通过将 Microsoft Entra(原 Azure AD)作为身份提供者(IdP)集成,UniFi Fabrics 允许你集中管理人员与权限。这能通过 UniFi Endpoint 应用,在 WiFi、VPN 和门禁等 UniFi 服务中,实现安全的 SAML 身份验证和自动化用户生命周期管理。

如需了解其他支持的身份提供者,请参见 将身份提供者 (IdP) 绑定到 UniFi Fabric

要求

  • 已启用 统一人员管理Fabric。更多信息,请参阅 开始使用 UniFi Fabrics
  • 支持无限 SSO 的 Microsoft Entra ID 等级。
  • 你必须被分配 Azure 中的 Cloud Application Administrator 角色。
  • 你的 Microsoft Entra 租户已设置完成

附加功能

  • 从 Entra 同步用户组到 UniFi 需具备 Microsoft Entra ID P1 或 P2 许可证。
  • 通过邮件邀请新用户加入 UniFi Endpoint 需有 Exchange Online 套餐,大多数 Microsoft 365 许可证(如 Business Standard、E3、E5)均包含该套餐。

方法 1:自动设置(推荐)

  1. 进入 Site Manager
  2. 选择一个 Fabric。
  3. 导航到 设置 > 身份
  4. 启用统一人员管理,并等待身份同步服务完成设置。
  5. 在 IdP 列表中选择 Microsoft Entra 进行绑定。
  6. 点击 继续
  7. 在弹出的窗口中登录 Microsoft Entra。
  8. 阅读并接受 权限请求
  9. 等待 授权和 SCIM 设置完成。
  10. 选择导入 所有人员(不包含组元数据),或导入 特定组(包含组元数据)。
  11. 点击 应用更改
  12. (可选)配置 UniFi Endpoint 服务,以简化用户与 WiFi、VPN、门禁等 UniFi 服务的交互。

方法 2:手动设置

  1. 进入 Site Manager
  2. 选择一个 Fabric。
  3. 导航到 设置 > 身份。
  4. 启用统一人员管理,并等待身份同步服务完成设置。
  5. 在 IdP 列表中选择 Microsoft Entra 进行绑定,并勾选 手动 Entra 设置
  6. 点击 继续
  7. 使用至少具备 Cloud Application Administrator 角色的账号,登录到 Microsoft Entra 管理中心
  8. 进入 Azure 服务,点击 企业应用程序

1.png

  1. 点击 新建应用程序
  2. 点击 创建你自己的应用程序,输入应用名称,选择 集成你在图库中找不到的其他应用程序(非图库),点击 创建

2.png

  1. 进入 2. 设置单点登录,点击 开始

3.png

  1. 点击 SAML

4.png

  1. 进入 基本 SAML 配置,点击 编辑

5.png

  1. 将 UniFi 中的 Identifier 和 Reply URL 粘贴到 Entra。

6.png

  1. 点击 保存,然后关闭“基本 SAML 配置”窗口。
  2. 进入 SAML 证书下载联合元数据 XML

7.png

  1. 返回 UniFi,上传从 Microsoft Entra 获取的联合元数据 XML 文件,点击 应用更改

8.png

  1. 返回到你在 Microsoft Azure 中创建的 企业应用程序,导航到 Provisioning(位于 Manage 分类下)。
  2. 点击 新建配置

9.png

  1. 将从 UniFi 获取的 Tenant URL 和 Secret Token 粘贴进去。
  2. 点击 测试连接
  3. 连接成功后,点击 创建
  4. 返回 UniFi 并点击 应用更改
  5. 按照 Microsoft 的帮助文档 创建并分配用户到该企业应用程序。
  6. 用户创建并分配完毕后,导航到 Provisioning(位于 Manage 分类)> 概览。
  7. 点击 开始预配
  8. (可选)返回 UniFi,配置 UniFi Endpoint 服务,以简化人员与 WiFi、VPN、门禁等 UniFi 服务的交互方式。