本指南记录了 2025 年 3 月 13 日发布的全新 AWS Wickr 管理控制台。有关经典版 AWS Wickr 管理控制台的文档，请参阅[经典管理指南](https://docs.aws.amazon.com/wickr/latest/adminguide-classic/what-is-wickr.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用微软 Entra (Azure AD) 单点登录配置 AWS Wickr
<a name="entra-ad-sso"></a>

AWS Wickr 可以配置为使用微软 Entra (Azure AD) 作为身份提供商。为此，请在 Microsoft Entra 和 AWS Wickr 管理控制台中完成以下程序。

**警告**  
在网络上启用 SSO 后，它将让活跃用户退出 Wickr，并强制他们使用 SSO 提供商重新进行身份验证。

## 第 1 步：在 Microsoft Entra 中将 AWS Wickr 注册为应用程序
<a name="step-1-entra-wickr-application"></a>

完成以下步骤，在 Microsoft Entra 中将 AWS Wickr 注册为应用程序。

**注意**  
有关详细的屏幕截图和疑难解答，请参阅 Microsoft Entra 文档。有关更多信息，请参阅[在 Microsoft 身份平台上注册应用程序](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app)

1. 在导航窗格中，选择 “**应用程序**”，然后选择 “**应用程序注册**”。

1. 在 “**应用程序注册**” 页面上，选择 “**注册应用程序**”，然后输入应用程序名称。

1. 仅选择**此组织目录中的帐户（仅限默认目录-单租户）**。

1. 在 “**重定向 URI**” 下，选择 **Web**，然后在 W AWS ickr 管理员控制台中输入 SSO 配置设置中可用的重定向 URI

1. 选择**注册**。

1. 注册后， copy/save 将生成应用程序（客户端）ID。  
![\[客户端应用程序 ID 图像。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/application-client-id.png)

1. 选择 “**端点**” 选项卡，记下以下内容：

   1. Oauth 2.0 授权端点 (v2)：例如：`https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/oauth2/v2.0/authorize`

   1. 编辑此值以删除 “oauth2/” 和 “授权”。例如，固定网址将如下所示：`https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/`

   1. 这将被称为 **SSO 发行者**。

## 步骤 2：设置身份验证
<a name="step-2-entra-setup-authentication"></a>

完成以下步骤以在 Microsoft Entra 中设置身份验证。

1. 在导航窗格中，选择 “**身份验证**”。

1. 在**身份验证**页面上，确保 **Web 重定向 URI** 与之前输入的相同（在将 *AWS Wickr 注册为应用程序*中）。  
![\[客户端身份验证镜像。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/authentication.png)

1. 选择**用于隐式流程的访问令**牌和**用于隐式和混合流程的 ID 令牌**。

1. 选择**保存**。  
![\[索取访问令牌图片。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/access-tokens.png)

## 第 3 步：设置证书和密钥
<a name="step-3-entra-setup-certificates"></a>

完成以下步骤在 Microsoft Entra 中设置证书和密钥。

1. 在导航窗格中，选择 “**证书和机密**”。

1. 在 “**证书和密钥**” 页面上，选择 “**客户机密**” 选项卡。

1. 在 “**客户机密钥**” 选项卡下，选择 “**新建客户机密**”。

1. 输入描述并选择密钥的到期时间。

1. 选择**添加**。  
![\[添加客户机密图片。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-create-client-secret.png)

1. 创建证书后，复制**客户机密值**。  
![\[客户机密值的示例。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-client-secret-value.png)
**注意**  
您的客户端应用程序代码将需要客户端密钥值（不是密钥 ID）。离开此页面后，您可能无法查看或复制密钥值。如果您现在不复制，则必须返回创建新的客户机密钥。

## 步骤 4：设置令牌配置
<a name="step-4-entra-setup-token"></a>

完成以下步骤在 Microsoft Entra 中设置令牌配置。

1. 在导航窗格中，选择**令牌配置**。

1. 在**令牌配置**页面上，选择**添加可选声明**。

1. 在 “**可选声明**” 下，选择**令牌类型**作为 **ID**。

1. 选择 **ID** 后，在 “**声明**” 下，选择 “**电子邮件**” 和 “**upn**”。

1. 选择**添加**。  
![\[代币类型图片。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-token-type.png)

## 第 5 步：设置 API 权限
<a name="step-5-entra-setup-api-permissions"></a>

完成以下步骤，在 Microsoft Entra 中设置 API 权限。

1. 在导航窗格中，选择 **API permissions**（API 权限）。

1. 在 **API 权限**页面上，选择**添加权限**。  
![\[添加权限图片。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-api-permissions.png)

1. 选择 **Microsoft Graph**，然后选择**委派权限**。

1. **选中**电子邮件**、O **ffline\$1access、o **pen** id、个人资料**的复选框。**

1. 选择**添加权限**。

## 第 6 步：公开 API
<a name="step-6-entra-expose-api"></a>

完成以下步骤，在 Microsoft Entra 中为 4 个作用域中的每个作用域公开一个 API。

1. 在导航窗格中，选择 “**公开 API**”。

1. 在 “**公开 API**” 页面上，选择 “**添加范围**”。  
![\[公开 API 镜像。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-expose-an-api.png)

   **应用程序 ID URI** 应自动填充，URI 后面的 ID 应与**应用程序 ID** 相匹配（在将 *AWS Wickr 注册为应用程序*中创建）。  
![\[添加示波器图像。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-add-scope.png)

1. 选择 **保存并继续**。

1. 选择 “**管理员和用户**” 标签，然后将范围名称输入为 o **ff** line\$1access。

1. 选择 “**状态**”，然后选择 “**启用**”。

1. 选择 “**添加范围**”。

1. **重复本节的步骤 1-6，添加以下范围：**电子邮件**、**openid** 和个人资料。**  
![\[添加瞄准镜图片。\]](http://docs.aws.amazon.com/zh_cn/wickr/latest/adminguide/images/entra-scopes-api.png)

1. 在 “**授权的客户端应用程序**” 下，选择 “**添加客户端应用程序**”。

1. 选择在上一步中创建的所有四个作用域。

1. 输入或验证**应用程序（客户端）ID**。

1. 选择**添加应用程序**。

## 第 7 步：AWS Wickr 单点登录配置
<a name="step-7-wickr-sso-configuration"></a>

在 AWS Wickr 控制台中完成以下配置过程。

1. 在 f AWS 管理控制台 or Wickr 上[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/)打开。

1. 在 “**网络” 页面**上，选择要导航到该网络的网络名称。

1. 在导航窗格中，选择**用户管理**，然后选择**配置 SSO**。

1. 输入以下详细信息：
   + **颁发者**-这是之前修改过的端点（例如`https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/`）。
   + **客户端 ID**-这是 “**概览**” 窗格中的**应用程序（客户端）ID**。
   + **客户机密钥（可选）**-这是**证书和**密钥窗格中的客户**机密钥**。
   + **范围** — 这些是 “公开 **API” 窗格上显示的**范围名称。**输入**电子邮件**、**个人资料**、**离线访问权限和 openID**。**
   + **自定义用户名范围（可选）**-输入 **upn。**
   + **公司 ID** — 这可以是一个唯一的文本值，包括字母数字和下划线字符。这句话是您的用户在新设备上注册时要输入的内容。

   *其他字段是可选的。*

1. 选择**下一步**。

1. 在 “**查看并保存**” 页面中验证详细信息，然后选择 “**保存更改**”。

SSO 配置已完成。要进行验证，您现在可以在 Microsoft Entra 中将用户添加到应用程序中，然后使用 SSO 和公司 ID 使用该用户登录。

有关如何邀请和加入用户的更多信息，请参阅[创建和邀请用户](https://docs.aws.amazon.com/wickr/latest/adminguide/getting-started.html#getting-started-step3)。

## 问题排查
<a name="troubleshooting"></a>

以下是您可能遇到的常见问题以及解决这些问题的建议。
+ SSO 连接测试失败或没有响应：
  + 确保按预期配置 **SSO 颁发者**。
  + 确保按预期设置**配置的 SSO** 中的必填字段。
+ 连接测试成功，但用户无法登录：
  + 确保用户已添加到你在 Microsoft Entra 中注册的 Wickr 应用程序中。
  + 确保用户使用正确的公司 ID，包括前缀。*例如 UE1-DemoNetwork w\$1drqtva。*
  + 在 **AWS Wickr SSO** 配置中可能未正确设置**客户端密钥**。通过在 Microsoft Entra 中创建另一个**客户端密钥**来重置它，然后在 Wic **kr** SSO 配置中设置新的**客户端密钥**。