使用 Azure AD 配置仪表板访问控制
MATLAB® Production Server™ 管理员可以使用 Microsoft® Azure® AD 为 MATLAB Production Server 仪表板配置基于角色的访问控制。基于角色的访问控制允许管理员向特定用户或用户组授予对仪表板特定区域的访问权限。有关仪表板支持的角色的更多信息,请参阅仪表板访问控制。
要启用仪表板访问控制,请咨询 Azure AD 管理员以配置 Azure AD 并指定访问控制策略。
配置身份提供方
要配置 Azure AD:
登录仪表板以检索仪表板的重定向 URI。
在 Azure 门户中,使用重定向 URI 将仪表板作为客户端应用程序注册到提供方。
在仪表板中,输入特定于已注册应用程序和 Azure AD 的值。
从仪表板检索重定向 URI
要检索重定向 URI,请在仪表板中开始为 Azure AD 创建配置:
导航到 Dashboard Access Control 选项卡或 Manage Identity Providers 选项卡。
点击 Create 并选择 Azure AD。
在 Create Identity Provider for Dashboard Access Control 中,记下仪表板的重定向 URI。
稍后,您将返回此视图以指定在仪表板中配置身份提供方所需的值。
在 Azure 门户中注册应用程序
使用 Azure 门户注册一个用于仪表板访问控制的 Web 客户端应用程序。注册应用程序时,使用来自 MATLAB Production Server 仪表板的重定向 URI。通常,Azure AD 管理员会注册该应用程序。
登录到 Azure 门户。
从 Azure Active Directory 中选择 App registrations 并点击 New registration。
在出现的窗格中,输入应用程序的名称(例如,
MATLAB Production Server Dashboard App)。对于 Redirect URI,选择 Web。在相应的值字段中,输入仪表板的重定向 URI,然后点击 Register。网页会显示您所注册应用程序的详细信息。
点击左侧导航窗格中的 Manifest。在随后窗格中显示的 JSON 中,将
groupMembershipClaims的值设置为"SecurityGroup"。点击 Save。
有关如何注册应用程序的更多信息,请参阅 Microsoft Azure 文档。
在仪表板中指定值
在 Azure 门户中,找到您所注册客户端应用程序的值并将其输入到仪表板中。
登录到 Azure 门户。
从 Azure Active Directory 中,选择 App registrations,然后选择您为仪表板注册的应用程序。从 Application (client) ID 复制值并将其粘贴到仪表板中的 Client ID 字段中。
从 App registrations 中选择 Certificates & secrets。在 Certificates & secrets 下,创建一个新的客户端机密或使用现有的客户端机密。复制客户端机密的值并将其粘贴到仪表板中的 Client Secret 字段中。
从 Azure Active Directory 中选择 Properties。从 Directory (tenant) ID 复制值并将其粘贴到仪表板中的 Tenant ID 中。
在仪表板上,点击 Create。
指定仪表板访问控制策略
在指定仪表板访问控制策略之前,您必须在 Azure AD 中设置用户和组。请咨询 Azure AD 管理员以了解此设置。
访问控制策略定义了用户或用户组可以访问的仪表板区域以及他们可以在这些区域中执行的任务。通过在仪表板中输入 Azure 用户名和组 ID,使用策略将管理员和应用程序作者角色分配给组织中的用户或用户组。
在仪表板中配置用户和组
在 Azure 门户中,找到用户名和组 ID 并将其输入到仪表板中。
登录到 Azure 门户。
从 Azure Active Directory 中选择 Users。复制用户名的值并将其粘贴到仪表板中的 Users 字段中。使用逗号分隔多个用户名。
从 Azure Active Directory 中选择 Groups。复制对象 ID 的值并将其粘贴到仪表板中的 Groups 字段中。使用逗号分隔多个对象 ID 名称。
在仪表板上,点击 Save。
启用仪表板访问控制
配置 Azure AD 并指定访问控制策略后,您必须通过选择 Yes 选项来启用仪表板访问控制。在启用仪表板访问控制后,将会提供一个支持单一登录 (SSO) 的仪表板登录 URL。请将此 URL 分享给经理和应用程序作者。
