Principy jednotného přihlašování založeného na SAML

V sérii rychlých startů o správě aplikací jste zjistili, jak používat Azure AD jako zprostředkovatele identity (IdP) pro aplikaci. Tento článek obsahuje podrobnější informace o možnosti jednotného přihlašování založené na SAML.

Než začnete

Použití Azure AD jako zprostředkovatele identity (IdP) a konfigurace jednotného přihlašování (SSO) může být jednoduché nebo složité v závislosti na použité aplikaci. Některé aplikace je možné nakonfigurovat pomocí několika akcí. Jiné vyžadují hloubkovou konfiguraci. Pokud chcete rychle zrychlit znalosti, projděte si sérii rychlých startů o správě aplikací. Pokud je aplikace, kterou přidáváte, jednoduchá, pravděpodobně si tento článek nemusíte přečíst. Pokud aplikace, kterou přidáváte, vyžaduje vlastní konfiguraci pro jednotné přihlašování založené na SAML, pak je tento článek pro vás.

V sérii rychlých startůje článek o konfiguraci jednotného přihlašování. V ní se dozvíte, jak získat přístup ke konfigurační stránce SAML pro aplikaci. Stránka konfigurace SAML obsahuje pět částí. Tyto části jsou podrobně popsány v tomto článku.

Důležité

V některých scénářích se možnost Jednotné přihlašování nebude v navigaci pro aplikaci v aplikaci Enterprise aplikace.

Pokud byla aplikace zaregistrovaná pomocí Registrace aplikací, je funkce jednotného přihlašování nakonfigurovaná tak, aby ve výchozím nastavení používat OIDC OAuth. V takovém případě se možnost Jednotné přihlašování v navigaci v části Enterprise aplikací. Když použijete Registrace aplikací k přidání vlastní aplikace, nakonfigurujete možnosti v souboru manifestu. Další informace o souboru manifestu najdete v tématu Azure Active Directory manifestu aplikace. Další informace o standardech jednotného přihlašování najdete v tématu Ověřování a autorizace pomocí Microsoft identity platform.

Mezi další scénáře, kdy v navigaci chybí jednotné přihlašování, patří situace, kdy je aplikace hostovaná v jiném tenantovi nebo pokud váš účet nemá požadovaná oprávnění (globální správce, správce cloudových aplikací, správce aplikace nebo vlastník instančního objektu). Oprávnění mohou také způsobit scénář, kdy můžete otevřít jednotné přihlašování, ale nebudete je moct uložit. Další informace o rolích pro správu Azure AD najdete v tématu ( https://docs.microsoft.com/azure/active-directory/users-groups-roles/directory-assign-admin-roles) .

Základní konfigurace SAML

Hodnoty byste měli získat od dodavatele aplikace. Hodnoty můžete zadat ručně nebo nahrát soubor metadat, který extrahuje hodnotu polí.

Tip

Mnoho aplikací už je předem nakonfigurovaných pro práci s Azure AD. Tyto aplikace jsou uvedené v galerii aplikací, které můžete procházet při přidávání aplikace do tenanta Azure AD. Tento proces vás provede řadou rychlých startů. Podrobné pokyny pro aplikace v galerii. Pokud chcete získat přístup k krokům, můžete kliknout na odkaz na stránce konfigurace SAML pro aplikaci, jak je popsáno v sérii rychlých startů, nebo můžete procházet seznam všech kurzů konfigurace aplikací v kurzech konfigurace aplikací SaaS.

Základní nastavení konfigurace SAML Iniciováno zprostředkovatelem přihlašování Iniciováno pomocí IdP Description
Identifikátor (ID entity) Vyžaduje se pro některé aplikace Vyžaduje se pro některé aplikace Jednoznačně identifikuje aplikaci. Azure AD odešle identifikátor do aplikace jako parametr Audience tokenu SAML. Očekává se, že ji aplikace ověří. Tato hodnota se také zobrazuje jako ID entity ve všech metadatech SAML poskytovaných aplikací. Zadejte adresu URL, která používá následující vzor: https:// .contoso.com. Tuto hodnotu najdete jako element Issuer v požadavku AuthnRequest (požadavek SAML) odeslaném aplikací.
Adresa URL odpovědi Vyžadováno Vyžadováno Určuje, kde aplikace očekává přijetí tokenu SAML. Adresa URL odpovědi se také označuje jako adresa URL ACS (Assertion Consumer Service). Pomocí dalších polí adresy URL odpovědi můžete zadat více adres URL odpovědí. Můžete například potřebovat další adresy URL odpovědí pro více subdomén. Pro účely testování můžete také zadat více adres URL odpovědí (místní hostitel a veřejné adresy URL) najednou.
Přihlašovací adresa URL Vyžadováno Nezadáte Když uživatel otevře tuto adresu URL, poskytovatel služeb ho přesměruje do Azure AD, kde se uživatel ověří a přihlásí. Azure AD používá adresu URL ke spuštění aplikace z Microsoft 365 nebo Azure AD Moje aplikace. Pokud je tato možnost prázdná, Azure AD použije přihlášení iniciované adresou IDP, když uživatel spustí aplikaci z Microsoft 365, Azure AD Moje aplikace nebo adresy URL jednotného přihlašování Azure AD.
Stav přenosu Volitelné Volitelné Určuje pro aplikaci, kam má přesměrovat uživatele po dokončení ověřování. Obvykle je hodnota platná adresa URL pro aplikaci. Některé aplikace ale toto pole používají odlišně. Další informace vám sdělí dodavatel aplikace.
Adresa URL pro odhlášení Volitelné Volitelné Slouží k odeslání odpovědí odhlásit SE SAML zpět do aplikace.

Atributy a deklarace identity uživatele

Když se uživatel ověří v aplikaci, Azure AD vydá aplikaci token SAML s informacemi (nebo deklaracemi identity) o uživateli, který je jednoznačně identifikuje. Ve výchozím nastavení tyto informace zahrnují uživatelské jméno, e-mailovou adresu, jméno a příjmení uživatele. Pokud například aplikace vyžaduje konkrétní hodnoty deklarací identity nebo jiný formát názvu než uživatelské jméno, může být potřeba tyto deklarace identity přizpůsobit.

Důležité

Mnoho aplikací je už předem nakonfigurovaných a v galerii aplikací a nemusíte si dělat starosti s nastavením deklarací identity uživatelů a skupin. Série Rychlý start vás provede přidáním a konfigurací aplikací.

Hodnota jedinečného identifikátoru uživatele (ID jména) je povinná deklarace identity a je důležitá. Výchozí hodnota je user.userprincipalname. Identifikátor uživatele jednoznačně identifikuje každého uživatele v rámci aplikace. Pokud je například uživatelským jménem i jedinečným identifikátorem e-mailová adresa, nastavte tuto hodnotu na user.mail.

Další informace o přizpůsobení deklarací identity SAML najdete v tématu Postupy: Přizpůsobení deklarací identity vystavených v tokenu SAML pro podnikové aplikace.

Můžete přidat nové deklarace identity. Podrobnosti najdete v tématu Přidání deklarací identity specifických pro aplikaci nebo přidání deklarací identity skupiny v tématu Konfigurace deklarací identity skupiny.

Poznámka

Další způsoby přizpůsobení tokenu SAML z Azure AD do vaší aplikace najdete v následujících zdrojích informací.

Podpisový certifikát SAML

Azure AD používá certifikát k podepsání tokenů SAML, které odesílá do aplikace. Tento certifikát potřebujete ke konfiguraci vztahu důvěryhodnosti mezi Azure AD a aplikací. Podrobnosti o formátu certifikátu najdete v dokumentaci SAML aplikace. Další informace najdete v tématu Správa certifikátů pro federované jednotné přihlašování a Pokročilé možnosti podepisování certifikátů v tokenu SAML.

Důležité

Mnoho aplikací je už předem nakonfigurovaných a v galerii aplikací a nemusíte se ponořit do certifikátů. Série Rychlý start vás provede přidáním a konfigurací aplikací.

Z Azure AD si můžete stáhnout aktivní certifikát ve formátu Base64 nebo Raw přímo z hlavní stránky Nastavení jednotného přihlašování Sign-On SAML. Aktivní certifikát můžete získat také tak, že stáhnete soubor XML metadat aplikace nebo adresu URL federačních metadat aplikace. Pokud chcete zobrazit, vytvořit nebo stáhnout certifikáty (aktivní nebo neaktivní), postupujte podle těchto kroků.

Mezi běžné věci, které je za účelem ověření certifikátu dobré ověřit, patří:

  • Správné datum vypršení platnosti. V budoucnu můžete nakonfigurovat datum vypršení platnosti až na tři roky.
  • Stav aktivní pro správný certifikát. Pokud je stav neaktivní, změňte stav na aktivní. Chcete-li změnit stav, klikněte pravým tlačítkem myši na řádek certifikátu a vyberte možnost nastavit certifikát jako aktivní.
  • Správná možnost podepisování a algoritmus.
  • Správná e-mailová adresa (y) oznámení. Když se aktivní certifikát blíží datu vypršení platnosti, Azure AD pošle oznámení na e-mailovou adresu nakonfigurovanou v tomto poli.

Někdy může být nutné stáhnout certifikát. Dejte pozor, abyste si ho uložili i přes! Chcete-li stáhnout certifikát, vyberte jednu z možností pro Formát Base64, nezpracovaný formát nebo XML federačních metadat. Azure AD taky poskytuje adresu URL federačních metadat aplikace , kde můžete získat přístup k metadatům specifickým pro aplikaci ve formátu https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID> .

Poznámka

Aplikace by měla být schopna zpracovat značku pořadí bajtů, která je k dispozici v XML vykresleném při použití https://login.microsoftonline.com/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml?appid={app-id} . Značka pořadí bajtů je reprezentována jako netisknutelný znak ASCII» a v šestnáctkové soustavě je reprezentována jako EF BB BF při kontrole dat XML.

Chcete-li provést změny certifikátu, vyberte tlačítko Upravit. Na stránce podpisového certifikátu SAML můžete udělat několik věcí:

  • Vytvořit nový certifikát: vyberte nový certifikát, vyberte Datum vypršení platnosti a pak vyberte Uložit. Certifikát aktivujete tak, že vyberete kontextovou nabídku (...) a vyberete nastavit certifikát jako aktivní.
  • Upload certifikát s přihlašovacími údaji privátního klíče a pfx: vyberte importovat certifikát a vyhledejte certifikát. Zadejte heslo PFX a pak vyberte Přidat.
  • Nakonfigurujte rozšířené podepisování certifikátů. Další informace o těchto možnostech najdete v tématu Rozšířené možnosti podepisování certifikátů.
  • Oznámit dalším lidem, když se aktivní certifikát blíží datu vypršení platnosti: Zadejte e-mailové adresy do polí e-mailových adres oznámení .

Nastavení aplikace pro použití Azure AD

V části nastavení <applicationName> jsou uvedené hodnoty, které je třeba v aplikaci nakonfigurovat tak, aby používaly Azure AD jako zprostředkovatele identity SAML. Hodnoty se nastavují na stránce konfigurace na webu aplikace. pokud například konfigurujete GitHub pak přejdete na web github.com a nastavíte hodnoty. Pokud je aplikace už předem nakonfigurovaná a v galerii Azure AD, najdete odkaz k zobrazení podrobných pokynů. V opačném případě bude nutné najít dokumentaci k aplikaci, kterou konfigurujete.

Hodnoty adresy URL pro přihlášení a adresy URL pro odhlášení se obě překládají na stejný koncový bod, což je koncový bod pro zpracování požadavků SAML pro tenanta Azure AD.

Identifikátor Azure AD je hodnota vystavitele v tokenu SAML, který je vydaný pro aplikaci.

Test jednotného přihlašování

Jakmile nakonfigurujete aplikaci tak, aby používala Azure AD jako zprostředkovatele identity založeného na SAML, můžete otestovat nastavení a zjistit, jestli pro váš účet funguje jednotné přihlašování.

Vyberte test a pak zvolte možnost testovat s aktuálně přihlášeným uživatelem nebo jako někdo jiný.

Pokud je přihlášení úspěšné, budete připraveni přiřadit uživatele a skupiny do aplikace SAML. Gratulujeme!

Pokud se zobrazí chybová zpráva, proveďte následující kroky:

  1. Zkopírujte podrobnosti a vložte je do pole Jak chyba vypadá?.

    Získání postupu řešení

  2. Vyberte možnost získat pokyny k řešení. Zobrazí se pokyny k hlavní příčině a řešení. V tomto příkladu uživatel nebyl přiřazen k aplikaci.

  3. Přečtěte si doprovodné materiály k řešení a pokuste se problém vyřešit.

  4. Spusťte test znovu, dokud se úspěšně nedokončí.

Další informace najdete v tématu ladění jednotného přihlašování založeného na SAML pro aplikace v Azure Active Directory.

Další kroky