本指南記載於 2025 年 3 月 13 日發行的新 AWS Wickr 管理主控台。如需 AWS Wickr 管理主控台傳統版本的文件,請參閱[傳統管理指南](https://docs.aws.amazon.com/wickr/latest/adminguide-classic/what-is-wickr.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 AWS Wickr 中設定 SSO
為了確保安全存取您的 Wickr 網路,您可以設定目前的單一登入組態。詳細的指南可協助您完成此程序。
**重要**
當您設定 SSO 時,您可以為 Wickr 網路指定公司 ID。請務必記錄此公司 ID。傳送邀請電子郵件時,您必須將其提供給最終使用者。最終使用者註冊 Wickr 網路時,必須指定公司 ID。
2025 年 9 月,AWS Wickr 推出了改善且更安全的 SSO 連線系統。若要利用這些安全性增強功能,使用 SSO 的組織必須在 2026 年 3 月 9 日之前遷移至新的重新導向 URI。如需遷移說明,請參閱下列 AWS re:Post 文章:[遷移至 AWS Wickr 的新 SSO 重新導向 URI](https://repost.aws/articles/ARwG2sEMHkShKNn77mc8pc8Q/migrating-to-the-new-sso-redirect-uri-for-aws-wickr)。
如需設定 SSO 的詳細資訊,請參閱下列指南:
+ [使用 Microsoft Entra (Azure AD) 進行 AWS Wickr 單一登入 (SSO) 設定](https://docs.aws.amazon.com/wickr/latest/adminguide/entra-ad-sso.html)
+ [使用 Okta 進行 AWS Wickr 單一登入 (SSO) 設定](https://repost.aws/articles/ARqcPJ8MctR02Om4APlBEANw/aws-wickr-single-sign-on-sso-setup-with-okta)
+ [Amazon Cognito 的 AWS Wickr 單一登入 (SSO) 設定](https://repost.aws/articles/ARIOjROyJDTfutje_DJW9wWg/aws-wickr-single-sign-on-sso-setup-with-amazon-cognito)
# 使用 Microsoft Entra (Azure AD) 單一登入設定 AWS Wickr
AWS Wickr 可設定為使用 Microsoft Entra (Azure AD) 做為身分提供者。若要這樣做,請在 Microsoft Entra 和 AWS Wickr 管理員主控台中完成下列程序。
**警告**
在網路上啟用 SSO 後,它會將作用中使用者登出 Wickr,並強制他們使用 SSO 供應商重新驗證身分。
## 步驟 1:在 Microsoft Entra 中將 AWS Wickr 註冊為應用程式
完成下列程序,將 AWS Wickr 註冊為 Microsoft Entra 中的應用程式。
**注意**
如需詳細的螢幕擷取畫面和疑難排解,請參閱 Microsoft Entra 文件。如需詳細資訊,請參閱[使用 Microsoft 身分平台註冊應用程式](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app)
1. 在導覽窗格中,選擇**應用程式**,然後選擇**應用程式註冊**。
1. 在**應用程式註冊**頁面上,選擇**註冊應用程式**,然後輸入應用程式名稱。
1. **僅選取此組織目錄中的帳戶 (僅限預設目錄 - 單一租戶)**。
1. 在**重新導向 URI** 下,選取 **Web**,然後在 AWS Wickr Admin 主控台的 SSO 組態設定中輸入可用的重新導向 URI
1. 選擇**註冊**。
1. 註冊後,複製/儲存產生的應用程式 (用戶端) ID。
![\[用戶端應用程式 ID 映像。\]](http://docs.aws.amazon.com/zh_tw/wickr/latest/adminguide/images/application-client-id.png)
1. 選取**端點**索引標籤以記下下列項目:
1. Oauth 2.0 授權端點 (v2):例如: `https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/oauth2/v2.0/authorize`
1. 編輯此值以移除「oauth2/」和「授權」。例如,固定 URL 如下所示: `https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/`
1. 這將參考為 **SSO 發行者**。
## 步驟 2:設定身分驗證
完成下列程序以在 Microsoft Entra 中設定身分驗證。
1. 在導覽窗格中,選擇**身分驗證**。
1. 在**身分驗證**頁面上,請確定 **Web 重新導向 URI** 與先前輸入的 URI 相同 (在將 *AWS Wickr 註冊為應用程式*)。
![\[用戶端身分驗證映像。\]](http://docs.aws.amazon.com/zh_tw/wickr/latest/adminguide/images/authentication.png)
1. 選取**用於隱含流程的存取字符**,以及**用於隱含和混合流程的 ID 字符**。
1. 選擇**儲存**。
![\[請求存取字符映像。\]](http://docs.aws.amazon.com/zh_tw/wickr/latest/adminguide/images/access-tokens.png)
## 步驟 3:設定憑證和秘密
完成下列程序以在 Microsoft Entra 中設定憑證和秘密。
1. 在導覽窗格中,選擇**憑證和秘密**。
1. 在**憑證與秘密**頁面上,選取**用戶端秘密**索引標籤。
1. 在**用戶端秘密**索引標籤下,選取**新增用戶端秘密**。
1. 輸入描述並選取秘密的過期期間。
1. 選擇**新增**。
![\[新增用戶端秘密映像。\]](http://docs.aws.amazon.com/zh_tw/wickr/latest/adminguide/images/entra-create-client-secret.png)
1. 建立憑證後,複製**用戶端秘密值**。
![\[用戶端秘密值的範例。\]](http://docs.aws.amazon.com/zh_tw/wickr/latest/adminguide/images/entra-client-secret-value.png)
**注意**
用戶端應用程式程式碼需要用戶端秘密值 (非秘密 ID)。離開此頁面後,您可能無法檢視或複製秘密值。如果您現在未複製,則必須返回以建立新的用戶端秘密。
## 步驟 4:設定字符組態
請完成下列程序,以在 Microsoft Entra 中設定權杖組態。
1. 在導覽窗格中,選擇**字符組態**。
1. 在**權杖組態**頁面上,選擇**新增選用宣告**。
1. 在**選用宣告**下,選取**字符類型**做為 **ID**。
1. 選取 **ID** 之後,在**申請**下,選取**電子郵件**並**更新**。
1. 選擇**新增**。
![\[字符類型影像。\]](http://docs.aws.amazon.com/zh_tw/wickr/latest/adminguide/images/entra-token-type.png)
## 步驟 5:設定 API 許可
完成下列程序以在 Microsoft Entra 中設定 API 許可。
1. 在導覽窗格中,選擇 **API permissions** (API 許可)。
1. 在 **API 許可**頁面上,選擇**新增許可**。
![\[新增許可映像。\]](http://docs.aws.amazon.com/zh_tw/wickr/latest/adminguide/images/entra-api-permissions.png)
1. 選取 **Microsoft Graph**,然後選取**委派許可 **。
1. 選取**電子郵件 **、**離線\$1存取**、**Openid**、**設定檔**的核取方塊。
1. 選擇**新增許可**。
## 步驟 6:公開 API
請完成下列程序,以公開 Microsoft Entra 中 4 個範圍中的每個範圍的 API。
1. 在導覽窗格中,選擇**公開 API**。
1. 在**公開 API** 頁面上,選擇**新增範圍**。
![\[公開 API 映像。\]](http://docs.aws.amazon.com/zh_tw/wickr/latest/adminguide/images/entra-expose-an-api.png)
**應用程式 ID URI** 應自動填入,且 URI 後面的 ID 應符合**應用程式 ID** (在*註冊 AWS Wickr 中建立為應用程式*)。
![\[新增範圍影像。\]](http://docs.aws.amazon.com/zh_tw/wickr/latest/adminguide/images/entra-add-scope.png)
1. 選擇**儲存並繼續**。
1. 選取**管理員和使用者**標籤,然後將範圍名稱輸入為 **offline\$1access**。
1. 選取**狀態**,然後選取**啟用**。
1. 選擇**新增範圍**。
1. 重複本節的步驟 1-6,以新增下列範圍:**電子郵件**、**Openid** 和**設定檔**。
![\[新增範圍影像。\]](http://docs.aws.amazon.com/zh_tw/wickr/latest/adminguide/images/entra-scopes-api.png)
1. 在**授權用戶端應用程式**下,選擇**新增用戶端應用程式**。
1. 選取上一個步驟中建立的所有四個範圍。
1. 輸入或驗證**應用程式 (用戶端) ID**。
1. 選擇**新增應用程式**。
## 步驟 7:AWS Wickr SSO 組態
在 AWS Wickr 主控台中完成下列組態程序。
1. 在 https://[https://console.aws.amazon.com/wickr/](https://console.aws.amazon.com/wickr/) 開啟 AWS 管理主控台 for Wickr。
1. 在**網路頁面上**,選取要導覽至該網路的網路名稱。
1. 在導覽窗格中,選擇**使用者管理**,然後選擇**設定 SSO**。
1. 輸入下列詳細資訊:
+ **發行者** — 這是先前修改過的端點 (例如 `https://login.microsoftonline.com/1ce43025-e4b1-462d-a39f-337f20f1f4e1/v2.0/`)。
+ ** 用戶端 ID** — 這是**概觀**窗格中**的應用程式 (用戶端) ID**。
+ **用戶端秘密 (選用)** — 這是憑證和秘密窗格中的**用戶端**秘密。 ****
+ **範圍** — 這些是**公開 API** 窗格中公開的範圍名稱。輸入**電子郵件**、**設定檔**、**離線存取**和 **openid**。
+ **自訂使用者名稱範圍 (選用)** — 輸入 **upn**。
+ **公司 ID ** — 這可以是唯一的文字值,包括英數字元和底線字元。此片語是使用者在新裝置上註冊時將輸入的內容。
*其他欄位為選用。*
1. 選擇**下一步**。
1. 驗證**檢閱和儲存**頁面中的詳細資訊,然後選擇**儲存變更**。
SSO 組態已完成。若要驗證,您現在可以在 Microsoft Entra 中將使用者新增至應用程式,並使用 SSO 和公司 ID 與使用者登入。
如需如何邀請和加入使用者的詳細資訊,請參閱[建立和邀請使用者](https://docs.aws.amazon.com/wickr/latest/adminguide/getting-started.html#getting-started-step3)。
## 疑難排解
以下是您可能遇到的常見問題,以及解決這些問題的建議。
+ SSO 連線測試失敗或沒有回應:
+ 確定 **SSO 發行者**設定為預期。
+ 確定 **SSO 設定的**必填欄位設定為預期。
+ 連線測試成功,但使用者無法登入:
+ 確定使用者已新增至您在 Microsoft Entra 中註冊的 Wickr 應用程式。
+ 確定使用者使用正確的公司 ID,包括 字首。*例如,UE1-DemoNetworkW\$1drqtva*。
+ 用戶端**秘密**可能無法在 **AWS Wickr SSO 組態**中正確設定。在 Microsoft Entra 中建立另一個**用戶端秘密**,並在 **Wickr SSO 組態**中設定新的**用戶端秘密**,以重新設定。