Använda en SAML 2.0-identitetsprovider (IdP) för enkel inloggning

  • Artikel

Det här dokumentet innehåller information om hur du använder en SAML 2.0-kompatibel SP-Lite-profilbaserad identitetsprovider som önskad säkerhetstokentjänst (STS)/identitetsprovider. Det här scenariot är användbart när du redan har en lokal användarkatalog och lösenordsarkiv som kan nås med SAML 2.0. Den här befintliga användarkatalogen kan användas för inloggning till Microsoft 365 och andra Microsoft Entra ID-skyddade resurser. SP-Lite-profilen för SAML 2.0 baseras på saml-federerad identitetsstandard (Security Assertion Markup Language) för att tillhandahålla ett exchange-ramverk för inloggning och attribut.

Kommentar

En lista över tredjeparts-ID:er som har testats för användning med Microsoft Entra-ID finns i kompatibilitetslistan för Microsoft Entra-federation

Microsoft stöder den här inloggningsupplevelsen som integrering av en Microsoft-molntjänst, till exempel Microsoft 365, med din korrekt konfigurerade SAML 2.0-profilbaserade IdP. SAML 2.0-identitetsprovidrar är produkter från tredje part och därför tillhandahåller Microsoft inte stöd för distribution, konfiguration och felsökning av metodtips för dem. När integreringen med SAML 2.0-identitetsprovidern har konfigurerats korrekt kan den testas för korrekt konfiguration med hjälp av Microsoft Anslut ivity Analyzer Tool, som beskrivs mer detaljerat nedan. Om du vill ha mer information om din SAML 2.0 SP-Lite-profilbaserade identitetsprovider kan du fråga den organisation som tillhandahöll den.

Viktigt!

Endast en begränsad uppsättning klienter är tillgängliga i det här inloggningsscenariot med SAML 2.0-identitetsprovidrar, vilket omfattar:

  • Webbaserade klienter som Outlook Web Access och SharePoint Online
  • E-postrika klienter som använder grundläggande autentisering och en Exchange-åtkomstmetod som stöds, till exempel IMAP, POP, Active Sync, MAPI osv. (slutpunkten för utökat klientprotokoll måste distribueras), inklusive:
    • Microsoft Outlook 2010/Outlook 2013/Outlook 2016, Apple i Telefon (olika iOS-versioner)
    • Olika Google Android-enheter
    • Windows Telefon 7, Windows Telefon 7.8 och Windows Telefon 8.0
    • Windows 8-e-postklient och Windows 8.1-e-postklient
    • Windows 10-e-postklient

Alla andra klienter är inte tillgängliga i det här inloggningsscenariot med din SAML 2.0-identitetsprovider. Lync 2010 desktop-klienten kan till exempel inte logga in på tjänsten med din SAML 2.0-identitetsprovider konfigurerad för enkel inloggning.

Microsoft Entra SAML 2.0-protokollkrav

Det här dokumentet innehåller detaljerade krav på protokoll- och meddelandeformatering som din SAML 2.0-identitetsprovider måste implementera för att federera med Microsoft Entra-ID för att aktivera inloggning till en eller flera Microsoft-molntjänster (till exempel Microsoft 365). DEN SAML 2.0-förlitande parten (SP-STS) för en Microsoft-molntjänst som används i det här scenariot är Microsoft Entra-ID.

Vi rekommenderar att du ser till att utdatameddelandena för SAML 2.0-identitetsprovidern liknar de angivna exempelspårningarna som möjligt. Använd även specifika attributvärden från angivna Microsoft Entra-metadata där det är möjligt. När du är nöjd med dina utdatameddelanden kan du testa med Microsoft Anslut ivity Analyzer enligt beskrivningen nedan.

Microsoft Entra-metadata kan laddas ned från den här URL:en: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. För kunder i Kina som använder den Kina-specifika instansen av Microsoft 365 ska följande federationsslutpunkt användas: https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml.

SAML-protokollkrav

Det här avsnittet beskriver hur paren för begärande- och svarsmeddelanden sammanställs för att hjälpa dig att formatera dina meddelanden korrekt.

Microsoft Entra-ID kan konfigureras för att fungera med identitetsprovidrar som använder SP Lite-profilen SAML 2.0 med vissa specifika krav enligt nedan. Med saml-exempelmeddelanden för begäran och svar tillsammans med automatiserad och manuell testning kan du arbeta för att uppnå samverkan med Microsoft Entra-ID.

Krav för signaturblock

I SAML-svarsmeddelandet innehåller signaturnoden information om den digitala signaturen för själva meddelandet. Signaturblocket har följande krav:

  1. Själva kontrollnoden måste vara signerad
  2. RSA-sha1-algoritmen måste användas som DigestMethod. Andra algoritmer för digital signatur accepteras inte. <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1"/>
  3. Du kan också signera XML-dokumentet.
  4. Transformeringsalgoritmen måste matcha värdena i följande exempel: <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature"/> <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#"/>
  5. SignatureMethod-algoritmen måste matcha följande exempel: <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

Kommentar

För att förbättra säkerheten är SHA-1-algoritmen inaktuell. Se till att använda en säkrare algoritm som SHA-256. Mer information finns.

Bindningar som stöds

Bindningar är de transportrelaterade kommunikationsparametrar som krävs. Följande krav gäller för bindningarna

  1. HTTPS är den transport som krävs.
  2. Microsoft Entra-ID kräver HTTP POST för tokenöverföring under inloggningen.
  3. Microsoft Entra-ID använder HTTP POST för autentiseringsbegäran till identitetsprovidern och REDIRECT för utloggningsmeddelandet till identitetsprovidern.

Obligatoriska attribut

Den här tabellen visar krav för specifika attribut i SAML 2.0-meddelandet.

Attribut beskrivning
NameID Värdet för den här försäkran måste vara detsamma som Microsoft Entra-användarens ImmutableID. Det kan vara upp till 64 alfanumeriska tecken. Alla icke-html-säkra tecken måste kodas, till exempel visas ett "+"-tecken som ".2B".
IDPE-post Användarens huvudnamn (UPN) visas i SAML-svaret som ett element med namnet IDPEmail Användarens UserPrincipalName (UPN) i Microsoft Entra ID/Microsoft 365. UPN är i e-postadressformat. UPN-värde i Windows Microsoft 365 (Microsoft Entra-ID).
Utfärdare Krävs för att vara en URI för identitetsprovidern. Återanvänd inte utfärdaren från exempelmeddelandena. Om du har flera toppnivådomäner i dina Microsoft Entra-klienter måste utfärdaren matcha den angivna URI-inställningen som konfigurerats per domän.

Viktigt!

Microsoft Entra ID stöder för närvarande följande NameID Format URI för SAML 2.0:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.

Saml-exempelbegäran och svarsmeddelanden

Ett meddelandepar för begäran och svar visas för inloggningsmeddelandeutbytet. Följande är ett exempel på ett meddelande om begäran som skickas från Microsoft Entra-ID till en SAML 2.0-exempelidentitetsprovider. Saml 2.0-exempelidentitetsprovidern är Active Directory Federation Services (AD FS) (AD FS) som konfigurerats för att använda SAML-P-protokollet. Samverkanstestning har också slutförts med andra SAML 2.0-identitetsprovidrar.

<samlp:AuthnRequest ID="_1e089e5c-a976-4881-af74-3b92c89e7e2c" Version="2.0" IssueInstant="2024-03-12T14:00:18.450Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Om isSignedAuthenticationRequestRequired är aktiverat enligt beskrivningen i internaldomainfederation-update ser begäran ut så här:

  <samlp:AuthnRequest ID="_1868c6f2-1fdd-40b9-818f-b4b44efb92c5" Version="2.0" IssueInstant="2024-03-11T16:51:17.120Z" Destination="https://fs.contoso.com/adfs/ls/" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><Signature xmlns="http://www.w3.org/2000/09/xmldsig#"><SignedInfo><CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><Reference URI="#_1868c6f2-1fdd-40b9-818f-b4b44efb92c5"><Transforms><Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></Transforms><DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><DigestValue>FPM404CTAfI458trTryNB7mVS4Q=</DigestValue></Reference></SignedInfo><SignatureValue>CuCSgua+bCtV8mlJJUxtbz1tsZjj7RDfH73YyJgDbOvk9lIpdZkrCcz3r9Qqb4OP+3we8cauXAOEDGNke2QywkHyGHV55zJomb5pKNiX8r/2xAD+LaGEeOw3O4H0lGZCyvN32pbDi/aTr8ocZu6tTcW7CbD51TNCasc+YJALYAa73F9rhDqgy/eieC3HvM6e18QE/9URKrT7IT82hsmUcOGjvhSF6gvWtRtdwsJ+4LLR1FnTKCJvPcDU0AeKtvh9DDTrIEBY9OurB0VLYMQ75F9P2ijZXnBaITqx1nkdT70NjVmq+tUWl//24v1AnSu1Z7lTkYNlydV536epaYYb4Q==</SignatureValue><KeyInfo><ds:X509Data xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:X509SKI>bwzmkdKETWhixlS99FL36FH37EI=</ds:X509SKI></ds:X509Data><ds:KeyName xmlns:ds="http://www.w3.org/2000/09/xmldsig#">MicrosoftOnline</ds:KeyName></KeyInfo></Signature><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Följande är ett exempelsvarsmeddelande som skickas från saml 2.0-exempelkompatibel identitetsprovider till Microsoft Entra ID/Microsoft 365.

    <samlp:Response ID="_592c022f-e85e-4d23-b55b-9141c95cd2a5" Version="2.0" IssueInstant="2014-01-31T15:36:31.357Z" Destination="https://login.microsoftonline.com/login.srf" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
    </samlp:Status>
    <Assertion ID="_7e3c1bcd-f180-4f78-83e1-7680920793aa" IssueInstant="2014-01-31T15:36:31.279Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
      <ds:SignedInfo>
        <ds:CanonicalizationMethod Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
        <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <ds:Reference URI="#_7e3c1bcd-f180-4f78-83e1-7680920793aa">
          <ds:Transforms>
            <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature" />
            <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
          </ds:Transforms>
          <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1" />
          <ds:DigestValue>CBn/5YqbheaJP425c0pHva9PhNY=</ds:DigestValue>
        </ds:Reference>
      </ds:SignedInfo>
      <ds:SignatureValue>TciWMyHW2ZODrh/2xrvp5ggmcHBFEd9vrp6DYXp+hZWJzmXMmzwmwS8KNRJKy8H7XqBsdELA1Msqi8I3TmWdnoIRfM/ZAyUppo8suMu6Zw+boE32hoQRnX9EWN/f0vH6zA/YKTzrjca6JQ8gAV1ErwvRWDpyMcwdYCiWALv9ScbkAcebOE1s1JctZ5RBXggdZWrYi72X+I4i6WgyZcIGai/rZ4v2otoWAEHS0y1yh1qT7NDPpl/McDaTGkNU6C+8VfjD78DrUXEcAfKvPgKlKrOMZnD1lCGsViimGY+LSuIdY45MLmyaa5UT4KWph6dA==</ds:SignatureValue>
      <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>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</ds:X509Certificate>
        </ds:X509Data>
      </KeyInfo>
    </ds:Signature>
    <Subject>
      <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">ABCDEG1234567890</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" NotOnOrAfter="2014-01-31T15:41:31.357Z" Recipient="https://login.microsoftonline.com/login.srf" />
      </SubjectConfirmation>
    </Subject>
    <Conditions NotBefore="2014-01-31T15:36:31.263Z" NotOnOrAfter="2014-01-31T16:36:31.263Z">
      <AudienceRestriction>
        <Audience>urn:federation:MicrosoftOnline</Audience>
      </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
      <Attribute Name="IDPEmail">
        <AttributeValue>administrator@contoso.com</AttributeValue>
      </Attribute>
    </AttributeStatement>
    <AuthnStatement AuthnInstant="2014-01-31T15:36:30.200Z" SessionIndex="_7e3c1bcd-f180-4f78-83e1-7680920793aa">
      <AuthnContext>
        <AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnContextClassRef>
      </AuthnContext>
    </AuthnStatement>
    </Assertion>
    </samlp:Response>

Konfigurera din SAML 2.0-kompatibla identitetsprovider

Det här avsnittet innehåller riktlinjer för hur du konfigurerar din SAML 2.0-identitetsprovider att federera med Microsoft Entra-ID för att aktivera enkel inloggningsåtkomst till en eller flera Microsoft-molntjänster (till exempel Microsoft 365) med hjälp av SAML 2.0-protokollet. Den SAML 2.0-förlitande parten för en Microsoft-molntjänst som används i det här scenariot är Microsoft Entra-ID.

Lägga till Microsoft Entra-metadata

Din SAML 2.0-identitetsprovider måste följa information om microsoft Entra-ID:ts förlitande part. Microsoft Entra ID publicerar metadata på https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml.

Vi rekommenderar att du alltid importerar de senaste Microsoft Entra-metadata när du konfigurerar din SAML 2.0-identitetsprovider.

Kommentar

Microsoft Entra-ID läser inte metadata från identitetsprovidern.

Lägga till Microsoft Entra-ID som förlitande part

Du måste aktivera kommunikation mellan din SAML 2.0-identitetsprovider och Microsoft Entra-ID. Den här konfigurationen är beroende av din specifika identitetsprovider och du bör läsa dokumentationen för den. Du skulle vanligtvis ange det förlitande part-ID:t till samma som entityID från Microsoft Entra-metadata.

Kommentar

Kontrollera att klockan på din SAML 2.0-identitetsproviderserver är synkroniserad med en korrekt tidskälla. En felaktig klocktid kan orsaka att federerade inloggningar misslyckas.

Installera PowerShell för inloggning med SAML 2.0-identitetsprovider

När du har konfigurerat din SAML 2.0-identitetsprovider för användning med Microsoft Entra-inloggning är nästa steg att ladda ned och installera Microsoft Graph PowerShell-modulen . När du har installerat dem använder du dessa cmdletar för att konfigurera dina Microsoft Entra-domäner som federerade domäner.

Microsoft Graph PowerShell-modulen är en nedladdning för hantering av organisationsdata i Microsoft Entra-ID. Den här modulen installerar en uppsättning cmdletar till PowerShell. du kör dessa cmdletar för att konfigurera enkel inloggningsåtkomst till Microsoft Entra-ID och i sin tur till alla molntjänster som du prenumererar på. Anvisningar om hur du laddar ned och installerar cmdletar finns i Installera Microsoft Graph PowerShell SDK.

Konfigurera ett förtroende mellan din SAML-identitetsprovider och Microsoft Entra-ID

Innan du konfigurerar federation på en Microsoft Entra-domän måste den ha en anpassad domän konfigurerad. Du kan inte federera standarddomänen som tillhandahålls av Microsoft. Standarddomänen från Microsoft slutar med onmicrosoft.com. Du kör en serie PowerShell-cmdletar för att lägga till eller konvertera domäner för enkel inloggning.

Varje Microsoft Entra-domän som du vill federera med hjälp av din SAML 2.0-identitetsprovider måste antingen läggas till som en domän för enkel inloggning eller konverteras till en domän för enkel inloggning från en standarddomän. Om du lägger till eller konverterar en domän konfigureras ett förtroende mellan din SAML 2.0-identitetsprovider och Microsoft Entra-ID.

Följande procedur vägleder dig genom att konvertera en befintlig standarddomän till en federerad domän med SAML 2.0 SP-Lite.

Kommentar

Domänen kan drabbas av ett avbrott som påverkar användare upp till 2 timmar efter att du har utfört det här steget.

Konfigurera en domän i Din Microsoft Entra-katalog för federation

  1. Anslut till din Microsoft Entra-katalog som innehavaradministratör:

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"

  2. Konfigurera önskad Microsoft 365-domän för att använda federation med SAML 2.0:

    $Domain = "contoso.com"  
$LogOnUrl = "https://WS2012R2-0.contoso.com/passiveLogon" 
$LogOffUrl = "https://WS2012R2-0.contoso.com/passiveLogOff" 
$ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" 
$MyUri = "urn:uri:MySamlp2IDP"
$idptokensigningcert = [System.Security.Cryptography.X509Certificates.X509Certificate2]("C:\temp\contosoidptokensign.cer")  
$MySigningCert = [system.convert]::tobase64string($idptokensigningcert.rawdata) 
$Protocol = "saml"

New-MgDomainFederationConfiguration `
  -DomainId $Domain `
  -ActiveSignInUri $ecpUrl `
  -IssuerUri $MyUri `
  -PassiveSignInUri $LogOnUrl `
  -PreferredAuthenticationProtocol $Protocol `
  -SignOutUri $LogOffUrl `
  -SigningCertificate $MySigningCert

  3. Du kan hämta signeringscertifikatets base64-kodade sträng från din IDP-metadatafil. Ett exempel på den här platsen finns nedan men kan skilja sig något beroende på din implementering.

    <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <KeyDescriptor use="signing">
    <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
     <X509Data>
       <X509Certificate> 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</X509Certificate>
      </X509Data>
    </KeyInfo>
  </KeyDescriptor>
</IDPSSODescriptor>

Mer information finns i New-MgDomainFederationConfiguration.

Kommentar

Du får bara använda $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" om du konfigurerar ett ECP-tillägg för din identitetsprovider. Exchange Online-klienter, exklusive Outlook Web Application (OWA), förlitar sig på en POST-baserad aktiv slutpunkt. Om DIN SAML 2.0 STS implementerar en aktiv slutpunkt som liknar Shibboleths ECP-implementering av en aktiv slutpunkt kan det vara möjligt för dessa omfattande klienter att interagera med Exchange Online-tjänsten.

När federationen har konfigurerats kan du växla tillbaka till "icke-federerad" (eller "hanterad"), men den här ändringen tar upp till två timmar att slutföra och den kräver tilldelning av nya slumpmässiga lösenord för molnbaserad inloggning till varje användare. Det kan krävas att du växlar tillbaka till "hanterad" i vissa scenarier för att återställa ett fel i inställningarna. Mer information om domänkonvertering finns i Remove-MgDomainFederationConfiguration.

Etablera användarobjekt till Microsoft Entra-ID/Microsoft 365

Innan du kan autentisera dina användare till Microsoft 365 måste du etablera Microsoft Entra-ID med användarobjekt som motsvarar försäkran i SAML 2.0-anspråket. Om dessa användarhuvudnamn inte är kända för Microsoft Entra-ID i förväg kan de inte användas för federerad inloggning. Antingen Microsoft Entra Anslut eller PowerShell kan användas för att etablera användarens huvudnamn.

Microsoft Entra Anslut kan användas för att etablera huvudkonton till dina domäner i Microsoft Entra-katalogen från lokal Active Directory. Mer detaljerad information finns i Integrera dina lokala kataloger med Microsoft Entra-ID.

PowerShell kan också användas för att automatisera tillägg av nya användare till Microsoft Entra-ID och synkronisera ändringar från den lokala katalogen. Om du vill använda PowerShell-cmdletarna måste du ladda ned Microsoft Graph PowerShell-modulen .

Den här proceduren visar hur du lägger till en enskild användare i Microsoft Entra-ID.

  1. Anslut till din Microsoft Entra-katalog som klientadministratör med hjälp av Anslut-MgGraph.

  2. Skapa ett nytt huvudnamn för användaren:

    $Password =  -join ((48..57) + (97..122) | Get-Random -Count 12 | % {[char]$_})
$PasswordProfile = @{ Password = "$Password" }

New-MgUser `
  -UserPrincipalName "elwoodf1@contoso.com" `
  -DisplayName "Elwood Folk" `
  -GivenName "Elwood" `
  -Surname "Folk" `
  -AccountEnabled `
  -MailNickName 'ElwoodFolk' `
  -OnPremisesImmutableId ABCDEFG1234567890 `
  -OtherMails "Elwood.Folk@contoso.com" `
  -PasswordProfile $PasswordProfile `
  -UsageLocation "US"

Mer information finns i New-MgUser.

Kommentar

Värdet "UserPrincipalName" måste matcha det värde som du skickar för "IDPEmail" i saml 2.0-anspråket och värdet "OnPremisesImmutableId" måste matcha värdet som skickas i din "NameID"-försäkran.

Verifiera enkel inloggning med din SAML 2.0 IDP

Innan du verifierar och hanterar enkel inloggning (kallas även identitetsfederation) granskar du informationen och utför stegen i följande artiklar för att konfigurera enkel inloggning med din SAML 2.0 SP-Lite-baserade identitetsprovider:

  1. Du har granskat Microsoft Entra SAML 2.0-protokollkraven
  2. Du har konfigurerat din SAML 2.0-identitetsprovider
  3. Installera PowerShell för enkel inloggning (SSO) med SAML 2.0-identitetsprovidern
  4. Konfigurera ett förtroende mellan SAML 2.0-identitetsprovidern och Microsoft Entra-ID
  5. Etablerade ett känt testanvändarens huvudnamn till Microsoft Entra ID (Microsoft 365) via antingen PowerShell eller Microsoft Entra Anslut.
  6. Konfigurera katalogsynkronisering med Hjälp av Microsoft Entra Anslut.

När du har konfigurerat enkel inloggning med din SAML 2.0 SP-Lite-baserade identitetsprovider bör du kontrollera att den fungerar korrekt. Mer information om hur du testar SAML-baserad enkel inloggning finns i Testa SAML-baserad enkel inloggning.

Kommentar

Om du konverterade en domän i stället för att lägga till en domän kan det ta upp till 24 timmar att konfigurera enkel inloggning. Innan du verifierar enkel inloggning bör du slutföra konfigurationen av Active Directory-synkronisering, synkronisera dina kataloger och aktivera dina synkroniserade användare.

Kontrollera manuellt att enkel inloggning har konfigurerats korrekt

Manuell verifiering innehåller fler steg som du kan vidta för att säkerställa att din SAML 2.0-identitetsprovider fungerar korrekt i många scenarier. Utför följande steg för att kontrollera att enkel inloggning har konfigurerats korrekt:

  1. Logga in på din molntjänst på en domänansluten dator med samma inloggningsnamn som du använder för företagets autentiseringsuppgifter.
  2. Välj i rutan lösenord. Om enkel inloggning har konfigurerats är lösenordsrutan skuggad och du ser följande meddelande: "Du måste nu logga in på <ditt företag>."
  3. Välj länken Logga in på <ditt företag> . Om du kan logga in konfigureras enkel inloggning.

Nästa steg