将 Microsoft Entra 集成到 UniFi Fabrics
通过将 Microsoft Entra(原 Azure AD)作为身份提供者(IdP)集成,UniFi Fabrics 允许你集中管理人员与权限。这能通过 UniFi Endpoint 应用,在 WiFi、VPN 和门禁等 UniFi 服务中,实现安全的 SAML 身份验证和自动化用户生命周期管理。
如需了解其他支持的身份提供者,请参见 将身份提供者 (IdP) 绑定到 UniFi Fabric。
要求
- 已启用 统一人员管理 的 Fabric。更多信息,请参阅 开始使用 UniFi Fabrics。
- 支持无限 SSO 的 Microsoft Entra ID 等级。
- 你必须被分配 Azure 中的 Cloud Application Administrator 角色。
- 你的 Microsoft Entra 租户已设置完成。
- 请参阅 快速入门:设置租户 以了解详情。
附加功能
- 从 Entra 同步用户组到 UniFi 需具备 Microsoft Entra ID P1 或 P2 许可证。
- 通过邮件邀请新用户加入 UniFi Endpoint 需有 Exchange Online 套餐,大多数 Microsoft 365 许可证(如 Business Standard、E3、E5)均包含该套餐。
方法 1:自动设置(推荐)
- 进入 Site Manager。
- 选择一个 Fabric。
- 导航到 设置 > 身份。
- 启用统一人员管理,并等待身份同步服务完成设置。
- 在 IdP 列表中选择 Microsoft Entra 进行绑定。
- 点击 继续。
- 在弹出的窗口中登录 Microsoft Entra。
- 阅读并接受 权限请求。
- 等待 授权和 SCIM 设置完成。
- 选择导入 所有人员(不包含组元数据),或导入 特定组(包含组元数据)。
- 点击 应用更改。
- (可选)配置 UniFi Endpoint 服务,以简化用户与 WiFi、VPN、门禁等 UniFi 服务的交互。
方法 2:手动设置
- 进入 Site Manager。
- 选择一个 Fabric。
- 导航到 设置 > 身份。
- 启用统一人员管理,并等待身份同步服务完成设置。
- 在 IdP 列表中选择 Microsoft Entra 进行绑定,并勾选 手动 Entra 设置。
- 点击 继续。
- 使用至少具备 Cloud Application Administrator 角色的账号,登录到 Microsoft Entra 管理中心。
- 进入 Azure 服务,点击 企业应用程序。

- 点击 新建应用程序。
- 点击 创建你自己的应用程序,输入应用名称,选择 集成你在图库中找不到的其他应用程序(非图库),点击 创建。

- 进入 2. 设置单点登录,点击 开始。

- 点击 SAML。

- 进入 基本 SAML 配置,点击 编辑。

- 将 UniFi 中的 Identifier 和 Reply URL 粘贴到 Entra。

- 点击 保存,然后关闭“基本 SAML 配置”窗口。
- 进入 SAML 证书 并 下载联合元数据 XML。

- 返回 UniFi,上传从 Microsoft Entra 获取的联合元数据 XML 文件,点击 应用更改。

- 返回到你在 Microsoft Azure 中创建的 企业应用程序,导航到 Provisioning(位于 Manage 分类下)。
- 点击 新建配置。

- 将从 UniFi 获取的 Tenant URL 和 Secret Token 粘贴进去。
- 点击 测试连接。
- 连接成功后,点击 创建。
- 返回 UniFi 并点击 应用更改。
- 按照 Microsoft 的帮助文档 创建并分配用户到该企业应用程序。
- 用户创建并分配完毕后,导航到 Provisioning(位于 Manage 分类)> 概览。
- 点击 开始预配。
- (可选)返回 UniFi,配置 UniFi Endpoint 服务,以简化人员与 WiFi、VPN、门禁等 UniFi 服务的交互方式。