Udostępnij za pośrednictwem

Usługa Security Assertion Markup Language (SAML) z logowaniem jednokrotnym (SSO) dla aplikacji lokalnych z serwerem proxy aplikacji

  • Artykuł

Zapewnianie logowania jednokrotnego (SSO) do aplikacji lokalnych zabezpieczonych przy użyciu uwierzytelniania języka SAML (Security Assertion Markup Language). Zapewnianie dostępu zdalnego do aplikacji logowania jednokrotnego opartego na protokole SAML za pośrednictwem serwera proxy aplikacji. W przypadku logowania jednokrotnego SAML firma Microsoft Entra uwierzytelnia się w aplikacji przy użyciu konta Microsoft Entra użytkownika. Usługa Microsoft Entra ID przekazuje informacje dotyczące logowania do aplikacji za pośrednictwem protokołu połączenia. Można również mapować użytkowników na określone role aplikacji na podstawie reguł zdefiniowanych w oświadczeniach SAML. Włączając serwer proxy aplikacji oprócz logowania jednokrotnego SAML, użytkownicy mają zewnętrzny dostęp do aplikacji i bezproblemowe logowanie jednokrotne.

Aplikacje muszą mieć możliwość korzystania z tokenów SAML wystawionych przez identyfikator Entra firmy Microsoft. Ta konfiguracja nie ma zastosowania do aplikacji korzystających z lokalnego dostawcy tożsamości. W przypadku tych scenariuszy zalecamy przejrzenie zasobów dotyczących migrowania aplikacji do identyfikatora Entra firmy Microsoft.

Logowanie jednokrotne SAML z serwerem proxy aplikacji działa również z funkcją szyfrowania tokenów SAML. Aby uzyskać więcej informacji, zobacz Configure Microsoft Entra SAML token encryption (Konfigurowanie szyfrowania tokenu SAML firmy Microsoft).

Diagramy protokołów opisują sekwencję logowania jednokrotnego dla przepływu inicjowanego przez dostawcę usług (inicjowanego przez dostawcę usług) oraz przepływu inicjowanego przez dostawcę tożsamości (inicjowanego przez dostawcę tożsamości). Serwer proxy aplikacji współpracuje z logowaniem jednokrotnym SAML przez buforowanie żądania SAML i odpowiedzi na i z aplikacji lokalnej.

Diagram shows interactions of Application, application proxy, Client, and Microsoft Entra ID for S P-Initiated single sign-on.

Diagram shows interactions of Application, application proxy, Client, and Microsoft Entra ID for I d P-Initiated single sign-on.

Tworzenie aplikacji i konfigurowanie logowania jednokrotnego SAML

  1. W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Aplikacje dla przedsiębiorstw Microsoft Entra ID > i wybierz pozycję Nowa aplikacja.

  2. Wprowadź nazwę wyświetlaną nowej aplikacji, wybierz pozycję Integruj dowolną inną aplikację, której nie znajdziesz w galerii, a następnie wybierz pozycję Utwórz.

  3. Na stronie Przegląd aplikacji wybierz pozycję Logowanie jednokrotne.

  4. Wybierz pozycję SAML jako metodę logowania jednokrotnego.

  5. Najpierw skonfiguruj logowanie jednokrotne SAML do pracy w sieci firmowej, zobacz podstawową sekcję konfiguracji protokołu SAML w temacie Konfigurowanie logowania jednokrotnego opartego na protokole SAML w celu skonfigurowania uwierzytelniania opartego na protokole SAML dla aplikacji.

  6. Dodaj co najmniej jednego użytkownika do aplikacji i upewnij się, że konto testowe ma dostęp do aplikacji. Po nawiązaniu połączenia z siecią firmową użyj konta testowego, aby sprawdzić, czy masz logowanie jednokrotne do aplikacji.

    Uwaga

    Po skonfigurowaniu serwera proxy aplikacji wrócisz i zaktualizujesz adres URL odpowiedzi SAML.

Publikowanie aplikacji lokalnej za pomocą serwera proxy aplikacji

Przed udostępnieniem logowania jednokrotnego dla aplikacji lokalnych włącz serwer proxy aplikacji i zainstaluj łącznik. Dowiedz się więcej na temat przygotowywania środowiska lokalnego, instalowania i rejestrowania łącznika oraz testowania łącznika. Po skonfigurowaniu łącznika wykonaj następujące kroki, aby opublikować nową aplikację za pomocą serwera proxy aplikacji.

  1. Po otwarciu aplikacji w centrum administracyjnym firmy Microsoft Entra wybierz pozycję Serwer proxy aplikacji. Podaj wewnętrzny adres URL aplikacji. Jeśli używasz domeny niestandardowej, musisz również przekazać certyfikat TLS/SSL dla aplikacji.

    Uwaga

    Najlepszym rozwiązaniem jest użycie domen niestandardowych zawsze, gdy jest to możliwe dla zoptymalizowanego środowiska użytkownika. Dowiedz się więcej na temat pracy z domenami niestandardowymi na serwerze proxy aplikacji firmy Microsoft Entra.

  2. Wybierz pozycję Microsoft Entra ID jako metodę uwierzytelniania wstępnego dla aplikacji.

  3. Skopiuj zewnętrzny adres URL aplikacji. Ten adres URL jest potrzebny do ukończenia konfiguracji protokołu SAML.

  4. Korzystając z konta testowego, spróbuj otworzyć aplikację przy użyciu zewnętrznego adresu URL , aby sprawdzić, czy serwer proxy aplikacji jest poprawnie skonfigurowany. Jeśli występują problemy, zobacz Rozwiązywanie problemów z serwerem proxy aplikacji i komunikatów o błędach.

Aktualizowanie konfiguracji protokołu SAML

  1. Po otwarciu aplikacji w centrum administracyjnym firmy Microsoft Entra wybierz pozycję Logowanie jednokrotne.

  2. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML przejdź do nagłówka Podstawowa konfiguracja protokołu SAML i wybierz ikonę Edytuj (ołówek). Upewnij się, że zewnętrzny adres URL skonfigurowany na serwerze proxy aplikacji jest wypełniony w polach Identyfikator, Adres URL odpowiedzi i Adres URL wylogowywania. Te adresy URL są wymagane, aby serwer proxy aplikacji działał poprawnie.

  3. Edytuj skonfigurowany wcześniej adres URL odpowiedzi, aby jego domena mogła być osiągalna w Internecie za pośrednictwem serwera proxy aplikacji. Jeśli na przykład zewnętrzny adres URL to https://contosotravel-f128.msappproxy.net i oryginalny adres URL odpowiedzi to https://contosotravel.com/acs, musisz zaktualizować oryginalny adres URL odpowiedzi na https://contosotravel-f128.msappproxy.net/acsadres .

    Enter basic SAML configuration data

  4. Zaznacz pole wyboru obok zaktualizowanego adresu URL odpowiedzi, aby oznaczyć go jako domyślne.

    • Po oznaczeniu wymaganego adresu URL odpowiedzi jako domyślnego możesz również usunąć wcześniej skonfigurowany adres URL odpowiedzi, który używał wewnętrznego adresu URL.

    • W przypadku przepływu inicjowanego przez dostawcę usług upewnij się, że aplikacja zaplecza określa prawidłowy adres URL odpowiedzi lub adres URL usługi Assertion Consumer Service do odbierania tokenu uwierzytelniania.

    Uwaga

    Jeśli aplikacja zaplecza oczekuje, że adres URL odpowiedzi będzie wewnętrznym adresem URL, musisz użyć domen niestandardowych, aby mieć zgodne wewnętrzne i zewnętrzne adresy URL lub zainstalować rozszerzenie Moje aplikacje bezpiecznego logowania na urządzeniach użytkowników. To rozszerzenie automatycznie przekierowuje do odpowiedniej usługi serwera proxy aplikacji. Aby zainstalować rozszerzenie, zobacz Moje aplikacje rozszerzenie bezpiecznego logowania.

Przetestuj aplikację

Aplikacja jest uruchomiona. Aby przetestować aplikację:

  1. Otwórz przeglądarkę i przejdź do zewnętrznego adresu URL utworzonego podczas publikowania aplikacji.
  2. Zaloguj się przy użyciu konta testowego przypisanego do aplikacji. Powinno być możliwe załadowanie aplikacji i logowanie jednokrotne do aplikacji.

Następne kroki