在本文中，您将了解如何通过 Microsoft Entra ID 为 KnowBe4 账户配置单点登录 (SSO)。在配置 SSO 时，您能够在 Microsoft Entra ID 中将用户分配给 KnowBe4。然后，用户能够使用 Microsoft Entra ID 来登录 KnowBe4 学员实践 (LX)。 

请参见以下部分，了解如何通过 Microsoft Entra ID 为 KnowBe4 配置 SSO。 

将 KnowBe4 应用程序添加至 Microsoft Entra ID

您需要将 KnowBe4 应用程序添加至您的 Microsoft Entra ID 账户，才能开始通过 Microsoft Entra ID 配置 SSO。 

要将 KnowBe4 应用程序添加至您的 Microsoft Entra ID 账户，请按照以下步骤操作：

1. 登录您的 Microsoft Entra ID 管理员账户。
2. 打开导航面板，前往 Enterprise applications > All applications。
3. 单击页面左上角的+ 新建应用程序按钮。
4. 在从图库中添加字段中，输入“KnowBe4”。
5. 选择 KnowBe4 Security Awareness Training 应用程序。
6. 在打开的窗口中，为应用程序输入一个名称。
7. 单击窗口底部的添加按钮。
8. 在导航面板中，选择单点登录选项卡。
9. 选择 SAML 方法。

接着，获取唯一的 KnowBe4 SSO 登录 URL。您需要在 Microsoft Entra ID 中使用这些信息来配置 SSO。 

要获取您的 SSO 登录 URL，请按照以下步骤操作：

10. 打开新的窗口或标签页，登录您的 KnowBe4 账户。 
11. 单击页面右上角的电子邮件地址。
12. 选择账户设置。
13. 前往账户集成 > SAML。
14. 查找唯一的 SSO 回电 (ACS) URL 和 SSO 登录 URL。在以下步骤 3b 中，您需要将这些信息复制并粘贴到 Microsoft Entra ID 中。

最后，按照以下步骤在 Microsoft Entra ID 中完成 SSO 配置：

15. 返回 Microsoft Entra ID 门户。 
16. 在 Basic SAML Configuration 部分中，单击铅笔图标。 
17. 编辑此页面上的字段。有关必填字段的更多信息，请查看以下截图和信息：
    1. 如果您尚未在账户设置中生成唯一的实体 ID，请在 Identifier 字段中输入“KnowBe4”。否则，请输入唯一的实体 ID。
       重要提示：KnowBe4 区分大小写。
    2. 在回复 URL 文本字段中，输入您在上述步骤 5 中获得的唯一 SSO 回电 (ACS) URL。例如，输入“https://training.knowbe4.com/auth/saml/xxxxxxxxxxxx/callback”。
    3. 在登录 URL 文本字段中，输入您在上述步骤 5 中获得的唯一 SSO 登录 URL。例如，输入“https://training.knowbe4.com/auth/saml/xxxxxxxxxxxx”。
    注意：在特定情况下，您只需在 Microsoft Entra ID 门户的 Basic SAML Configuration 页面上填写其他字段。例如，如果您对 Microsoft Entra ID 使用多重身份验证 (MFA)，则须将回电链接添加至 Relay State 字段。
    
18. 填写完此页面的字段后，单击 Save 按钮。
19. 打开用户属性和声明部分，单击铅笔图标并编辑属性。
20. 删除下列属性：
    • givenname
    • surname
    • emailaddress
    • name
21. 单击铅笔图标，编辑 Unique User Identifier 属性。
22. 在 Source attribute 字段中，确保属性为 user.userprincipalname。若想您的用户改用自己的电子邮件地址登录，您也可以将此属性更新为 user.mail。
    注意：如果您对 Microsoft Entra ID 使用 SCIM，则此属性应该与 SCIM Source attribute 相同。SCIM Source attribute 默认为 user.userprincipalname。 有关更多信息，请参阅文章如何为 Microsoft Entra ID 配置 SCIM 中的高级配置选项部分。
23. 单击 Save 按钮。 
24. 打开 SAML 登录证书部分，复制 Thumbprint。
25. 打开设置部分，复制登录 URL。除了上述 Thumbprint 以外，您还需要此 URL。

在 Microsoft Entra ID 中将用户分配至 KnowBe4

将 KnowBe4 应用程序添加至 Microsoft Entra ID 之后，您可将用户和群组分配到该应用程序。 

要将用户和群组分配到 KnowBe4 应用程序，请按照以下步骤操作：

1. 登录您的 Microsoft Entra ID 管理员账户。 
2. 前往 Enterprise applications > All applications。
3. 选择 KnowBe4 应用程序。 
4. 打开导航面板，选择 Users and groups 选项卡。
5. 单击 + Add user 按钮。
6. 选择要分配到 KnowBe4 应用程序的用户或群组。
7. 单击 Select 按钮。
8. 添加完所有要添加的用户或群组之后，单击分配按钮。

在 KnowBe4 账户中配置 Microsoft Entra ID

您需要在 KnowBe4 账户设置中输入 Microsoft Entra ID 登录 URL 和 Thumbprint，才能完成配置。

如需了解如何在您的账户设置中输入这些信息，请参阅文章如何为安全意识培训平台设置 SAML 单点登录。

创建新证书并更新 Thumbprint

每当 Microsoft Entra ID SAML 证书到期时，您都需要创建并激活新的证书。然后，您需要更新 KnowBe4 账户中的 SAML thumbprint。 

要创建新证书并更新 thumbprint，请按照以下步骤操作：

1. 登录您的 Microsoft Entra ID 管理员账户。 
2. 前往 Enterprise applications > All applications。
3. 选择 KnowBe4 应用程序。 
4. 打开导航面板，选择 Single sign-on 选项卡。
5. 打开该页面的 SAML 登录证书部分，单击铅笔图标。
6. 单击 + New Certificate 按钮。
7. 选择日历图标。
8. 选择所需的证书到期日期。
9. 单击 Save 按钮。
10. 单击已创建证书旁边的三点图标。
11. 单击激活证书 按钮。
12. 打开 Thumbprint 列，复制新的 thumbprint。在以下步骤 5 中，您需要将此 thumbprint 粘贴到 KnowBe4 账户中。

接着，您需要按以下步骤更新 KnowBe4 账户中的 thumbprint：

13. 登录您的 KnowBe4 账户。 
14. 单击页面右上角的电子邮件地址。
15. 选择账户设置。 
16. 前往账户集成 > SAML。
17. 将您的新证书 thumbprint 粘贴到 IdP 证书指纹字段。
18. 向下滚动到页面底部。 
19. 单击保存更改按钮。