Op SAML gebaseerde een aanmelding begrijpenUnderstand SAML-based single sign-on

In de quickstartreeks over toepassingsbeheer hebt u geleerd hoe u Azure AD gebruikt als id-provider (IdP) voor een toepassing.In the quickstart series on application management, you learned how to use Azure AD as the Identity Provider (IdP) for an application. In dit artikel wordt gedetailleerder in op SAML gebaseerde optie voor een aanmelding beschreven.This article goes into more detail about the SAML-based option for single sign-on.

Voordat u begintBefore you begin

Het gebruik van Azure AD als id-provider (IdP) en het configureren van eenmalige aanmelding (SSO) kan eenvoudig of complex zijn, afhankelijk van de toepassing die wordt gebruikt.Using Azure AD as your Identity Provider (IdP) and configuring single sign-on (SSO) can be simple or complex depending on the application being used. Sommige toepassingen kunnen worden geconfigureerd met slechts een paar acties.Some applications can be configured with just a few actions. Voor andere is een diepgaande configuratie vereist.Others require in-depth configuration. Als u snel kennis wilt op doen, doorloop dan de quickstartreeks over toepassingsbeheer.To ramp knowledge quickly, walk through the quickstart series on application management. Als de toepassing die u toevoegt eenvoudig is, hoeft u dit artikel waarschijnlijk niet te lezen.If the application you're adding is simple, then you probably don't need to read this article. Als voor de toepassing die u toevoegt een aangepaste configuratie is vereist voor eenmalige aanmelding op basis van SAML, is dit artikel iets voor u.If the application you're adding requires custom configuration for SAML-based SSO, then this article is for you.

In de quickstart-reeksstaat een artikel over het configureren van een een aanmelding.In the quickstart series, there's an article on configuring single sign-on. In dit artikel leert u hoe u toegang krijgt tot de PAGINA SAML-configuratie voor een app.In it, you learn how to access the SAML configuration page for an app. De pagina SAML-configuratie bevat vijf secties.The SAML configuration page includes five sections. Deze secties worden uitgebreid besproken in dit artikel.These sections are discussed in detail in this article.

Belangrijk

Er zijn enkele scenario's waarbij de optie Voor een een aanmelding niet aanwezig is in de navigatie voor een toepassing in Bedrijfstoepassingen.There are some scenarios where the Single sign-on option will not be present in the navigation for an application in Enterprise applications.

Als de toepassing is geregistreerd met behulp App-registraties is de mogelijkheid voor een aanmelding standaard geconfigureerd voor het gebruik van OIDC OAuth.If the application was registered using App registrations then the single sign-on capability is configured to use OIDC OAuth by default. In dit geval wordt de optie Voor een aanmelding niet in de navigatie onder Bedrijfstoepassingen weer geven.In this case, the Single sign-on option won't show in the navigation under Enterprise applications. Wanneer u een App-registraties om uw aangepaste app toe te voegen, configureert u opties in het manifestbestand.When you use App registrations to add your custom app, you configure options in the manifest file. Zie voor meer informatie over het manifestbestand Azure Active Directory app-manifest.To learn more about the manifest file, see Azure Active Directory app manifest. Zie Verificatie en autorisatie met Microsoft Identity Platform voor meer informatie over SSO-standaarden.To learn more about SSO standards, see Authentication and authorization using Microsoft identity platform.

Andere scenario's waarbij een een aanmelding ontbreekt in de navigatie, zijn onder andere wanneer een toepassing wordt gehost in een andere tenant of als uw account niet over de vereiste machtigingen (globale beheerder, Cloud Application Administrator, toepassingsbeheerder of eigenaar van de service-principal) is.Other scenarios where Single sign-on will be missing from the navigation include when an application is hosted in another tenant or if your account does not have the required permissions (Global Administrator, Cloud Application Administrator, Application Administrator, or owner of the service principal). Machtigingen kunnen ook een scenario veroorzaken waarin u een een aanmelding kunt openen, maar niet kunt opslaan.Permissions can also cause a scenario where you can open Single sign-on but won't be able to save. Zie voor meer informatie over Azure AD-beheerdersrollen. https://docs.microsoft.com/azure/active-directory/users-groups-roles/directory-assign-admin-roles)To learn more about Azure AD administrative roles, see (https://docs.microsoft.com/azure/active-directory/users-groups-roles/directory-assign-admin-roles).

Standaard SAML-configuratieBasic SAML configuration

U moet de waarden van de leverancier van de toepassing krijgen.You should get the values from the application vendor. U kunt de waarden handmatig invoeren of een metagegevensbestand uploaden om de waarde van de velden te extraheren.You can manually enter the values or upload a metadata file to extract the value of the fields.

Tip

Veel apps zijn al vooraf geconfigureerd voor gebruik met Azure AD.Many apps have already been pre-configured to work with Azure AD. Deze apps worden vermeld in de galerie met apps die u kunt bekijken wanneer u een app toevoegt aan uw Azure AD-tenant.These apps are listed in the gallery of apps that you can browse when you add an app to your Azure AD tenant. De quickstart-reeks doorloopt het proces.The quickstart series walks you through the process. Voor de apps in de galerie vindt u gedetailleerde, stapsgewijs instructies.For the apps in the gallery you will find detailed, step-by-step, instructions. Als u toegang wilt krijgen tot de stappen, klikt u op de koppeling op de pagina SAML-configuratie voor de app, zoals beschreven in de quickstart-reeks, of bladert u door een lijst met alle zelfstudies voor app-configuratie in zelfstudies voor SaaS-app-configuratie.To access the steps you can click the link on the SAML configuration page for the app as described in the quickstart series or you can browse a list of all app configuration tutorials at SaaS app configuration tutorials.

Standaard SAML-configuratie-instellingBasic SAML Configuration setting SP-geïnitieerdSP-Initiated idP-geïnitieerdidP-Initiated DescriptionDescription
Id (Entiteits-id)Identifier (Entity ID) Vereist voor sommige appsRequired for some apps Vereist voor sommige appsRequired for some apps Hiermee wordt de toepassing uniek geïdentificeerd.Uniquely identifies the application. Azure Active Directory stuurt de id naar de toepassing als parameter van de doelgroep van het SAML-token.Azure AD sends the identifier to the application as the Audience parameter of the SAML token. Er wordt verwacht dat de toepassing deze valideert.The application is expected to validate it. Deze waarde wordt ook weergegeven als de entiteit-ID in SAML-metagegevens die worden geleverd door de toepassing.This value also appears as the Entity ID in any SAML metadata provided by the application. Voer een URL in die gebruikmaakt van het volgende patroon: 'https:// .contoso.com' U vindt deze waarde als het element Verlener in de SAML-aanvraag (AuthnRequest) die door de toepassing wordt verzonden.Enter a URL that uses the following pattern: 'https://.contoso.com' You can find this value as the Issuer element in the AuthnRequest (SAML request) sent by the application.
Antwoord-URLReply URL VereistRequired VereistRequired Hiermee geeft u op waar de toepassing verwacht het SAML-token te ontvangen.Specifies where the application expects to receive the SAML token. De antwoord-URL wordt ook de ACS-URL (Assertion Consumer Service) genoemd.The reply URL is also referred to as the Assertion Consumer Service (ACS) URL. U kunt de aanvullende antwoord-URL-velden gebruiken om meerdere antwoord-URL's op te geven.You can use the additional reply URL fields to specify multiple reply URLs. U hebt bijvoorbeeld mogelijk aanvullende antwoord-URL's nodig voor meerdere subdomeinen.For example, you might need additional reply URLs for multiple subdomains. Voor testdoeleinden kunt u ook meerdere antwoord-URL's (lokale host en openbare URL's) tegelijk opgeven.Or, for testing purposes you can specify multiple reply URLs (local host and public URLs) at one time.
Aanmeldings-URLSign-on URL VereistRequired Niet opgevenDon't specify Wanneer een gebruiker deze URL opent, leidt de serviceprovider hem om naar Azure Active Directory om de gebruiker te verifiëren en aan te melden.When a user opens this URL, the service provider redirects to Azure AD to authenticate and sign on the user. Azure AD gebruikt de URL om de toepassing te starten vanuit Microsoft 365 Azure AD-Mijn apps.Azure AD uses the URL to start the application from Microsoft 365 or Azure AD My Apps. Wanneer dit leeg is, wordt in Azure AD een door IdP geïnitieerde aanmelding uitgevoerd wanneer een gebruiker de toepassing start vanuit Microsoft 365, Azure AD Mijn apps of de SSO-URL van Azure AD.When blank, Azure AD does an IdP-initiated sign-on when a user launches the application from Microsoft 365, Azure AD My Apps, or the Azure AD SSO URL.
RelaystatusRelay State OptioneelOptional OptioneelOptional Hiermee geeft u aan de toepassing op waar de gebruiker naar moet worden omgeleid nadat de verificatie is voltooid.Specifies to the application where to redirect the user after authentication is completed. Normaal gesproken is de waarde een geldige URL voor de toepassing.Typically the value is a valid URL for the application. Sommige toepassingen gebruiken dit veld echter anders.However, some applications use this field differently. Vraag de leverancier van de toepassing voor meer informatie.For more information, ask the application vendor.
Afmeldings-URLLogout URL OptioneelOptional OptioneelOptional Wordt gebruikt om de saml-logout-antwoorden terug te sturen naar de toepassing.Used to send the SAML Logout responses back to the application.

Gebruikerskenmerken en claimsUser attributes and claims

Wanneer een gebruiker wordt geverifieerd bij de toepassing, geeft Azure AD de toepassing een SAML-token met informatie (of claims) over de gebruiker die deze op unieke manier identificeert.When a user authenticates to the application, Azure AD issues the application a SAML token with information (or claims) about the user that uniquely identifies them. Deze informatie omvat standaard de gebruikersnaam, het e-mailadres, de voornaam en de achternaam van de gebruiker.By default, this information includes the user's username, email address, first name, and last name. Mogelijk moet u deze claims aanpassen als de toepassing bijvoorbeeld specifieke claimwaarden of een andere naamindeling dan gebruikersnaam vereist.You might need to customize these claims if, for example, the application requires specific claim values or a Name format other than username.

Belangrijk

Veel apps zijn al vooraf geconfigureerd en in de app-galerie en u hoeft zich geen zorgen te maken over het instellen van gebruikers- en groepsclaims.Many apps are already pre-configured and in the app gallery and you don't need to worry about setting user and group claims. De quickstart-reeks laat u zien hoe u apps toevoegt en configureert.The quickstart series walks you through adding and configuring apps.

De waarde unieke gebruikers-id (naam-id) is een vereiste claim en is belangrijk.The Unique User Identifier (Name ID) identifier value is a required claim and is important. De standaardwaarde is user.userprincipalname.The default value is user.userprincipalname. De gebruikers-id is uniek voor elke gebruiker in de toepassing.The user identifier uniquely identifies each user within the application. Als het e-mailadres bijvoorbeeld zowel de gebruikersnaam als de unieke id is, wordt de waarde ingesteld op user.mail.For example, if the email address is both the username and the unique identifier, set the value to user.mail.

Zie How to: customize claims issued in the SAML token for enterprise applications (Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen)voor meer informatie over het aanpassen van SAML-claims.To learn more about customizing SAML claims, see How to: customize claims issued in the SAML token for enterprise applications.

U kunt nieuwe claims toevoegen. Zie Groepclaims configureren voor meer informatie Over het toevoegen van toepassingsspecifieke claims of om groepsclaims toe te voegen.You can add new claims, for details see Adding application-specific claims or to add group claims, see Configure group claims.

Notitie

Zie de volgende resources voor aanvullende manieren om het SAML-token van Azure AD aan te passen aan uw toepassing.For additional ways to customize the SAML token from Azure AD to your application, see the following resources.

SAML-handtekeningcertificaatSAML signing certificate

Azure AD gebruikt een certificaat om de SAML-tokens te ondertekenen die het naar de toepassing verzendt.Azure AD uses a certificate to sign the SAML tokens it sends to the application. U hebt dit certificaat nodig om de vertrouwensrelatie tussen Azure AD en de toepassing te configureren.You need this certificate to configure the trust between Azure AD and the application. Zie de SAML-documentatie van de toepassing voor meer informatie over de certificaatindeling.For details on the certificate format, see the application’s SAML documentation. Zie Manage certificates for federated single sign-on (Certificaten beheren voor federatief een aanmelding) en Advanced certificate signing options (Geavanceerde opties voor certificaat ondertekenen) in het SAML-token voor meer informatie.For more information, see Manage certificates for federated single sign-on and Advanced certificate signing options in the SAML token.

Belangrijk

Veel apps zijn al vooraf geconfigureerd en in de app-galerie en u hoeft zich niet te houden aan certificaten.Many apps are already pre-configured and in the app gallery and you don't need to dive into certificates. De quickstart-reeks laat u zien hoe u apps toevoegt en configureert.The quickstart series walks you through adding and configuring apps.

Vanuit Azure AD kunt u het actieve certificaat in Base64- of Raw-indeling rechtstreeks downloaden via de hoofdpagina Single Sign-On met SAML instellen.From Azure AD, you can download the active certificate in Base64 or Raw format directly from the main Set up Single Sign-On with SAML page. U kunt het actieve certificaat ook verkrijgen door het XML-bestand met metagegevens van de toepassing te downloaden of door de APP-URL voor federatiemetagegevens te gebruiken.Also, you can get the active certificate by downloading the application metadata XML file or by using the App federation metadata URL. Volg deze stappen om uw certificaten (actief of inactief) weer te geven, te maken of te downloaden.To view, create, or download your certificates (active or inactive), follow these steps.

Enkele veelvoorkomende zaken die u moet controleren om een certificaat te verifiëren, zijn:Some common things to check to verify a certificate include:

  • De juiste vervaldatum.The correct expiration date. U kunt de vervaldatum voor maximaal drie jaar in de toekomst configureren.You can configure the expiration date for up to three years into the future.
  • De status actief voor het juiste certificaat.A status of active for the right certificate. Als de status Inactief is, wijzigt u de status in Actief.If the status is Inactive, change the status to Active. Als u de status wilt wijzigen, klikt u met de rechtermuisknop op de rij van het certificaat en selecteert u Certificaat actief maken.To change the status, right-click the certificate's row and select Make certificate active.
  • De juiste ondertekeningsoptie en het juiste algoritme.The correct signing option and algorithm.
  • Het juiste e-mailadres(en) voor meldingen.The correct notification email address(es). Wanneer het actieve certificaat de vervaldatum nadert, verzendt Azure AD een melding naar het e-mailadres dat in dit veld is geconfigureerd.When the active certificate is near the expiration date, Azure AD sends a notification to the email address configured in this field.

Soms moet u het certificaat downloaden.Sometimes you might need to download the certificate. Wees echter voorzichtig met het opslaan ervan.Be careful where you save it though! Als u het certificaat wilt downloaden, selecteert u een van de opties voor Base64-indeling, Onbewerkte indeling of XML-bestand met federatiemetagegevens.To download the certificate, select one of the options for Base64 format, Raw format, or Federation Metadata XML. Azure AD biedt ook de App-URL voor federatiemetagegevens waar u toegang hebt tot de metagegevens die specifiek zijn voor de toepassing in de indeling https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID> .Azure AD also provides the App Federation Metadata Url where you can access the metadata specific to the application in the format https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.

Notitie

De toepassing moet in staat zijn om de byte-ordermarkering te verwerken die aanwezig is in de XML die wordt weergegeven wanneer wordt https://login.microsoftonline.com/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml?appid={app-id} gebruikt.The application should be capable of handling Byte Order Marker present in the XML rendered when using https://login.microsoftonline.com/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml?appid={app-id}. Het byteorderteken wordt weergegeven als een niet-afdrukbaar ASCII-teken »» en in Hex wordt het weergegeven als EF BB BF bij het controleren van de XML-gegevens.Byte order mark is represented as a nonprintable ASCII character »¿ and in Hex it is represented as EF BB BF when reviewing the XML data.

Als u certificaatwijzigingen wilt aanbrengen, selecteert u de knop Bewerken.To make certificate changes, select the Edit button. Er zijn verschillende dingen die u kunt doen op de pagina SAML-handtekeningcertificaat:There are several things you can do on the SAML Signing Certificate page:

  • Een nieuw certificaat maken: selecteer Nieuw certificaat, selecteer de Vervaldatum en selecteer vervolgens Opslaan.Create a new certificate: select New Certificate, select the Expiration Date, and then select Save. Als u het certificaat wilt activeren, selecteert u het contextmenu (...) en selecteert u Certificaat actief maken.To activate the certificate, select the context menu (...) and select Make certificate active.
  • Een certificaat met persoonlijke sleutel en PFX-referenties uploaden: selecteer Certificaat importeren en blader naar het certificaat.Upload a certificate with private key and pfx credentials: select Import Certificate and browse to the certificate. Voer het PFX-wachtwoord in en selecteer vervolgens Toevoegen.Enter the PFX Password, and then select Add.
  • Configureer geavanceerde certificaat ondertekening.Configure advanced certificate signing. Zie Geavanceerde opties voor certificaat ondertekening voor meer informatie over deze opties.For more information on these options, see Advanced certificate signing options.
  • Aanvullende personen waarschuwen wanneer de vervaldatum van het actieve certificaat is verstreken: voer de e-mailadressen in de velden E-mailadressen voor meldingen in.Notify additional people when the active certificate is near its expiration date: enter the email addresses in the Notification email addresses fields.

De toepassing instellen voor het gebruik van Azure ADSet up the application to use Azure AD

De sectie <applicationName> Instellen bevat de waarden die moeten worden geconfigureerd in de toepassing, zodat Azure AD wordt gebruikt als SAML-id-provider.The Set up <applicationName> section lists the values that need to be configured in the application so it will use Azure AD as a SAML identity provider. U stelt de waarden in op de configuratiepagina op de website van de toepassing.You set the values on the configuration page on the applications website. Als u bijvoorbeeld GitHub configureert, gaat u naar de github.com site en stelt u de waarden in.For example, if you are configuring GitHub then you would go to the github.com site and set the values. Als de toepassing al vooraf is geconfigureerd en zich in de Azure AD-galerie, vindt u een koppeling naar Stapsgewijs instructies weergeven.If the application is already pre-configured and in the Azure AD gallery, then you will find a link to View step-by-step instructions. Anders moet u de documentatie vinden voor de toepassing die u configureert.Otherwise, you will need to find the documentation for the application you are configuring.

De waarden voor Aanmeldings-URL en Aanmeldings-URL worden beide naar hetzelfde eindpunt omgeholpen. Dit is het SAML-eindpunt voor de afhandeling van aanvragen voor de Azure AD-tenant.The Login URL and Logout URL values both resolve to the same endpoint, which is the SAML request-handling endpoint for Azure AD tenant.

De Azure AD-id is de waarde van de verlener in het SAML-token dat is uitgegeven aan de toepassing.The Azure AD Identifier is the value of the Issuer in the SAML token issued to the application.

Eenmalige aanmelding testenTest single sign-on

Zodra u uw toepassing hebt geconfigureerd voor het gebruik van Azure AD als een op SAML gebaseerde id-provider, kunt u de instellingen testen om te zien of een enkele aanmelding werkt voor uw account.Once you've configured your application to use Azure AD as a SAML-based identity provider, you can test the settings to see if single sign-on works for your account.

Selecteer Testen en kies vervolgens om te testen met de momenteel aangemelde gebruiker of als iemand anders.Select Test and then choose to test with the currently signed in user or as someone else.

Als de aanmelding is geslaagd, kunt u gebruikers en groepen toewijzen aan uw SAML-toepassing.If sign-on is successful, you're ready to assign users and groups to your SAML application. GefeliciteerdCongratulations!

Als er een foutbericht wordt weergegeven, moet u de volgende stappen voltooien:If an error message appears, complete the following steps:

  1. Kopieer en plak de gegevens in het vak Hoe ziet de fout eruit?.Copy and paste the specifics into the What does the error look like? box.

    Hulp krijgen bij het oplossen van problemen

  2. Selecteer Richtlijnen voor oplossing krijgen.Select Get resolution guidance. De richtlijnen voor de oorzaak en de oplossing van het probleem worden weergegeven.The root cause and resolution guidance appear. In dit voorbeeld was de gebruiker niet toegewezen aan de toepassing.In this example, the user wasn't assigned to the application.

  3. Lees de richtlijnen voor het oplossen van problemen en probeer het probleem vervolgens op te lossen.Read the resolution guidance and then attempt to fix the issue.

  4. Voer de test opnieuw uit totdat de bewerking is voltooid.Run the test again until it completes successfully.

Zie Fouten opsporen in op SAML gebaseerdeeen aanmelding bij toepassingen in Azure Active Directory .For more information, see Debug SAML-based single sign-on to applications in Azure Active Directory.

Volgende stappenNext steps