Logowanie jednokrotne do aplikacji w Azure Active DirectorySingle sign-on to applications in Azure Active Directory

Logowanie jednokrotne (SSO) zwiększa bezpieczeństwo i wygodę, gdy użytkownicy logują się do aplikacji w Azure Active Directory (Azure AD).Single sign-on (SSO) adds security and convenience when users sign-on to applications in Azure Active Directory (Azure AD). W tym artykule opisano metody logowania jednokrotnego, które ułatwiają wybranie najbardziej odpowiedniej metody rejestracji jednokrotnej podczas konfigurowania aplikacji.This article describes the single sign-on methods, and helps you choose the most appropriate SSO method when configuring your applications.

  • Logowanie jednokrotneumożliwia użytkownikom logowanie jednokrotne przy użyciu jednego konta, aby uzyskać dostęp do urządzeń przyłączonych do domeny, zasobów firmy, aplikacji jako usługi (SaaS) i aplikacji sieci Web.With single sign-on, users sign in once with one account to access domain-joined devices, company resources, software as a service (SaaS) applications, and web applications. Po zalogowaniu użytkownik może uruchamiać aplikacje z poziomu portalu pakietu Office 365 lub panelu dostępu webapps usługi Azure AD.After signing in, the user can launch applications from the Office 365 portal or the Azure AD MyApps access panel. Administratorzy mogą scentralizować zarządzanie kontami użytkowników i automatycznie dodawać lub usuwać dostęp użytkowników do aplikacji w oparciu o członkostwo w grupach.Administrators can centralize user account management, and automatically add or remove user access to applications based on group membership.

  • Bez logowania jednokrotnegoużytkownicy muszą pamiętać hasła specyficzne dla aplikacji i zalogować się do każdej aplikacji.Without single sign-on, users must remember application-specific passwords and sign in to each application. Pracownicy działu IT muszą tworzyć i aktualizować konta użytkowników dla każdej aplikacji, takiej jak Office 365, Box i Salesforce.IT staff needs to create and update user accounts for each application such as Office 365, Box, and Salesforce. Użytkownicy muszą pamiętać swoje hasła, a także poświęcać czas na zalogowanie się do każdej aplikacji.Users need to remember their passwords, plus spend the time to sign in to each application.

Wybieranie metody logowania jednokrotnegoChoosing a single sign-on method

Istnieje kilka sposobów konfigurowania aplikacji do logowania jednokrotnego.There are several ways to configure an application for single sign-on. Wybór metody logowania jednokrotnego zależy od tego, w jaki sposób aplikacja jest skonfigurowana do uwierzytelniania.Choosing a single sign-on method depends on how the application is configured for authentication.

  • Aplikacje w chmurze mogą korzystać z metod logowania jednokrotnego OpenID Connect Connect, OAuth, SAML, opartych na hasłach, połączonych lub wyłączonych.Cloud applications can use OpenID Connect, OAuth, SAML, password-based, linked, or disabled methods for single sign-on.
  • Aplikacje lokalne mogą korzystać z opartych na hasłach zintegrowanego uwierzytelniania systemu Windows, opartego na nagłówkach, połączonych lub wyłączonych metod logowania jednokrotnego.On-premises applications can use password-based, Integrated Windows Authentication, header-based, linked, or disabled methods for single sign-on. Opcje lokalne działają, gdy aplikacje są skonfigurowane pod kątem serwera proxy aplikacji.The on-premises choices work when applications are configured for Application Proxy.

Ten schemat blokowy pomaga określić, która metoda logowania jednokrotnego jest Najlepsza dla danej sytuacji.This flowchart helps you decide which single sign-on method is best for your situation.

Schemat blokowy decyzji dla metody rejestracji jednokrotnej

Poniższa tabela zawiera podsumowanie metod logowania jednokrotnego i linki do dalszych szczegółów.The following table summarizes the single sign-on methods, and links to more details.

Metoda logowania jednokrotnegoSingle sign-on method Typy aplikacjiApplication types Kiedy stosowaćWhen to use
OpenID Connect Connect and OAuthOpenID Connect and OAuth tylko w chmurzecloud only Użyj OpenID Connect Connect i OAuth podczas tworzenia nowej aplikacji.Use OpenID Connect and OAuth when developing a new application. Ten protokół upraszcza konfigurację aplikacji, ma łatwe w użyciu zestawy SDK i umożliwia aplikacji korzystanie z programu MS Graph.This protocol simplifies application configuration, has easy-to-use SDKs, and enables your application to use MS Graph.
SAMLSAML Chmura i lokalnacloud and on-premises Wybierz pozycję SAML wszędzie tam, gdzie to możliwe dla istniejących aplikacji, które nie używają OpenID Connect Connect lub OAuth.Choose SAML whenever possible for existing applications that do not use OpenID Connect or OAuth. Protokół SAML działa w przypadku aplikacji, które uwierzytelniają się przy użyciu jednego z protokołów SAML.SAML works for applications that authenticate using one of the SAML protocols.
Oparte na hasłachPassword-based Chmura i lokalnacloud and on-premises Wybierz opcję hasła, gdy aplikacja jest uwierzytelniana przy użyciu nazwy użytkownika i hasła.Choose password-based when the application authenticates with username and password. Logowanie jednokrotne oparte na hasłach umożliwia bezpieczne przechowywanie i odtwarzanie haseł aplikacji przy użyciu rozszerzenia przeglądarki sieci Web lub aplikacji mobilnej.Password-based single sign-on enables secure application password storage and replay using a web browser extension or mobile app. Ta metoda używa istniejącego procesu logowania dostarczonego przez aplikację, ale umożliwia administratorowi zarządzanie hasłami.This method uses the existing sign-in process provided by the application, but enables an administrator to manage the passwords.
PołączoneLinked Chmura i lokalnacloud and on-premises Wybierz pozycję dołączone logowanie, gdy aplikacja jest skonfigurowana pod kątem logowania jednokrotnego w innej usłudze dostawcy tożsamości.Choose linked sign-on when the application is configured for single sign-on in another identity provider service. Ta opcja nie powoduje dodania logowania jednokrotnego do aplikacji.This option doesn't add single sign-on to the application. Jednak aplikacja może już mieć zaimplementowane Logowanie jednokrotne przy użyciu innej usługi, takiej jak Active Directory Federation Services.However, the application might already have single sign-on implemented using another service such as Active Directory Federation Services.
Disabled (Wyłączone)Disabled Chmura i lokalnacloud and on-premises Wybierz pozycję wyłączone Logowanie jednokrotne, jeśli aplikacja nie jest gotowa do skonfigurowania do rejestracji jednokrotnej.Choose disabled single sign-on when the app isn't ready to be configured for single sign-on. Użytkownicy muszą wprowadzić swoją nazwę użytkownika i hasło za każdym razem, gdy uruchamiają tę aplikację.Users need to enter their username and password every time they launch this application.
Zintegrowane uwierzytelnianie systemu Windows (IWA)Integrated Windows Authentication (IWA) tylko lokalneon-premises only Wybierz pozycję IWA Logowanie jednokrotne dla aplikacji korzystających ze zintegrowanego uwierzytelniania systemu Windows (IWA)lub aplikacji obsługujących oświadczenia.Choose IWA single sign-on for applications that use Integrated Windows Authentication (IWA), or claims-aware applications. W przypadku IWA łączniki serwera proxy aplikacji używają ograniczonego delegowania protokołu Kerberos (KCD) do uwierzytelniania użytkowników w aplikacji.For IWA, the Application Proxy connectors use Kerberos Constrained Delegation (KCD) to authenticate users to the application.
Na podstawie nagłówkaHeader-based tylko lokalneon-premises only Użyj logowania jednokrotnego opartego na nagłówkach, gdy aplikacja używa nagłówków do uwierzytelniania.Use header-based single sign-on when the application uses headers for authentication. Logowanie jednokrotne oparte na nagłówkach wymaga PingAccess dla usługi Azure AD.Header-based single sign-on requires PingAccess for Azure AD. Serwer proxy aplikacji używa usługi Azure AD do uwierzytelniania użytkownika, a następnie przekazuje ruch przez usługę łącznika.Application Proxy uses Azure AD to authenticate the user and then passes traffic through the connector service.

OpenID Connect Connect and OAuthOpenID Connect and OAuth

Podczas opracowywania nowych aplikacji używaj nowoczesnych protokołów, takich jak OpenID Connect Connect i OAuth, aby osiągnąć najlepsze środowisko logowania jednokrotnego dla aplikacji na wielu platformach urządzeń.When developing new applications, use modern protocols like OpenID Connect and OAuth to achieve the best single sign-on experience for your app across multiple device platforms. Uwierzytelnianie OAuth umożliwia użytkownikom lub administratorom udzielenie zgody na chronione zasoby, takie jak Microsoft Graph.OAuth enables users or admins to grant consent for protected resources like Microsoft Graph. Zapewniamy łatwy do przyjęcia zestawy SDK dla aplikacji, a ponadto aplikacja będzie gotowa do użycia Microsoft Graph.We provide easy to adopt SDKs for your app, and additionally, your app will be ready to use Microsoft Graph.

Aby uzyskać więcej informacji, zobacz:For more information, see:

Logowanie jednokrotne SAMLSAML SSO

Za pomocą logowania jednokrotnego SAMLusługa Azure AD uwierzytelnia się w aplikacji przy użyciu konta usługi Azure AD użytkownika.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. Usługa Azure AD komunikuje informacje logowania do aplikacji za pomocą protokołu połączenia.Azure AD communicates the sign-on information to the application through a connection protocol. Korzystając z logowania jednokrotnego opartego na protokole SAML, można mapować użytkowników na określone role aplikacji na podstawie reguł zdefiniowanych w oświadczeniach SAML.With SAML-based single sign-on, you can map users to specific application roles based on rules you define in your SAML claims.

Wybierz Logowanie jednokrotne oparte na protokole SAML, gdy aplikacja je obsługuje.Choose SAML-based single sign-on when the application supports it.

Logowanie jednokrotne oparte na języku SAML jest obsługiwane w przypadku aplikacji korzystających z dowolnego z następujących protokołów:SAML-based single sign-on is supported for applications that use any of these protocols:

  • SAML 2.0SAML 2.0
  • WS-FederationWS-Federation

Aby skonfigurować aplikację SaaS dla logowania jednokrotnego opartego na protokole SAML, zobacz Konfigurowanie logowania jednokrotnego opartego na protokole SAML.To configure a SaaS application for SAML-based single sign-on, see Configure SAML-based single sign-on. Ponadto wiele aplikacji oprogramowania jako usługi (SaaS) ma samouczek specyficzny dla aplikacji , który przeprowadzi Cię przez proces konfigurowania logowania jednokrotnego opartego na protokole SAML.Also, many Software as a Service (SaaS) applications have an application-specific tutorial that step you through the configuration for SAML-based single sign-on.

Aby skonfigurować aplikację dla protokołu WS-Federation, postępuj zgodnie z tymi samymi wskazówkami, aby skonfigurować aplikację dla logowania jednokrotnego opartego na protokole SAML, zobacz Konfigurowanie logowania jednokrotnego opartego na protokole SAML.To configure an application for WS-Federation, follow the same guidance to configure application for SAML-based single sign-on, see Configure SAML-based single sign-on. W kroku, aby skonfigurować aplikację do korzystania z usługi Azure AD, musisz zastąpić adres URL logowania usługi Azure AD dla https://login.microsoftonline.com/<tenant-ID>/wsfedpunktu końcowego usługi WS-Federation.In the step to configure the application to use Azure AD, you will need to replace the Azure AD login URL for the WS-Federation end-point https://login.microsoftonline.com/<tenant-ID>/wsfed.

Aby skonfigurować aplikację lokalną na potrzeby logowania jednokrotnego opartego na protokole SAML, zobacz Rejestrowanie jednokrotne SAML dla aplikacji lokalnych przy użyciu serwera proxy aplikacji.To configure an on-premises application for SAML-based single sign-on, see SAML single-sign-on for on-premises applications with Application Proxy.

Aby uzyskać więcej informacji na temat protokołu SAML, zobacz Logowanie jednokrotne protokołu SAML.For more information about the SAML protocol, see Single sign-on SAML protocol.

Logowanie jednokrotne oparte na hasłachPassword-based SSO

Logowanie oparte na haśle polega na zalogowaniu się do aplikacji przy użyciu nazwy użytkownika i hasła podczas pierwszego uzyskiwania do nich dostępu.With password-based sign-on, users sign on to the application with a username and password the first time they access it. Po pierwszym zalogowaniu usługa Azure AD dostarcza nazwę użytkownika i hasło do aplikacji.After the first sign-on, Azure AD supplies the username and password to the application.

Logowanie jednokrotne oparte na hasłach korzysta z istniejącego procesu uwierzytelniania udostępnianego przez aplikację.Password-based single sign-on uses the existing authentication process provided by the application. Po włączeniu logowania jednokrotnego dla aplikacji usługa Azure AD gromadzi i bezpiecznie przechowuje nazwy użytkowników i hasła dla aplikacji.When you enable password single sign-on for an application, Azure AD collects and securely stores user names and passwords for the application. Poświadczenia użytkownika są przechowywane w stanie zaszyfrowanym w katalogu.User credentials are stored in an encrypted state in the directory.

Wybierz Logowanie jednokrotne oparte na haśle, gdy:Choose password-based single sign-on when:

  • Aplikacja nie obsługuje protokołu SAML logowania jednokrotnego.An application doesn't support SAML single sign-on protocol.
  • Aplikacja uwierzytelnia się przy użyciu nazwy użytkownika i hasła zamiast tokenów dostępu i nagłówków.An application authenticates with a username and password instead of access tokens and headers.

Logowanie jednokrotne oparte na haśle jest obsługiwane w przypadku aplikacji opartych na chmurze, które mają stronę logowania opartą na języku HTML.Password-based single sign-on is supported for any cloud-based application that has an HTML-based sign-in page. Użytkownik może korzystać z dowolnej z następujących przeglądarek:The user can use any of the following browsers:

  • Internet Explorer 11 w systemie Windows 7 lub nowszymInternet Explorer 11 on Windows 7 or later

    Uwaga

    Program Internet Explorer ma ograniczoną obsługę i nie otrzymuje już nowych aktualizacji oprogramowania.Internet Explorer is on limited support and no longer receives new software updates. Zalecana przeglądarka to Microsoft Edge.Microsoft Edge is the recommended browser.

  • Microsoft Edge w systemie Windows 10 w wersji rocznicowej lub nowszejMicrosoft Edge on Windows 10 Anniversary Edition or later

  • Microsoft Edge dla systemów iOS i AndroidMicrosoft Edge for iOS and Android

  • Intune Managed BrowserIntune Managed Browser

  • Program Chrome w systemie Windows 7 lub nowszym oraz w systemie MacOS X lub nowszymChrome on Windows 7 or later, and on MacOS X or later

  • Firefox 26,0 lub nowszy w systemie Windows XP z dodatkiem SP2 lub nowszym oraz na Mac OS X 10,6 lub nowszymFirefox 26.0 or later on Windows XP SP2 or later, and on Mac OS X 10.6 or later

Aby skonfigurować aplikację w chmurze na potrzeby logowania jednokrotnego opartego na hasłach, zobacz Konfigurowanie logowaniajednokrotnego przy użyciu hasła.To configure an cloud application for password-based single sign-on, see Configure password single sign-on.

Aby skonfigurować aplikację lokalną do logowania jednokrotnego za pomocą serwera proxy aplikacji, zobacz Przechowywanie haseł w celu logowania jednokrotnego przy użyciu serwera proxy aplikacjiTo configure an on-premises application for single sign-on through Application Proxy, see Password vaulting for single sign-on with Application Proxy

Jak uwierzytelnianie jest wykonywane na podstawie hasła Logowanie jednokrotneHow authentication works for password-based SSO

W celu uwierzytelnienia użytkownika w aplikacji usługa Azure AD Pobiera poświadczenia użytkownika z katalogu i umieszcza je na stronie logowania aplikacji.To authenticate a user to an application, Azure AD retrieves the user's credentials from the directory and enters them into the application's sign-on page. Usługa Azure AD bezpiecznie przekazuje poświadczenia użytkownika za pośrednictwem rozszerzenia przeglądarki sieci Web lub aplikacji mobilnej.Azure AD securely passes the user credentials via a web browser extension or mobile app. Ten proces umożliwia administratorowi zarządzanie poświadczeniami użytkownika i nie wymaga zapamiętywania hasła przez użytkowników.This process enables an administrator to manage user credentials, and doesn't require users to remember their password.

Ważne

Poświadczenia są ukrywane podczas procesu automatycznego logowania.The credentials are obfuscated from the user during the automated sign-on process. Poświadczenia są jednak wykrywalne przy użyciu narzędzi do debugowania w sieci Web.However, the credentials are discoverable by using web-debugging tools. Użytkownicy i Administratorzy muszą przestrzegać tych samych zasad zabezpieczeń, co w przypadku, gdy poświadczenia zostały wprowadzone bezpośrednio przez użytkownika.Users and administrators need to follow the same security policies as if credentials were entered directly by the user.

Zarządzanie poświadczeniami logowania jednokrotnego opartego na hasłachManaging credentials for password-based SSO

Hasła dla każdej aplikacji mogą być zarządzane przez administratora usługi Azure AD lub przez użytkowników.Passwords for each application can either be managed by the Azure AD administrator or by the users.

Gdy administrator usługi Azure AD zarządza poświadczeniami:When the Azure AD administrator manages the credentials:

  • Użytkownik nie musi resetować ani zapamiętać nazwy użytkownika i hasła.The user doesn't need to reset or remember the user name and password. Użytkownik może uzyskać dostęp do aplikacji, klikając ją w panelu dostępu lub korzystając z podanego linku.The user can access the application by clicking on it in their access panel or via a provided link.
  • Administrator może wykonywać zadania zarządzania dotyczące poświadczeń.The administrator can do management tasks on the credentials. Administrator może na przykład zaktualizować dostęp do aplikacji zgodnie z członkostwem w grupach użytkowników i stanem pracownika.For example, the administrator can update application access according to user group memberships and employee status.
  • Administrator może używać poświadczeń administracyjnych, aby zapewnić dostęp do aplikacji współużytkowanych przez wielu użytkowników.The administrator can use administrative credentials to provide access to applications shared among many users. Na przykład administrator może zezwolić wszystkim, kto może uzyskać dostęp do aplikacji w celu uzyskania dostępu do aplikacji Media społecznościowe lub do udostępniania dokumentów.For example, the administrator can allow everyone who can access an application to have access to a social media or document sharing application.

Gdy użytkownik końcowy zarządza poświadczeniami:When the end user manages the credentials:

  • Użytkownicy mogą zarządzać swoimi hasłami, aktualizując lub usuwając je zgodnie z wymaganiami.Users can manage their passwords by updating or deleting them as needed.
  • Administratorzy nadal mogą ustawiać nowe poświadczenia dla aplikacji.Administrators are still able to set new credentials for the application.

Logowanie połączoneLinked sign-on

Połączenie połączone umożliwia usłudze Azure AD udostępnianie logowania jednokrotnego do aplikacji, która jest już skonfigurowana do logowania jednokrotnego w innej usłudze.Linked sign-on enables Azure AD to provide single sign-on to an application that is already configured for single sign-on in another service. Połączona aplikacja może być wyświetlana użytkownikom końcowym w portalu pakietu Office 365 lub w portalu usługi Azure AD.The linked application can appear to end users in the Office 365 portal or Azure AD MyApps portal. Na przykład użytkownik może uruchomić aplikację, która została skonfigurowana do logowania jednokrotnego w Active Directory Federation Services 2,0 (AD FS) z poziomu portalu pakietu Office 365.For example, a user can launch an application that is configured for single sign-on in Active Directory Federation Services 2.0 (AD FS) from the Office 365 portal. Dodatkowe raporty są również dostępne dla połączonych aplikacji, które są uruchamiane z poziomu portalu pakietu Office 365 lub portalu aplikacji Azure AD.Additional reporting is also available for linked applications that are launched from the Office 365 portal or the Azure AD MyApps portal. Aby skonfigurować aplikację do logowania połączonego, zobacz Konfigurowanie połączenia połączonego.To configure an application for linked sign-on, see Configure linked sign-on.

Logowanie połączone do migracji aplikacjiLinked sign-on for application migration

Połączone logowanie może zapewnić spójny interfejs użytkownika podczas migrowania aplikacji w określonym czasie.Linked sign-on can provide a consistent user experience while you migrate applications over a period of time. Jeśli migrujesz aplikacje do Azure Active Directory, możesz użyć połączenia połączonego, aby szybko publikować linki do wszystkich aplikacji, które mają zostać zmigrowane.If you're migrating applications to Azure Active Directory, you can use linked sign-on to quickly publish links to all the applications you intend to migrate. Użytkownicy mogą znaleźć wszystkie linki w portalu webapps lub uruchamiania aplikacji pakietu Office 365.Users can find all the links in the MyApps portal or the Office 365 application launcher. Użytkownicy nie będą wiedzieli, że uzyskują dostęp do połączonej aplikacji lub zmigrowanej aplikacji.Users won't know they're accessing a linked application or a migrated application.

Po uwierzytelnieniu użytkownika w połączonej aplikacji należy utworzyć rekord konta, aby użytkownik końcowy mógł uzyskać dostęp do logowania jednokrotnego.Once a user has authenticated with a linked application, an account record needs to be created before the end user is provided single sign-on access. Inicjowanie obsługi tego rekordu konta może odbywać się automatycznie lub może być wykonywane ręcznie przez administratora.Provisioning this account record can either occur automatically, or it can occur manually by an administrator.

Wyłączone Logowanie jednokrotneDisabled SSO

Tryb wyłączony oznacza, że logowanie jednokrotne nie jest używane dla aplikacji.Disabled mode means single sign-on isn't used for the application. Gdy Logowanie jednokrotne jest wyłączone, użytkownicy mogą wymagać dwukrotnego uwierzytelnienia.When single sign-on is disabled, users might need to authenticate twice. Najpierw użytkownicy uwierzytelniają się w usłudze Azure AD, a następnie logują się do aplikacji.First, users authenticate to Azure AD, and then they sign in to the application.

Użyj wyłączonego trybu logowania jednokrotnego:Use disabled single sign-on mode:

  • Jeśli nie masz gotowości do integracji tej aplikacji z logowaniem jednokrotnym w usłudze Azure AD, lubIf you're not ready to integrate this application with Azure AD single sign-on, or
  • Jeśli testujesz inne aspekty aplikacji, lubIf you're testing other aspects of the application, or
  • Jako warstwa zabezpieczeń aplikacji lokalnej, która nie wymaga uwierzytelniania użytkowników.As a layer of security to an on-premises application that doesn't require users to authenticate. W przypadku wyłączenia użytkownik musi uwierzytelnić się.With disabled, the user needs to authenticate.

Zintegrowane uwierzytelnianie systemu Windows (IWA) — Logowanie jednokrotneIntegrated Windows Authentication (IWA) SSO

Serwer proxy aplikacji umożliwia logowanie jednokrotne do aplikacji korzystających ze zintegrowanego uwierzytelniania systemu Windows (IWA)lub aplikacji obsługujących oświadczenia.Application Proxy provides single sign-on (SSO) to applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Jeśli aplikacja używa IWA, serwer proxy aplikacji uwierzytelnia się w aplikacji przy użyciu ograniczonego delegowania protokołu Kerberos (KCD).If your application uses IWA, Application Proxy authenticates to the application by using Kerberos Constrained Delegation (KCD). W przypadku aplikacji obsługujących oświadczenia, która ufa Azure Active Directory, logowanie jednokrotne działa, ponieważ użytkownik został już uwierzytelniony za pomocą usługi Azure AD.For a claims-aware application that trusts Azure Active Directory, single sign-on works because the user was already authenticated by using Azure AD.

Wybierz pozycję zintegrowane uwierzytelnianie systemu Windows tryb logowania jednokrotnego, aby zapewnić Logowanie jednokrotne do aplikacji lokalnej, która jest uwierzytelniana za pomocą IWA.Choose Integrated Windows Authentication single sign-on mode to provide single sign-on to an on-premises app that authenticates with IWA.

Aby skonfigurować aplikację lokalną dla usługi IWA, zobacz ograniczone delegowanie protokołu Kerberos na potrzeby logowania jednokrotnego do aplikacji przy użyciu serwera proxy aplikacji.To configure an on-premises app for IWA, see Kerberos Constrained Delegation for single sign-on to your applications with Application Proxy.

Jak działa Logowanie jednokrotne za pomocą KCDHow single sign-on with KCD works

Ten diagram wyjaśnia przepływ, gdy użytkownik uzyskuje dostęp do aplikacji lokalnej korzystającej z IWA.This diagram explains the flow when a user accesses an on-premises application that uses IWA.

Diagram przepływu uwierzytelniania Microsoft Azure AD

  1. Użytkownik wprowadza adres URL w celu uzyskania dostępu do lokalnej aplikacji za pomocą serwera proxy aplikacji.The user enters the URL to access the on premises application through Application Proxy.
  2. Serwer proxy aplikacji przekierowuje żądanie do usług uwierzytelniania usługi Azure AD w celu wstępnego uwierzytelnienia.Application Proxy redirects the request to Azure AD authentication services to preauthenticate. W tym momencie usługa Azure AD stosuje wszelkie odpowiednie zasady uwierzytelniania i autoryzacji, takie jak uwierzytelnianie wieloskładnikowe.At this point, Azure AD applies any applicable authentication and authorization policies, such as multifactor authentication. Jeśli użytkownik jest zweryfikowany, usługa Azure AD tworzy token i wysyła go do użytkownika.If the user is validated, Azure AD creates a token and sends it to the user.
  3. Użytkownik przekazuje token do serwera proxy aplikacji.The user passes the token to Application Proxy.
  4. Serwer proxy aplikacji weryfikuje token i pobiera główną nazwę użytkownika (UPN) z tokenu.Application Proxy validates the token and retrieves the User Principal Name (UPN) from the token. Następnie wysyła żądanie, nazwę UPN, a główna nazwa usługi (SPN) do łącznika za pośrednictwem podwójnego uwierzytelnionego bezpiecznego kanału.It then sends the request, the UPN, and the Service Principal Name (SPN) to the Connector through a dually authenticated secure channel.
  5. Łącznik używa negocjacji ograniczonego delegowania protokołu Kerberos (KCD) z lokalną usługą AD, personifikując użytkownika w celu uzyskania tokenu Kerberos do aplikacji.The connector uses Kerberos Constrained Delegation (KCD) negotiation with the on premises AD, impersonating the user to get a Kerberos token to the application.
  6. Active Directory wysyła token Kerberos dla aplikacji do łącznika.Active Directory sends the Kerberos token for the application to the connector.
  7. Łącznik wysyła oryginalne żądanie do serwera aplikacji przy użyciu tokenu Kerberos otrzymanego z usługi AD.The connector sends the original request to the application server, using the Kerberos token it received from AD.
  8. Aplikacja wysyła odpowiedź do łącznika, który jest następnie zwracany do usługi serwera proxy aplikacji i na końcu do użytkownika.The application sends the response to the connector, which is then returned to the Application Proxy service and finally to the user.

Logowanie jednokrotne oparte na nagłówkachHeader-based SSO

Logowanie jednokrotne oparte na nagłówkach działa dla aplikacji, które używają nagłówków HTTP do uwierzytelniania.Header-based single sign-on works for applications that use HTTP headers for authentication. Ta metoda logowania używa usługi uwierzytelniania innej firmy o nazwie PingAccess.This sign-on method uses a third-party authentication service called PingAccess. Użytkownik musi tylko uwierzytelniać się w usłudze Azure AD.A user only needs to authenticate to Azure AD.

Wybierz pozycję Logowanie jednokrotne oparte na nagłówkach, gdy serwer proxy aplikacji i PingAccess są skonfigurowane dla aplikacji.Choose header-based single sign-on when Application Proxy and PingAccess are configured for the application.

Aby skonfigurować uwierzytelnianie oparte na nagłówkach, zobacz uwierzytelnianie oparte na nagłówkach logowania jednokrotnego przy użyciu serwera proxy aplikacji.To configure header-based authentication, see Header-based authentication for single sign-on with Application Proxy.

Co to jest PingAccess dla usługi Azure AD?What is PingAccess for Azure AD?

Korzystając z PingAccess dla usługi Azure AD, użytkownicy mogą uzyskiwać dostęp do aplikacji, które używają nagłówków do uwierzytelniania i logowania jednokrotnego.Using PingAccess for Azure AD, users can access and single sign-on to applications that use headers for authentication. Serwer proxy aplikacji traktuje te aplikacje, takie jak inne, za pomocą usługi Azure AD do uwierzytelniania dostępu, a następnie przekazywania ruchu przez usługę łącznika.Application Proxy treats these applications like any other, using Azure AD to authenticate access and then passing traffic through the connector service. Po wystąpieniu uwierzytelniania usługa PingAccess dokonuje translacji tokenu dostępu usługi Azure AD do formatu nagłówka, który jest wysyłany do aplikacji.After authentication occurs, the PingAccess service translates the Azure AD access token into a header format that is sent to the application.

Użytkownicy nie będą zarejestrowani w przypadku logowania się do korzystania z aplikacji firmowych.Your users won’t notice anything different when they sign in to use your corporate applications. Mogą oni nadal korzystać z dowolnego miejsca na dowolnym urządzeniu.They can still work from anywhere on any device. Łączniki serwera proxy aplikacji kierują ruch zdalny do wszystkich aplikacji, a Równoważenie obciążenia będzie kontynuowane automatycznie.The Application Proxy connectors direct remote traffic to all applications, and they’ll continue to load balance automatically.

Jak mogę uzyskać licencji na PingAccess?How do I get a license for PingAccess?

Ponieważ ten scenariusz jest oferowany przez partnerstwo między usługą Azure AD i PingAccess, potrzebujesz licencji dla obu usług.Since this scenario is offered through a partnership between Azure AD and PingAccess, you need licenses for both services. Jednak subskrypcje Azure AD — wersja Premium obejmują podstawową licencję PingAccess, która obejmuje maksymalnie 20 aplikacji.However, Azure AD Premium subscriptions include a basic PingAccess license that covers up to 20 applications. Jeśli musisz opublikować więcej niż 20 aplikacji opartych na nagłówkach, możesz uzyskać dodatkową licencję z PingAccess.If you need to publish more than 20 header-based applications, you can acquire an additional license from PingAccess.

Aby uzyskać więcej informacji, zobacz Wersje usługi Azure Active Directory.For more information, see Azure Active Directory editions.