Einmaliges Anmelden bei Anwendungen in Azure Active DirectorySingle sign-on to applications in Azure Active Directory

Mit dem einmaligen Anmelden (Single Sign-On, SSO) ist für Sicherheit und Komfort gesorgt, wenn sich Benutzer in Azure Active Directory (Azure AD) an Anwendungen anmelden.Single sign-on (SSO) adds security and convenience when users sign-on to applications in Azure Active Directory (Azure AD). In diesem Artikel werden die Methoden für einmaliges Anmelden beschrieben, und Sie erhalten Hilfestellung beim Auswählen der am besten geeigneten SSO-Methode zum Konfigurieren Ihrer Anwendungen.This article describes the single sign-on methods, and helps you choose the most appropriate SSO method when configuring your applications.

  • Mit einmaligem Anmelden melden sich Benutzer einmal mit einem Konto an, um auf in die Domäne eingebundene Geräte, Unternehmensressourcen, SaaS-Anwendungen (Software-as-a-Service) und Webanwendungen zuzugreifen.With single sign-on, users sign in once with one account to access domain-joined devices, company resources, software as a service (SaaS) applications, and web applications. Nach der Anmeldung kann der Benutzer Anwendungen aus dem Office 365-Portal oder dem Azure AD-Zugriffsbereich MyApps starten.After signing in, the user can launch applications from the Office 365 portal or the Azure AD MyApps access panel. Administratoren können die Verwaltung von Benutzerkonten zentralisieren und den Benutzerzugriff auf Anwendungen basierend auf der Gruppenmitgliedschaft automatisch hinzufügen oder entfernen.Administrators can centralize user account management, and automatically add or remove user access to applications based on group membership.

  • Ohne einmaliges Anmelden müssen sich die Benutzer anwendungsspezifische Kennwörter merken und sich für jede Anwendung anmelden.Without single sign-on, users must remember application-specific passwords and sign in to each application. IT-Mitarbeiter müssen Benutzerkonten für jede Anwendung erstellen und aktualisieren, z.B. Office 365, Box oder Salesforce.IT staff needs to create and update user accounts for each application such as Office 365, Box, and Salesforce. Benutzer müssen sich ihre Kennwörter merken und außerdem Zeit für die Anmeldung bei jeder Anwendung verbringen.Users need to remember their passwords, plus spend the time to sign in to each application.

Auswählen einer Methode für einmaliges AnmeldenChoosing a single sign-on method

Es gibt mehrere Möglichkeiten, eine Anwendung für einmaliges Anmelden zu konfigurieren.There are several ways to configure an application for single sign-on. Die Auswahl einer Methode für einmaliges Anmelden hängt davon ab, wie die Anwendung für die Authentifizierung konfiguriert ist.Choosing a single sign-on method depends on how the application is configured for authentication.

  • Cloudanwendungen können für einmaliges Anmelden die Methoden „OpenID Connect“, „OAuth“, „SAML“, „Kennwort“, „Verknüpft“ oder „Deaktiviert“ verwenden.Cloud applications can use OpenID Connect, OAuth, SAML, password-based, linked, or disabled methods for single sign-on.
  • Lokale Anwendungen können für einmaliges Anmelden die Methoden „Kennwort“, „Integrierte Windows-Authentifizierung“, „Header“, „Verknüpft“ oder „Deaktiviert“ verwenden.On-premises applications can use password-based, Integrated Windows Authentication, header-based, linked, or disabled methods for single sign-on. Die lokalen Optionen funktionieren, wenn die Anwendungen für den Anwendungsproxy konfiguriert wurden.The on-premises choices work when applications are configured for Application Proxy.

Dieses Flussdiagramm erleichtert Ihnen die Entscheidung, welche Methode des einmaligen Anmeldens für Ihre Situation am besten geeignet ist.This flowchart helps you decide which single sign-on method is best for your situation.

Flussdiagramm zum Treffen einer Entscheidung für eine Methode zum einmaligen Anmelden

In der folgenden Tabelle werden die Methoden für einmaliges Anmelden zusammengefasst und Links zu weiteren Details angegeben.The following table summarizes the single sign-on methods, and links to more details.

Methode für einmaliges AnmeldenSingle sign-on method AnwendungstypenApplication types EinsatzgebieteWhen to use
OpenID Connect und OAuthOpenID Connect and OAuth Nur Cloudcloud only Verwenden Sie OpenID Connect und OAuth, wenn Sie eine neue Anwendung entwickeln.Use OpenID Connect and OAuth when developing a new application. Dieses Protokoll vereinfacht die Anwendungskonfiguration, verfügt über leicht zu verwendende SDKs und ermöglicht für Ihre Anwendung die Nutzung von MS Graph.This protocol simplifies application configuration, has easy-to-use SDKs, and enables your application to use MS Graph.
SAMLSAML Cloud und lokalcloud and on-premises Wählen Sie SAML nach Möglichkeit immer für vorhandene Anwendungen, für die nicht OpenID Connect oder OAuth genutzt wird.Choose SAML whenever possible for existing applications that do not use OpenID Connect or OAuth. SAML funktioniert für Anwendungen, bei denen die Authentifizierung mit einem der SAML-Protokolle durchgeführt wird.SAML works for applications that authenticate using one of the SAML protocols.
KennwortbasiertPassword-based Cloud und lokalcloud and on-premises Wählen Sie die kennwortbasierte Methode, wenn die Anwendung die Authentifizierung mit Benutzername und Kennwort vornimmt.Choose password-based when the application authenticates with username and password. Das kennwortbasierte einmalige Anmelden ermöglicht die sichere Speicherung des Anwendungskennworts und dessen Wiedergabe mit einer Webbrowsererweiterung oder einer mobilen App.Password-based single sign-on enables secure application password storage and replay using a web browser extension or mobile app. Mit dieser Methode wird der von der Anwendung bereitgestellte vorhandene Anmeldevorgang genutzt, die Kennwortverwaltung kann jedoch der Administrator übernehmen.This method uses the existing sign-in process provided by the application, but enables an administrator to manage the passwords.
VerknüpftLinked Cloud und lokalcloud and on-premises Wählen Sie das verknüpfte Anmelden aus, wenn die Anwendung für einmaliges Anmelden bei einem anderen Identitätsanbieterdienst konfiguriert ist.Choose linked sign-on when the application is configured for single sign-on in another identity provider service. Mit dieser Option wird der Anwendung kein einmaliges Anmelden hinzugefügt.This option doesn't add single sign-on to the application. Die Anwendung kann das einmalige Anmelden jedoch möglicherweise bereits über einen anderen Dienst implementiert haben, z.B. Active Directory-Verbunddienste.However, the application might already have single sign-on implemented using another service such as Active Directory Federation Services.
DisabledDisabled Cloud und lokalcloud and on-premises Wählen Sie das deaktivierte einmalige Anmelden, wenn die App nicht für einmaliges Anmelden konfiguriert werden kann.Choose disabled single sign-on when the app isn't ready to be configured for single sign-on. Benutzer müssen bei jedem Start dieser Anwendung ihren Benutzernamen und ihr Kennwort eingeben.Users need to enter their username and password every time they launch this application.
Integrierte Windows-Authentifizierung (IWA)Integrated Windows Authentication (IWA) Nur lokalon-premises only Wählen Sie einmaliges Anmelden vom Typ IWA für Anwendungen, die die integrierte Windows-Authentifizierung (IWA) verwenden oder Ansprüche unterstützen.Choose IWA single sign-on for applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Bei IWA verwenden die Anwendungsproxyconnectors die eingeschränkte Kerberos-Delegierung (Kerberos Constrained Delegation, KCD), um Benutzer für die Anwendung zu authentifizieren.For IWA, the Application Proxy connectors use Kerberos Constrained Delegation (KCD) to authenticate users to the application.
HeaderbasiertHeader-based Nur lokalon-premises only Verwenden Sie das headerbasierte einmalige Anmelden, wenn die Anwendung für die Authentifizierung Header verwendet.Use header-based single sign-on when the application uses headers for authentication. Headerbasiertes einmaliges Anmelden erfordert PingAccess für Azure AD.Header-based single sign-on requires PingAccess for Azure AD. Der Anwendungsproxy verwendet Azure AD, um den Benutzer zu authentifizieren, und leitet Datenverkehr dann über den Connectordienst weiter.Application Proxy uses Azure AD to authenticate the user and then passes traffic through the connector service.

OpenID Connect und OAuth 2.0OpenID Connect and OAuth

Verwenden Sie beim Entwickeln neuer Anwendungen moderne Protokolle wie OpenID Connect und OAuth, um den Benutzern Ihrer App durch das einmalige Anmelden die beste Anmeldeerfahrung über mehrere Plattformen hinweg zu bieten.When developing new applications, use modern protocols like OpenID Connect and OAuth to achieve the best single sign-on experience for your app across multiple device platforms. OAuth gibt Benutzern oder Administratoren die Möglichkeit, für geschützte Ressourcen wie Microsoft Graph ihre Einwilligung zu erteilen.OAuth enables users or admins to grant consent for protected resources like Microsoft Graph. Wir stellen einfach zu übernehmende SDKs für Ihre App bereit. Außerdem ist Ihre App dann einsatzbereit für die Verwendung von Microsoft Graph.We provide easy to adopt SDKs for your app, and additionally, your app will be ready to use Microsoft Graph.

Weitere Informationen finden Sie unterFor more information, see:

SAML SSOSAML SSO

Mit SAML SSO nimmt Azure AD die Authentifizierung bei der Anwendung mithilfe des Azure AD-Kontos des Benutzers vor.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. Azure AD gibt die Informationen für das einmalige Anmelden über ein Verbindungsprotokoll an die Anwendung weiter.Azure AD communicates the sign-on information to the application through a connection protocol. Mit SAML-basiertem einmaligem Anmelden können Sie Benutzer basierend auf Regeln, die Sie in Ihren SAML-Ansprüchen definieren, bestimmten Anwendungsrollen zuordnen.With SAML-based single sign-on, you can map users to specific application roles based on rules you define in your SAML claims.

Wählen Sie SAML-basiertes einmaliges Anmelden, wenn die Anwendung dies unterstützt.Choose SAML-based single sign-on when the application supports it.

SAML-basiertes einmaliges Anmelden wird für Anwendungen unterstützt, die eines dieser Protokolle verwenden:SAML-based single sign-on is supported for applications that use any of these protocols:

  • SAML 2.0SAML 2.0
  • WS-Federation-WS-Federation

Informationen zum Konfigurieren einer SaaS-Anwendung für SAML-basiertes einmaliges Anmelden finden Sie unter Konfigurieren des SAML-basierten einmaligen Anmeldens.To configure a SaaS application for SAML-based single sign-on, see Configure SAML-based single sign-on. Viele SaaS-Anwendungen (Software-as-a-Service) verfügen auch über ein anwendungsspezifisches Tutorial, in dem die Konfiguration des SAML-basierten einmaligen Anmeldens Schritt für Schritt beschrieben wird.Also, many Software as a Service (SaaS) applications have an application-specific tutorial that step you through the configuration for SAML-based single sign-on.

Um eine Anwendung für den WS-Verbund zu konfigurieren, führen Sie die gleichen Anweisungen wie zum Konfigurieren der Anwendung für SAML-basiertes einmaliges Anmelden aus, wie unter Tutorial: Konfigurieren des SAML-basierten einmaligen Anmeldens für eine Anwendung mit Azure Active Directory beschrieben.To configure an application for WS-Federation, follow the same guidance to configure application for SAML-based single sign-on, see Configure SAML-based single sign-on. Im Schritt zum Konfigurieren der Anwendung für die Verwendung von Azure AD müssen Sie die Azure AD-Anmelde-URL für den WS-Verbund-Endpunkt https://login.microsoftonline.com/<tenant-ID>/wsfed ersetzen.In the step to configure the application to use Azure AD, you will need to replace the Azure AD login URL for the WS-Federation end-point https://login.microsoftonline.com/<tenant-ID>/wsfed.

Informationen zum Konfigurieren einer lokalen Anwendung für SAML-basiertes einmaliges Anmelden finden Sie unter SAML-SSO (einmaliges Anmelden) für lokale Anwendungen mit dem Anwendungsproxy.To configure an on-premises application for SAML-based single sign-on, see SAML single-sign-on for on-premises applications with Application Proxy.

Weitere Informationen zum SAML-Protokoll finden Sie unter SAML-Protokoll für einmaliges Anmelden.For more information about the SAML protocol, see Single sign-on SAML protocol.

Kennwortbasiertes einmaliges AnmeldenPassword-based SSO

Bei der kennwortbasierten Anmeldung melden sich Benutzer mit einem Benutzernamen und einem Kennwort bei der Anwendung an, wenn sie zum ersten Mal darauf zugreifen.With password-based sign-on, users sign on to the application with a username and password the first time they access it. Nach der ersten Anmeldung werden der Benutzername und das Kennwort von Azure AD für die Anwendung bereitgestellt.After the first sign-on, Azure AD supplies the username and password to the application.

Beim kennwortbasierten einmaligen Anmelden wird der vorhandene Authentifizierungsvorgang der Anwendung verwendet.Password-based single sign-on uses the existing authentication process provided by the application. Wenn Sie einmaliges Anmelden per Kennwort für eine Anwendung aktivieren, sammelt Azure AD Benutzernamen und Kennwörter für die Anwendung und speichert diese sicher.When you enable password single sign-on for an application, Azure AD collects and securely stores user names and passwords for the application. Anmeldeinformationen des Benutzers werden in einem verschlüsselten Zustand im Verzeichnis gespeichert.User credentials are stored in an encrypted state in the directory.

Wählen Sie das kennwortbasierte einmalige Anmelden in folgenden Fällen:Choose password-based single sign-on when:

  • Eine Anwendung unterstützt das SAML-SSO-Protokoll nicht.An application doesn't support SAML single sign-on protocol.
  • Eine Anwendung authentifiziert sich mit Benutzername und Kennwort anstelle von Zugriffstoken und Headern.An application authenticates with a username and password instead of access tokens and headers.

Das kennwortbasierte einmalige Anmelden wird für jede cloudbasierte Anwendung unterstützt, die über eine HTML-basierte Anmeldeseite verfügt.Password-based single sign-on is supported for any cloud-based application that has an HTML-based sign-in page. Der Benutzer kann jeden der folgenden Browser verwenden:The user can use any of the following browsers:

  • Internet Explorer 11 unter Windows 7 oder höherInternet Explorer 11 on Windows 7 or later

    Hinweis

    Internet Explorer wird nur eingeschränkt unterstützt, und es werden keine neuen Softwareupdates dafür bereitgestellt.Internet Explorer is on limited support and no longer receives new software updates. Microsoft Edge ist der empfohlene Browser.Microsoft Edge is the recommended browser.

  • Microsoft Edge in Windows 10 Anniversary Edition oder höherMicrosoft Edge on Windows 10 Anniversary Edition or later

  • Chrome unter Windows 7 oder höher und macOS X oder höherChrome on Windows 7 or later, and on MacOS X or later

  • Firefox 26.0 oder höher unter Windows XP SP2 oder höher und Mac OS X 10.6 oder höherFirefox 26.0 or later on Windows XP SP2 or later, and on Mac OS X 10.6 or later

Informationen zum Konfigurieren einer Cloudanwendung für kennwortbasiertes einmaliges Anmelden finden Sie unter Konfigurieren des einmaligen Anmeldens per Kennwort.To configure an cloud application for password-based single sign-on, see Configure password single sign-on.

Informationen zum Konfigurieren einer lokalen Anwendung für einmaliges Anmelden über den Anwendungsproxy finden Sie unter Kennworttresore (Password Vaulting) für einmaliges Anmelden mit Anwendungsproxy.To configure an on-premises application for single sign-on through Application Proxy, see Password vaulting for single sign-on with Application Proxy

Funktionsweise der Authentifizierung für kennwortbasiertes einmaliges AnmeldenHow authentication works for password-based SSO

Um einen Benutzer bei einer Anwendung zu authentifizieren, ruft Azure AD die Anmeldeinformationen des Benutzers aus dem Verzeichnis ab und gibt sie auf der Anmeldeseite der Anwendung ein.To authenticate a user to an application, Azure AD retrieves the user's credentials from the directory and enters them into the application's sign-on page. Azure AD übermittelt die Anmeldeinformationen des Benutzers sicher über eine Webbrowsererweiterung oder eine mobile App.Azure AD securely passes the user credentials via a web browser extension or mobile app. Durch diesen Vorgang können Administratoren Anmeldeinformationen von Benutzern verwalten, ohne dass Benutzer sich ihr Kennwort merken müssen.This process enables an administrator to manage user credentials, and doesn't require users to remember their password.

Wichtig

Die Anmeldeinformationen werden während des automatisierten Anmeldevorgangs vor dem Benutzer verborgen.The credentials are obfuscated from the user during the automated sign-on process. Die Anmeldeinformationen können jedoch mithilfe von Webdebugtools ermittelt werden.However, the credentials are discoverable by using web-debugging tools. Benutzer und Administratoren müssen die gleichen Sicherheitsrichtlinien befolgen, als wären die Anmeldeinformationen direkt vom Benutzer eingegeben worden.Users and administrators need to follow the same security policies as if credentials were entered directly by the user.

Verwalten von Anmeldeinformationen für kennwortbasiertes einmaliges AnmeldenManaging credentials for password-based SSO

Die Kennwörter für die einzelnen Anwendungen können vom Azure AD-Administrator oder von den Benutzern verwaltet werden.Passwords for each application can either be managed by the Azure AD administrator or by the users.

Wenn der Azure AD-Administrator die Anmeldeinformationen verwaltet, gilt Folgendes:When the Azure AD administrator manages the credentials:

  • Der Benutzer muss seinen Benutzernamen und sein Kennwort nicht zurücksetzen oder sie sich merken.The user doesn't need to reset or remember the user name and password. Der Benutzer kann durch Klicken auf die Anwendung in seinem Zugriffsbereich oder über einen bereitgestellten Link auf diese zugreifen.The user can access the application by clicking on it in their access panel or via a provided link.
  • Der Administrator kann Verwaltungsaufgaben für die Anmeldeinformationen ausführen.The administrator can do management tasks on the credentials. Beispielsweise kann der Administrator den Anwendungszugriff entsprechend Gruppenmitgliedschaften und dem Mitarbeiterstatus des Benutzers aktualisieren.For example, the administrator can update application access according to user group memberships and employee status.
  • Der Administrator kann mithilfe von administrativen Anmeldeinformationen Zugriff auf Anwendungen bereitstellen, die von vielen Benutzern gemeinsam verwendet werden.The administrator can use administrative credentials to provide access to applications shared among many users. Beispielsweise kann der Administrator jeder Person mit Zugriff auf eine Anwendung den Zugriff auf eine Anwendung für sozialen Medien oder zum Freigeben von Dokumenten gewähren.For example, the administrator can allow everyone who can access an application to have access to a social media or document sharing application.

Wenn der Endbenutzer die Anmeldeinformationen verwaltet, gilt Folgendes:When the end user manages the credentials:

  • Benutzer können ihre Kennwörter verwalten, indem Sie sie nach Bedarf aktualisieren oder löschen.Users can manage their passwords by updating or deleting them as needed.
  • Administratoren können weiterhin neue Anmeldeinformationen für die Anwendung festlegen.Administrators are still able to set new credentials for the application.

Verknüpfte AnmeldungLinked sign-on

Über das verknüpfte einmalige Anmelden kann Azure AD einmaliges Anmelden bei einer Anwendung, die bereits in einem anderen Dienst für einmaliges Anmelden konfiguriert ist, bereitstellen.Linked sign-on enables Azure AD to provide single sign-on to an application that is already configured for single sign-on in another service. Die verknüpfte Anwendung kann Endbenutzern im Office 365-Portal oder im Azure AD-MyApps-Portal angezeigt werden.The linked application can appear to end users in the Office 365 portal or Azure AD MyApps portal. Beispielsweise kann ein Benutzer eine Anwendung, die für einmaliges Anmelden in Active Directory-Verbunddienste 2.0 (AD FS) konfiguriert ist, über das Office 365-Portal starten.For example, a user can launch an application that is configured for single sign-on in Active Directory Federation Services 2.0 (AD FS) from the Office 365 portal. Für verknüpfte Anwendungen, die über das Office 365-Portal oder das Azure AD-MyApps-Portal gestartet werden, steht außerdem eine zusätzliche Berichterstellung zur Verfügung.Additional reporting is also available for linked applications that are launched from the Office 365 portal or the Azure AD MyApps portal. Informationen zum Konfigurieren einer Anwendung für die Anmeldung über Link finden Sie unter Konfigurieren der Anmeldung über Link.To configure an application for linked sign-on, see Configure linked sign-on.

Verknüpftes Anmelden für die Migration von AnwendungenLinked sign-on for application migration

Das verknüpfte Anmelden sorgt während der Migration von Anwendungen über einen längeren Zeitraum für eine einheitliche Benutzererfahrung.Linked sign-on can provide a consistent user experience while you migrate applications over a period of time. Wenn Sie Anwendungen in Azure Active Directory migrieren, können Sie mithilfe des verknüpften Anmeldens schnell Links für alle Anwendungen veröffentlichen, die Sie migrieren möchten.If you're migrating applications to Azure Active Directory, you can use linked sign-on to quickly publish links to all the applications you intend to migrate. Benutzer können alle Links im MyApps-Portal und im Office 365-Anwendungsstarter finden.Users can find all the links in the MyApps portal or the Office 365 application launcher. Benutzer erkennen nicht, dass sie auf eine verknüpfte Anwendung bzw. eine migrierte Anwendung zugreifen.Users won't know they're accessing a linked application or a migrated application.

Nachdem ein Benutzer sich mit einer verknüpften Anwendung authentifiziert hat, muss ein Kontodatensatz erstellt werden, bevor der Endbenutzer Zugriff durch das einmalige Anmelden erhält.Once a user has authenticated with a linked application, an account record needs to be created before the end user is provided single sign-on access. Die Bereitstellung dieses Kontodatensatzes kann automatisch oder manuell durch einen Administrator erfolgen.Provisioning this account record can either occur automatically, or it can occur manually by an administrator.

Deaktiviertes einmaliges AnmeldenDisabled SSO

Der deaktivierte Modus bedeutet, dass einmaliges Anmelden nicht für die Anwendung verwendet wird.Disabled mode means single sign-on isn't used for the application. Wenn einmaliges Anmelden deaktiviert ist, müssen sich Benutzer möglicherweise zweimal authentifizieren.When single sign-on is disabled, users might need to authenticate twice. Beim ersten Mal authentifizieren die Benutzer sich in Azure AD, danach melden sie sich bei der Anwendung an.First, users authenticate to Azure AD, and then they sign in to the application.

Verwenden Sie den deaktivierten Modus für das einmalige Anmelden in folgenden Fällen:Use disabled single sign-on mode:

  • Wenn Sie noch nicht bereit sind, diese Anwendung in das einmalige Anmelden mit Azure AD-SSO zu integrierenIf you're not ready to integrate this application with Azure AD single sign-on, or
  • Wenn Sie andere Aspekte der Anwendung testenIf you're testing other aspects of the application, or
  • Als Sicherheitsebene für eine lokale Anwendung, die keine Authentifizierung von Benutzern erfordert.As a layer of security to an on-premises application that doesn't require users to authenticate. Im deaktivierten Modus muss der Benutzer sich authentifizieren.With disabled, the user needs to authenticate.

Einmaliges Anmelden mit der integrierten Windows-Authentifizierung (IWA)Integrated Windows Authentication (IWA) SSO

Der Anwendungsproxy ermöglicht einmaliges Anmelden (SSO) für Anwendungen, die die integrierte Windows-Authentifizierung (IWA) verwenden oder Ansprüche unterstützen.Application Proxy provides single sign-on (SSO) to applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Wenn Ihre Anwendung die integrierte Windows-Authentifizierung verwendet, authentifiziert sich der Anwendungsproxy mithilfe der eingeschränkten Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) bei der Anwendung.If your application uses IWA, Application Proxy authenticates to the application by using Kerberos Constrained Delegation (KCD). Bei einer Anwendung, die Ansprüche unterstützt und Azure Active Directory vertraut, funktioniert das einmalige Anmelden, da der Benutzer bereits über Azure AD authentifiziert wurde.For a claims-aware application that trusts Azure Active Directory, single sign-on works because the user was already authenticated by using Azure AD.

Wählen Sie den Modus für einmaliges Anmelden für die integrierte Windows-Authentifizierung (IWA) aus, um einmaliges Anmelden für eine lokale App mit IWA zur Verfügung zu stellen.Choose Integrated Windows Authentication single sign-on mode to provide single sign-on to an on-premises app that authenticates with IWA.

Informationen zum Konfigurieren einer lokalen App für IWA finden Sie unter Eingeschränkte Kerberos-Delegierung für einmaliges Anmelden bei Ihren Anwendungen mit dem Anwendungsproxy.To configure an on-premises app for IWA, see Kerberos Constrained Delegation for single sign-on to your applications with Application Proxy.

So funktioniert das einmalige Anmelden mit KCDHow single sign-on with KCD works

Dieses Diagramm erläutert die Vorgänge, die bei einem Zugriff eines Benutzers auf eine lokale Anwendung, die IWA verwendet, ablaufen.This diagram explains the flow when a user accesses an on-premises application that uses IWA.

Flussdiagramm für die Microsoft Azure AD-Authentifizierung

  1. Der Benutzer gibt die URL ein, um über den Anwendungsproxy auf die lokale Anwendung zuzugreifen.The user enters the URL to access the on premises application through Application Proxy.
  2. Der Anwendungsproxy leitet die Anforderung zur Vorauthentifizierung an Azure AD-Authentifizierungsdienste weiter.Application Proxy redirects the request to Azure AD authentication services to preauthenticate. Zu diesem Zeitpunkt wendet Azure AD alle gültigen Authentifizierungs- und Autorisierungsrichtlinien an, wie z. B. mehrstufige Authentifizierung.At this point, Azure AD applies any applicable authentication and authorization policies, such as multifactor authentication. Nachdem der Benutzer überprüft wurde, erstellt Azure AD ein Token und sendet es an den Benutzer.If the user is validated, Azure AD creates a token and sends it to the user.
  3. Der Benutzer übergibt das Token an den Anwendungsproxy.The user passes the token to Application Proxy.
  4. Der Anwendungsproxy überprüft das Token und ruft den Benutzerprinzipalnamen aus dem Token ab.Application Proxy validates the token and retrieves the User Principal Name (UPN) from the token. Dann sendet er die Anforderung, den UPN und den Dienstprinzipalnamen über einen zweifach authentifizierten sicheren Kanal an den Connector.It then sends the request, the UPN, and the Service Principal Name (SPN) to the Connector through a dually authenticated secure channel.
  5. Der Connector führt eine KCD-Aushandlung (Kerberos Constrained Delegation) mit dem lokalen AD aus und nimmt dabei die Identität des Benutzers an, um ein Kerberos-Token für die Anwendung zu erhalten.The connector uses Kerberos Constrained Delegation (KCD) negotiation with the on premises AD, impersonating the user to get a Kerberos token to the application.
  6. Active Directory sendet das Kerberos-Token für die Anwendung an den Connector.Active Directory sends the Kerberos token for the application to the connector.
  7. Der Connector sendet die ursprüngliche Anforderung an den Anwendungsserver und verwendet dabei das von AD empfangene Kerberos-Token.The connector sends the original request to the application server, using the Kerberos token it received from AD.
  8. Die Anwendung sendet die Antwort an den Connector, die dann an den Anwendungsproxydienst und schließlich an den Benutzer zurückgegeben wird.The application sends the response to the connector, which is then returned to the Application Proxy service and finally to the user.

Headerbasiertes einmaliges AnmeldenHeader-based SSO

Das headerbasierte einmalige Anmelden funktioniert für Anwendungen, die für die Authentifizierung HTTP-Header verwenden.Header-based single sign-on works for applications that use HTTP headers for authentication. Diese Anmeldemethode verwendet einen Drittanbieter-Authentifizierungsdienst mit dem Namen PingAccess.This sign-on method uses a third-party authentication service called PingAccess. Ein Benutzer muss sich nur bei Azure AD authentifizieren.A user only needs to authenticate to Azure AD.

Wählen Sie headerbasiertes einmaliges Anmelden aus, wenn ein Anwendungsproxy und PingAccess für die Anwendung konfiguriert sind.Choose header-based single sign-on when Application Proxy and PingAccess are configured for the application.

Informationen zum Konfigurieren der headerbasierten Authentifizierung finden Sie unter Headerbasierte Authentifizierung für einmaliges Anmelden mit Anwendungsproxy und PingAccess.To configure header-based authentication, see Header-based authentication for single sign-on with Application Proxy.

Was ist PingAccess für Azure AD?What is PingAccess for Azure AD?

Mit PingAccess für Azure AD können Benutzer auf Anwendungen zugreifen, die Header für die Authentifizierung verwenden, und sich bei diesen einmalig anmelden.Using PingAccess for Azure AD, users can access and single sign-on to applications that use headers for authentication. Der Anwendungproxy behandelt diese Anwendungen wie alle anderen und verwendet Azure AD zum Authentifizieren des Zugriffs und zum Leiten des Datenverkehrs durch den Connectordienst.Application Proxy treats these applications like any other, using Azure AD to authenticate access and then passing traffic through the connector service. Nach der Authentifizierung übersetzt der PingAccess-Dienst das Azure AD-Zugriffstoken in ein Headerformat, das an die Anwendung gesendet wird.After authentication occurs, the PingAccess service translates the Azure AD access token into a header format that is sent to the application.

Ihre Benutzer bemerken keinen Unterschied, wenn sie sich für die Nutzung Ihrer Unternehmensanwendungen anmelden.Your users won’t notice anything different when they sign in to use your corporate applications. Sie können weiterhin überall und auf beliebigen Geräten arbeiten.They can still work from anywhere on any device. Die Anwendungsproxyconnectors leiten Remotedatenverkehr an alle Apps weiter und sorgen auch weiterhin für automatischen Lastenausgleich.The Application Proxy connectors direct remote traffic to all applications, and they’ll continue to load balance automatically.

Wie erhalte ich eine Lizenz für PingAccess?How do I get a license for PingAccess?

Da dieses Szenario im Rahmen einer Partnerschaft von Azure AD und PingAccess angeboten wird, benötigen Sie Lizenzen für beide Dienste.Since this scenario is offered through a partnership between Azure AD and PingAccess, you need licenses for both services. Azure AD Premium-Abonnements enthalten aber eine grundlegende PingAccess-Lizenz, die bis zu 20 Anwendungen abdeckt.However, Azure AD Premium subscriptions include a basic PingAccess license that covers up to 20 applications. Wenn Sie mehr als 20 headerbasierte Anwendungen veröffentlichen müssen, können Sie bei PingAccess eine weitere Lizenz erhalten.If you need to publish more than 20 header-based applications, you can acquire an additional license from PingAccess.

Weitere Informationen finden Sie unter Azure Active Directory-Editionen.For more information, see Azure Active Directory editions.