如何使用 Microsoft Entra ID 設定單一登入 (SSO)

概覽

本指南將協助您的 IT 管理員在 Microsoft Entra ID（前稱 Azure AD）與 ELSA Business 之間設置單一登入（SSO）。啟用 SSO 後，您的學生和教師可以使用現有的企業 Microsoft 憑證登入 ELSA Business，無需另外設定密碼。

開始前準備

您需要提供的資訊

1. 您將用於 SSO 的電子郵件網域（例如：xyz@enterprisedomain.com）

您需要具備的條件

1. 貴組織 Microsoft Entra ID（Azure AD）入口網站的管理員權限
2. SSO 憑證（由 ELSA 提供），包括：
   • SP Entity ID（服務提供者實體 ID）
   • ACS URL（Assertion Consumer Service URL）

步驟 1：在 Microsoft Entra ID 建立 ELSA 應用程式

1. 登入您的 Microsoft Azure Portal

2. 前往企業應用程式：

   • 點選「Microsoft Entra ID」（或「Azure Active Directory」）
   • 從左側選單選擇「企業應用程式」
   • 點選「+ 新增應用程式」
     

3. 建立您自己的應用程式：

   • 點選「建立您自己的應用程式」
   • 輸入應用程式名稱（例如：「ELSA Business SSO」）
   • 選擇「整合任何在圖庫中找不到的其他應用程式（非圖庫）」
   • 點選「建立」
     

步驟 2：設定基於 SAML 的單一登入

1. 進入 SSO 設定：

   • 在新建立的 ELSA 應用程式中，從左側選單點選「單一登入」
   • 選擇「SAML」作為單一登入方式
     

2. 設定基本 SAML 設定：

   • 在「基本 SAML 設定」區塊點選「編輯」
   • 輸入 ELSA 提供的以下資訊：
     • 識別碼（Entity ID）： 輸入 ELSA 提供的 SP Entity ID
     • 回應 URL（Assertion Consumer Service URL）： 輸入 ELSA 提供的 ACS URL
       
   • 點選「儲存」

步驟 3：設定使用者屬性與宣告

1. 編輯屬性與宣告：

   • 在「屬性與宣告」區塊點選「編輯」
     

2. 確認下列對應已設定：

   宣告名稱	來源屬性
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	user.mail
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	user.givenname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	user.userprincipalname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	user.surname

   重要：這些對應可確保 ELSA 能收到正確的使用者資訊。如需更改這些對應，請先聯絡 ELSA 支援，因為變更可能會影響使用者驗證。
   

步驟 4：將 SAML 中繼資料提供給 ELSA

設定 SAML 後，請從 SAML 設定中複製 SAML 憑證（App Federation Metadata URL，見圖），並回傳給 ELSA IT 團隊。

步驟 5：指派使用者與群組（ELSA 確認設置後）

當 ELSA 確認 SSO 已設定完成：

1. 前往使用者與群組：

   • 在 ELSA 應用程式中，從左側選單點選「使用者與群組」
     
   • 點選「+ 新增使用者/群組」
     
     

2. 指派存取權限：

   • 在「未選取」下點選「使用者」（或「群組」）
   • 選擇需要存取 ELSA 的使用者或群組
   • 點選下方的「選取」
   • 點選「指派」
     

3. 說明：

   • 只有被指派的使用者/群組才能使用 SSO 登入 ELSA
   • 未被指派的使用者將無法在其 Microsoft 應用程式中看到 ELSA
   • 您可隨時新增或移除使用者

測試您的 SSO 連線

1. 先將自己指派為測試使用者
2. 如已登入 ELSA Business，請先登出
3. 前往您的 ELSA Business 登入頁面
4. 點選「以 SSO 登入」
5. 輸入您的企業電子郵件地址
6. 確認已重新導向至 Microsoft 登入頁面
7. 確認您能成功登入 ELSA

常見問題排解

無法登入錯誤

可能原因：

• ELSA 尚未完成我們端的 SSO 設定
• 尚未將中繼資料 URL 傳送給 ELSA
• SP Entity ID 或 ACS URL 輸入錯誤

解決方法：請與 ELSA 確認設置是否完成，並再次檢查步驟 2 輸入的值。

已指派使用者但無法登入

可能原因：

• Azure AD 中的使用者電子郵件與 ELSA 中的不符
• 使用者屬性設定不正確
• 使用者帳號在 ELSA 中未啟用

解決方法：

• 確認兩系統中的使用者電子郵件一致
• 檢查步驟 3 的屬性對應是否正確
• 聯絡 ELSA 支援確認使用者帳號狀態

「屬性與宣告」區塊顯示不同對應

可能原因：

• 您的 Azure AD 可能有自訂宣告設定

解決方法：

• 修改前請先聯絡 ELSA 支援
• 如有需要，我們可配合您現有的屬性設定

常見問題

問：我們可以同時使用 SSO 和一般電子郵件/密碼登入嗎？
答：可以！SSO 是額外的登入選項，使用者仍可使用電子郵件/密碼登入。

問：SSO 設定需要多久？
答：Azure 設定約需 20-30 分鐘。ELSA 端收到您的中繼資料後，設定需 1-2 個工作天。

問：是否需要先為使用者建立 ELSA 帳號？
答：需要，使用者必須已存在於 ELSA Business，才能透過 SSO 登入。如需大量匯入使用者，請聯絡您的 CSM。

問：學生和教師都能用 SSO 嗎？
答：可以，只要在您的目錄中有 Microsoft 帳號，任何使用者類型都能使用 SSO。

問：如果使用者的電子郵件更改會怎樣？
答：請聯絡 ELSA 支援，將 ELSA Business 中的電子郵件更新為新的 Azure AD 電子郵件。