Единый вход на основе SAML для локальных приложений с помощью Application Proxy

Вы можете предоставить возможность единого входа в локальные приложения, защищенные с помощью аутентификации на основе SAML, и предоставить удаленный доступ к этим приложениям через Application Proxy. При использовании единого входа на основе SAML служба Azure Active Directory (AAD) выполняет аутентификацию в приложении, используя учетную запись пользователя в Azure AD. Azure AD передает приложению данные для входа через протокол соединения. Вы можете сопоставлять пользователей с конкретными ролями приложений согласно правилам, определенным в утверждениях SAML. Включив Application Proxy в дополнение к единому входу SAML, вы предоставите пользователям внешний доступ к приложению и возможность простого единого входа.

Приложения должны поддерживать токены SAML, которые выдает Azure Active Directory. Такая конфигурация неприменима к приложениям, которые используют локальный поставщик удостоверений. Для таких случаев рекомендуем обратиться к статье Ресурсы для переноса приложений в Azure Active Directory.

Единый вход на основе SAML в сочетании с Application Proxy поддерживает функцию шифрования токена SAML. Дополнительные сведения см. в статье Настройка шифрования токенов SAML в Azure AD.

Приведенные ниже схемы протоколов описывают последовательность операций единого входа для потоков, инициированных поставщиком услуг и поставщиком удостоверений. Application Proxy для поддержки единого входа на основе SAML кэширует запрос SAML и ответы, отправляемые и получаемые локальным приложением.

Diagram shows interactions of Application, Application Proxy, Client, and Azure A D for S P-Initiated single sign-on.

Diagram shows interactions of Application, Application Proxy, Client, and Azure A D for I d P-Initiated single sign-on.

Создание приложения и настройка единого входа на основе SAML

  1. На портале Azure последовательно выберите Azure Active Directory > Корпоративные приложения и щелкните Новое приложение.

  2. Введите отображаемое имя для нового приложения, установите флажок Интеграция с любыми другими приложениями, которых нет в коллекции и щелкните Создать.

  3. На странице Обзор для приложения выберите Единый вход.

  4. Выберите SAML в качестве метода единого входа.

  5. Сначала настройте работу единого входа на основе SAML в корпоративной сети, используя простую конфигурацию SAML из статьи Настройка единого входа на основе SAML.

  6. Добавьте хотя бы одного пользователя в приложение и убедитесь, что тестовая учетная запись имеет доступ к приложению. Подключитесь к корпоративной сети и воспользуйтесь тестовой учетной записью, чтобы проверить единый вход в приложение.

    Примечание

    После настройки Application Proxy вы вернетесь к этим настройкам и укажете новый URL-адрес ответа SAML.

Публикация локального приложения с помощью Application Proxy

Прежде чем предоставить единый вход для локальных приложений, необходимо включить Application Proxy и установить соединитель. Ознакомьтесь с учебником Добавление локального приложения для удаленного доступа с помощью Application Proxy в Azure Active Directory, где описаны подготовка локальной среды, а также установка, регистрация и проверка соединителя. Затем выполните описанные здесь действия по публикации приложения с помощью Application Proxy. Другие параметры, не упомянутые ниже, описаны в разделе Добавление локального приложения в Azure AD этого учебника.

  1. Если приложение еще открыто на портале Azure, выберите Application Proxy. Укажите внутренний URL-адрес для приложения. Если вы используете личный домен, необходимо также передать сертификат TLS/SSL для приложения.

    Примечание

    Мы рекомендуем везде, где возможно, использовать личные домены для оптимизации взаимодействия с пользователем. Узнайте больше о работе с личными доменами в Azure AD Application Proxy.

  2. Выберите Azure Active Directory в качестве метода предварительной аутентификации для приложения.

  3. Скопируйте внешний URL-адрес для приложения. Этот URL-адрес потребуется для завершения настройки SAML.

  4. Попытайтесь войти в приложение с тестовой учетной записью через внешний URL-адрес и убедитесь, что компонент Application Proxy настроен правильно. Если возникнут проблемы, воспользуйтесь сведениями об устранении неполадок.

Обновление конфигурации SAML

  1. На той же странице приложения на портале Azure выберите Единый вход.

  2. На странице Настройка единого входа с помощью SAML перейдите к разделу Базовая конфигурация SAML и щелкните действие Изменить (значок карандаша). Убедитесь, что настроенный в Application Proxy внешний URL-адрес правильно указан в полях Идентификатор, URL-адрес ответа и URL-адрес выхода. Эти URL-адреса необходимы для правильной работы Application Proxy.

  3. Измените настроенный ранее URL-адрес ответа, чтобы он содержал домен, доступный из Интернета через Application Proxy. Например, если Внешний URL-адрес имеет значение https://contosotravel-f128.msappproxy.net, а для исходного URL-адреса ответа было задано значение https://contosotravel.com/acs, укажите в поле URL-адрес ответа новое значение https://contosotravel-f128.msappproxy.net/acs.

    Enter basic SAML configuration data

  4. Установите флажок рядом с обновленным полем URL-адрес ответа, чтобы это значение использовалось по умолчанию.

    • Выбрав нужный URL-адрес ответа как значение по умолчанию, вы можете удалить ранее настроенный URL-адрес ответа с внутренним URL-адресом.

    • Для потока, инициированного поставщиком услуг, проверьте правильность значения URL-адреса ответа или URL-адреса службы обработчика утверждений в серверном приложении, которые нужны для получения маркера аутентификации.

    Примечание

    Если серверное приложение ожидает внутренний URL-адрес ответа, необходимо использовать личные домены для сопоставления внутренних и внешних URL-адресов или установить расширение безопасного входа на портал "Мои приложения" на устройствах пользователей. Это расширение будет автоматически перенаправлять запросы в соответствующую службу Application Proxy. Сведения об установке расширения см. в статье о расширении защищенного входа в "Мои приложения".

Тестирование приложения

Когда вы завершите выполнение этих шагов, ваше приложение будет настроено и запущено. Чтобы проверить приложение:

  1. Введите в адресную строку браузера значение внешнего URL-адреса, которое вы создали при публикации приложения.
  2. Войдите с помощью тестовой учетной записи, назначенной приложению. Теперь вы сможете загрузить приложение и использовать единый вход в него.

Дальнейшие действия