下来,选择企业应用程序。
现在单击顶部导航栏中的 + 新建应用程序。
选择创建您自己的应用程序。
输入新应用程序的名称,然后单击窗口结尾处的集成 Gallery(非 Gallery)中未找到的任何其他应用程序。
然后选择设置单点登录。
对于单点登录模式,选择“基于 SAML 的登录”。
遵循使用 SAML 设置单点登录屏幕上的 3 个步骤操作。Azure AD 还在页面顶部提供了详细的配置指南以提供进一步的指导。
对于第 1 步“基本 SAML 配置”:
- 在标识符(实体 ID)字段中,输入 https://www.udemy.com/sso/saml。
请注意:如果实体 ID 被其他 SSO 应用程序使用,请联系 Udemy Business 以创建唯一的实体 ID 并生成自定义元数据文件。
- 在回复 URL 字段中,输入此值:https://sso.connect.pingidentity.com/sso/sp/ACS.saml2
- 在登录 URL 字段中,输入您的 Udemy Business 帐户 URL:https://{yoursubdomain}.udemy.com
- 中继状态(可选):https://pingone.com/1.0/d905a6ca-adf9-45e2-9b9d-0d6485f27206
- 注销 URL(可选):如果您决定配置单点注销,请输入以下内容:https://sso.connect.pingidentity.com/sso/SLO.saml2
添加完所有这些字段后,单击保存。
对于第 2 步“用户属性和声明”:
返回侧栏中的单点登录选项卡,然后单击属性和声明部分中的“编辑”。
在附加声明部分中,单击 user.mail 值。
- 将 emailaddress 更新为“email”(确保全部为小写)
- 删除命名空间 URI
- 对于源属性,请确保选择要从 Azure AD 传输到 Udemy 的电子邮件值。这将是用户帐户的主要标识符。
要向 SAML 断言添加更多可选属性(附加声明),请单击添加新声明或编辑现有声明并重复该过程:
添加完属性后,单击保存以完成属性配置。
Udemy Business 支持以下 SAML 属性
请注意:所有属性都区分空格和大小写,并且不能包含冒号。请直接从下面的列表中复制粘贴,以确保格式正确:
必需的属性
- email:用户唯一的电子邮件地址
可选的属性
- firstName:用户的名字
- middleName:用户的中间名(如有)
- lastName:用户的姓氏
- displayName:用户的全名
- Name ID:名字重复时可用的标识符
- groups:用户所属的群组列表。注意:如果您不打算传递群组,请不要发送此属性,因为它将覆盖现有群组。
- externalID:客户指定的唯一用户 ID
- lmsUserID:客户指定的唯一用户 ID
对于第 3 步,在“SAML 签名证书”部分中,单击“联合元数据 XML”旁边的“下载”,此操作将导出元数据文件。
下载元数据文件后,转到“管理”>“设置”>“单点登录 (SSO)”中的 Udemy Business SSO 设置。单击开始设置并选择您的身份提供程序(在本例中为 Azure)。
在 Udemy Business 帐户 SSO 配置页面中,命名您的连接,上传从 Azure 下载的元数据 XML 文件,并配置任何需要的可选 SSO 设置。
有关可选 SSO 设置的其他详细信息,您可以查看使用身份提供程序配置 SSO 页面上的文章:
请注意:在成功测试连接之前,不要启用仅通过 SSO 提供程序登录。如果未正确配置 SSO,所有用户将被锁定在 Udemy Business 之外。
单击保存。
您的 SSO 连接现在已启用。
- 现在,您可以直接在 Azure 租户内为 Udemy Business 配置用户和群组管理。有关简要概述,请参考在 Azure 中向 Udemy Business 添加用户和群组中的以下步骤。
- 了解如何使用 Azure Active Directory (AD) 配置 SCIM 预配。
在 Azure 中将用户和组添加到 Udemy Business
单击 Azure Active Directory。
选择企业应用程序。
从列表中选择您新创建的应用。
单击用户和群组。
单击添加用户 -> 用户和群组
选择要添加到应用程序的所有用户。然后,单击选择。
您现在已完成在 Azure AD 中配置 Udemy Business 的 SSO。
为 Udemy Business 设置其他 Entra ID 实例
如果要配置其他 Entra ID (Azure AD) 实例以与 Udemy Business 集成,请按照以下步骤操作,以确保设置成功。每个 SSO 连接必须使用唯一标识符以避免冲突。
1. 获取唯一的 IdP 实体 ID
要为每个附加集成生成唯一的 IdP EntityID,您需要在 Entra SAML 设置中启用应用 ID URI。
请按照以下说明,从 Azure AD (Entra ID) 为每个
独立 Udemy 实例的唯一的实体 ID。
第 1 步 - 启用“将应用 ID 附加到颁发者”功能(客户)
- 在 Entra 中导航到您的 Udemy 应用程序。在 SAML 设置中,转到“属性和声明”。
- 导航到“高级设置”。
- 编辑“高级 SAML 声明选项”。
- 勾选“将应用程序 ID 附加到颁发者”标志并保存。
第 2 步 - 将应用 ID 添加到元数据文件 (Udemy)
1. 返回到 SAML 设置,然后转到“SAML 证书”。然后,复制应用联合元数据 URL。
2. 将该 URL 粘贴到浏览器窗口中并复制应用 ID。
3. 将页面另存为 XML 文件,或者返回上一页下载联合元数据 XML。
4. 在文本文档中打开元数据文件,并将应用 ID 附加到 EntityID 旁边。您可以按 ctrl+f 搜索 entityID 来找到正确的部分。
5. 例如,如果 EntityID 为:“https://sts.windows.net/728f03be-40cd-47a7-8ff3-58569e27d1c5/”
将它更新为:
“https://sts.windows.net/728f03be-40cd-47a7-8ff3-58569e27d1c5/44234257-31f0-4928-9762-5913dd59dd36”
6. 保存更新后的元数据文件。
2. 获取唯一的 SP 实体 ID
与 Udemy 集成的每个 Entra ID (Azure AD) 都必须拥有自己唯一的 SP EntityID。
- 创建新的 IdP EntityID 并将应用 ID 附加到元数据文件后,请将更新后的元数据文件提供给 Udemy 支持。此外,请务必提供当前为您的其他环境配置的所有 Udemy/Entra SP EntityID 的完整列表。这将有助于我们确保一致性,避免跨环境的配置冲突。
- Udemy 团队随后会上传您的元数据文件并创建 SSO 连接。之后,我们将为您提供唯一的 SP EntityID。
请注意:
- 单点登录和预配适用于 Udemy Business Enterprise 方案客户。
- 通过 Azure AD 配置的用户在首次登录 Udemy Business 应用之前不会获得许可证。
- SCIM 配置更改只能从 Azure AD 同步到 Udemy Business,反之则不行。
- 在 Udemy Business 应用中,无法在 Azure AD 中更改由 SCIM 管理的用户和群组,SCIM 是用户和群组数据的唯一真实来源。
- 如果您有不需要或不想从 Azure AD 推送的用户(如承包商或临时员工),仍然可以在 Udemy Business 中手动创建群组。