SAML tabanlı çoklu oturum açmayı yapılandırmaHow to configure SAML-based single sign-on

Azure AD kurumsal uygulamalarınıza bir uygulama ekledikten sonra, çoklu oturum açma ayarlarını yapılandırırsınız.After you've added an app to your Azure AD Enterprise Applications, you configure single sign-on settings. Bu makalede, Galeri dışı bir uygulama için SAML tabanlı çoklu oturum açma 'nın nasıl yapılandırılacağı açıklanır.This article describes how to configure SAML-based single sign-on for a non-gallery app.

Not

Galeri uygulaması ekleniyor mu?Adding a gallery app? SaaS uygulama öğreticileri listesinde adım adım kurulum yönergelerini bulunFind step-by-step setup instructions in the list of SaaS app tutorials

Galeri dışı bir uygulama için kod yazmadançoklu oturum açmayı yapılandırmak için bir aboneliğiniz veya Azure AD Premium olması gerekir ve uygulamanın SAML 2,0 ' i desteklemesi gerekir.To configure single sign-on for a non-gallery application without writing code, you need to have a subscription or Azure AD Premium and the application must support SAML 2.0. Azure AD sürümleri hakkında daha fazla bilgi için Azure AD fiyatlandırmasıziyaret edin.For more information about Azure AD versions, visit Azure AD pricing.

Başlamadan önceBefore you begin

  • Uygulama Azure AD kiracınıza eklenmemişse, bkz. Galeri uygulaması ekleme veya Galeri dışı bir uygulama ekleme.If the application hasn't been added to your Azure AD tenant, see Add a gallery app or Add a non-gallery app.

  • Aşağıdaki ayarlarla ilgili doğru bilgileri almak için uygulama satıcınıza başvurun:Contact your application vendor to get the correct information for the following settings:

    Temel SAML yapılandırma ayarıBasic SAML Configuration setting SP ile başlatılanSP-Initiated idP ile başlatılanidP-Initiated AçıklamaDescription
    Tanımlayıcı (Varlık Kimliği)Identifier (Entity ID) Bazı uygulamalar için gereklidirRequired for some apps Bazı uygulamalar için gereklidirRequired for some apps Çoklu oturum açma yapılandırmasının yapıldığı uygulamayı benzersiz olarak tanımlar.Uniquely identifies the application for which single sign-on is being configured. Azure AD, kimliği, SAML belirtecinin hedef kitle parametresi olarak uygulamaya gönderir.Azure AD sends the identifier to the application as the Audience parameter of the SAML token. Uygulamanın doğrulaması bekleniyordu.The application is expected to validate it. Bu değer ayrıca uygulama tarafından sağlanan SAML meta verilerinde Varlık Kimliği olarak da görünür.This value also appears as the Entity ID in any SAML metadata provided by the application. Bu değeri, uygulama tarafından gönderilen Authisteynveren ( SAML isteği) öğesi olarak bulabilirsiniz.You can find this value as the Issuer element in the AuthnRequest (SAML request) sent by the application.
    Yanıt URL'siReply URL İsteğe BağlıOptional GerekliRequired Uygulamanın SAML belirtecini almayı beklediği konumu belirtir.Specifies where the application expects to receive the SAML token. Yanıt URL'si, Onay Belgesi Tüketici Hizmeti (ACS) URL'si olarak da bilinir.The reply URL is also referred to as the Assertion Consumer Service (ACS) URL.
    Oturum Açma URL'siSign-on URL GerekliRequired BelirtmeyinDon't specify Kullanıcı bu URL'yi açtığında hizmet sağlayıcısı kimlik doğrulaması ve oturum açma için Azure AD'ye yönlendirir.When a user opens this URL, the service provider redirects to Azure AD to authenticate and sign on the user. Azure AD, uygulamayı Office 365 veya Azure AD erişim panelinden başlatmak için URL 'YI kullanır.Azure AD uses the URL to start the application from Office 365 or the Azure AD Access Panel. Boş olduğunda, Azure AD, Kullanıcı uygulamayı başlattığında çoklu oturum açmayı başlatmak üzere kimlik sağlayıcısını kullanır.When blank, Azure AD relies on the identity provider to start single sign-on when a user launches the application.
    Geçiş DurumuRelay State İsteğe BağlıOptional İsteğe BağlıOptional Uygulamaya kimlik doğrulaması tamamlandıktan sonra kullanıcının yönlendirileceği yeri belirtir.Specifies to the application where to redirect the user after authentication is completed. Genellikle değer uygulamanın geçerli bir URL 'sidir.Typically the value is a valid URL for the application. Ancak, bazı uygulamalar bu alanı farklı şekilde kullanır.However, some applications use this field differently. Daha fazla bilgi için uygulama satıcısına danışın.For more information, ask the application vendor.
    Oturum Kapatma URL'siLogout URL İsteğe BağlıOptional İsteğe BağlıOptional SAML oturum kapatma yanıtlarını uygulamaya geri göndermek için kullanılır.Used to send the SAML Logout responses back to the application.

1.AdımStep 1. Temel SAML yapılandırmasını düzenlemeEdit the Basic SAML Configuration

  1. Azure Portal bir bulut uygulaması Yöneticisi veya Azure AD kiracınız için bir uygulama Yöneticisi olarak oturum açın.Sign in to the Azure portal as a cloud application admin, or an application admin for your Azure AD tenant.

  2. Azure Active Directory > Kurumsal uygulamalar ' a gidin ve listeden uygulamayı seçin.Navigate to Azure Active Directory > Enterprise applications and select the application from the list.

    • Uygulamayı aramak için, uygulama türü menüsünde, tüm uygulamalar' ı seçin ve ardından Uygula' yı seçin.To search for the application, in the Application Type menu, select All applications, and then select Apply. Arama kutusuna uygulamanın adını girin ve sonra sonuçlardan uygulamayı seçin.Enter the name of the application in the search box, and then select the application from the results.
  3. Yönet bölümünde Çoklu oturum açma' yı seçin.Under the Manage section, select Single sign-on.

  4. SAML'yi seçin.Select SAML. SAML Ile çoklu oturum açmayı ayarlama sayfası açılır .The Set up Single Sign-On with SAML - Preview page appears.

  5. Temel SAML yapılandırma seçeneklerini düzenlemek için, temel SAML yapılandırması bölümünün sağ üst köşesindeki Düzenle simgesini (bir kurşun kalem) seçin.To edit the basic SAML configuration options, select the Edit icon (a pencil) in the upper-right corner of the Basic SAML Configuration section.

    Sertifikaları yapılandırın

  6. Uygun alanlarda, başlamadan önce bölümünde açıklanan bilgileri girin.In the appropriate fields, enter the information described in the Before you begin section.

  7. Sayfanın en üstünde Kaydet' i seçin.At the top of the page, select Save.

2.AdımStep 2. Kullanıcı özniteliklerini ve taleplerini yapılandırmaConfigure User attributes and claims

Bir uygulama, Kullanıcı oturum açtığında Azure AD 'den aldığı SAML belirtecinde belirli Kullanıcı öznitelikleri veya talepler gerektirebilir.An application might require specific user attributes or claims in the SAML token it receives from Azure AD when a user signs in. Örneğin, belirli talep URI 'Leri veya talep değerleri gerekli olabilir veya Microsoft Identity platformunda depolanan kullanıcı adından farklı bir ad olması gerekebilir.For example, specific claim URIs or claim values could be required, or Name might need to be something other than the username stored in Microsoft identity platform. Galeri uygulamaları için gereksinimler uygulamaya özgü öğreticilerdeaçıklanmıştır veya uygulama satıcısına danışabilirsiniz.Requirements for gallery apps are described in the application-specific tutorials, or you can ask the application vendor. Kullanıcı özniteliklerini ve taleplerini yapılandırmaya yönelik genel adımlar aşağıda açıklanmıştır.The general steps for configuring user attributes and claims are described below.

  1. Kullanıcı öznitelikleri ve talepler bölümünde sağ üst köşedeki düzenleme simgesini (bir kurşun kalem) seçin.In the User Attributes and Claims section, select the Edit icon (a pencil) in the upper-right corner.

  2. Ad tanımlayıcı değerinidoğrulayın.Verify the Name Identifier Value. Varsayılan değer User. PrincipalName' dır.The default value is user.principalname. Kullanıcı tanımlayıcısı, uygulama içinde her kullanıcıyı benzersiz olarak tanımlar.The user identifier uniquely identifies each user within the application. Örneğin e-posta adresi hem kullanıcı adı hem de benzersiz tanıtıcı olarak kullanılıyorsa değeri user.mail olarak ayarlayın.For example, if the email address is both the username and the unique identifier, set the value to user.mail.

  3. Ad tanımlayıcı değerinideğiştirmek Için ad tanımlayıcı değer alanı için düzenleme simgesini (bir kurşun kalem) seçin.To modify the Name Identifier Value, select the Edit icon (a pencil) for the Name Identifier Value field. Gerektiğinde tanımlayıcı biçiminde ve kaynakta uygun değişiklikleri yapın.Make the appropriate changes to the identifier format and source, as needed. Ayrıntılar için bkz. NameID 'Yi düzenlemeyle.For details, see Editing NameId. İşiniz bittiğinde değişiklikleri kaydedin.Save the changes when you're done.

  4. Grup taleplerini yapılandırmak için talep alanında döndürülen gruplar için Düzenle simgesini seçin.To configure group claims, select the Edit icon for the Groups returned in claim field. Ayrıntılar için bkz. Grup taleplerini yapılandırma.For details, see Configure group claims.

  5. Talep eklemek için sayfanın en üstünde yeni talep Ekle ' yi seçin.To add a claim, select Add new claim at the top of the page. Adı girin ve uygun kaynağı seçin.Enter the Name and select the appropriate source. Öznitelik kaynağını seçerseniz, kullanmak istediğiniz kaynak özniteliğini seçmeniz gerekir.If you select the Attribute source, you'll need to choose the Source attribute you want to use. Çeviri kaynağını seçerseniz, kullanmak istediğiniz dönüştürme ve parametre 1 ' i seçmeniz gerekir.If you select the Translation source, you'll need to choose the Transformation and Parameter 1 you want to use. Ayrıntılar için bkz. uygulamaya özgü talepler ekleme.For details, see Adding application-specific claims. İşiniz bittiğinde değişiklikleri kaydedin.Save the changes when you're done.

  6. Kaydet’i seçin.Select Save. Yeni talep tabloda görüntülenir.The new claim appears in the table.

    Not

    SAML belirtecini Azure AD 'den uygulamanıza özelleştirmenin ek yolları için aşağıdaki kaynaklara bakın.For additional ways to customize the SAML token from Azure AD to your application, see the following resources.

Adım 3.Step 3. SAML imzalama sertifikasını yönetmeManage the SAML signing certificate

Azure AD, uygulamanın gönderdiği SAML belirteçlerini imzalamak için bir sertifika kullanır.Azure AD uses a certificate to sign the SAML tokens it sends to the application. SAML Ile çoklu oturum açmayı ayarlama sayfasında etkin sertifikayı görüntüleyebilir veya indirebilirsiniz.On the Set up Single Sign-On with SAML page, you can view or download the active certificate. Ayrıca bir sertifikayı güncelleştirebilir, oluşturabilir veya içeri aktarabilirsiniz.You can also update, create, or import a certificate. Galeri uygulamaları için, sertifika biçimiyle ilgili ayrıntılar, uygulamanın SAML belgelerinde bulunur ( uygulamaya özgü öğreticilerebakın).For gallery applications, details about the certificate format are available in the application’s SAML documentation (see the application-specific tutorials).

  1. SAML Imzalama sertifikası bölümüne gidin.Go to the SAML Signing Certificate section. Uygulamanın türüne bağlı olarak Sertifikayı Base64 biçiminde, ham biçimde veya Federasyon meta veri XML dosyasında indirme seçeneklerini görürsünüz.Depending on the type of application, you'll see options to download the certificate in Base64 format, Raw format, or Federation Metadata XML. Azure AD Ayrıca, https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>uygulama Federasyon meta veri URL 'sini de sağlar.Azure AD also provides the App Federation Metadata Url where you can access the metadata specific to the application in the format https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.

  2. Bir sertifikayı yönetmek, oluşturmak veya içeri aktarmak için SAML Imzalama sertifikası bölümünün sağ üst köşesindeki Düzenle simgesini (bir kurşun kalem) seçin ve ardından aşağıdakilerden birini yapın:To manage, create, or import a certificate, select the Edit icon (a pencil) in the upper-right corner of the SAML Signing Certificate section, and then do any of the following:

    • Yeni bir sertifika oluşturmak için Yeni sertifika' yı seçin, sona erme tarihi' ni seçin ve ardından Kaydet' i seçin.To create a new certificate, select New Certificate, select the Expiration Date, and then select Save. Sertifikayı etkinleştirmek için bağlam menüsünü ( ... ) seçin ve sertifikayı etkin yap' ı seçin.To activate the certificate, select the context menu (...) and select Make certificate active.
    • Özel anahtar ve PFX kimlik bilgileriyle bir sertifikayı karşıya yüklemek için sertifikayı Içeri aktar ' ı seçin ve sertifikaya gidin.To upload a certificate with private key and pfx credentials, select Import Certificate and browse to the certificate. PFX parolasınıgirin ve ardından Ekle' yi seçin.Enter the PFX Password, and then select Add.
    • Gelişmiş sertifika imzalama seçeneklerini yapılandırmak için aşağıdaki seçenekleri kullanın.To configure advanced certificate signing options, use the following options. Bu seçeneklerin açıklamaları için bkz. Gelişmiş sertifika imzalama seçenekleri makalesi.For descriptions of these options, see the Advanced certificate signing options article.
      • Imzalama seçeneği açılan LISTESINDE, SAML yanıtı imzala, SAML onayını imzalaveya SAML yanıtı ve onaylamaimzası ' nı seçin.In the Signing Option drop-down list, choose Sign SAML response, Sign SAML assertion, or Sign SAML response and assertion.
      • Imzalama algoritması açılan listesinde, SHA-1 veya SHA-256' ı seçin.In the Signing Algorithm drop-down list, choose SHA-1 or SHA-256.
    • Etkin sertifikanın sona erme tarihine yaklaştığındaki ek kişilere bildirmek için, bildirim e-posta adresleri alanlarına e-posta adreslerini girin.To notify additional people when the active certificate is near its expiration date, enter the email addresses in the Notification email addresses fields.
  3. SAML Imzalama sertifikası bölümünün en üstünde bulunan Kaydet ' i seçin.Select Save at the top of the SAML Signing Certificate section.

4. adımı.Step 4. Uygulamayı Azure AD kullanacak şekilde ayarlamaSet up the application to use Azure AD

ApplicationName <> ayarla bölümünde, Azure AD 'yi bir SAML kimlik sağlayıcısı olarak kullanacak şekilde uygulamada yapılandırılması gereken değerler listelenmiştir.The Set up <applicationName> section lists the values that need to be configured in the application so it will use Azure AD as a SAML identity provider. Gerekli değerler uygulamaya göre farklılık gösterir.The required values vary according to the application. Ayrıntılar için bkz. uygulamanın SAML belgeleri.For details, see the application's SAML documentation.

  1. Aşağı kaydırarak <> Kurulum ApplicationName bölümüne gidin.Scroll down to the Set up <applicationName> section.
  2. Bu bölümdeki her satırdaki değeri gereken şekilde kopyalayın ve değeri uygulamaya eklemek için uygulamaya özgü yönergeleri izleyin.Copy the value from each row in this section as needed and follow the application-specific instructions for adding the value to the application. Galeri uygulamaları için adım adım yönergeleri görüntüle' yi seçerek belgeleri görüntüleyebilirsiniz.For gallery apps, you can view the documentation by selecting View step-by-step instructions.
    • Oturum açma URL 'si ve oturum kapatma URL 'Si değerleri, Azure AD örneğiniz için SAML istek işleme uç noktası olan aynı uç noktaya çözümlenir.The Login URL and Logout URL values both resolve to the same endpoint, which is the SAML request-handling endpoint for your instance of Azure AD.
    • Azure AD tanımlayıcısı , uygulamaya verilen SAML belirtecindeki veren 'in değeridir.The Azure AD Identifier is the value of the Issuer in the SAML token issued to the application.
  3. Tüm değerleri uygun alanlara yapıştırdığınızda Kaydet' i seçin.When you've pasted all the values into the appropriate fields, select Save.

5. adımı.Step 5. Çoklu oturum açmayı doğrulaValidate single sign-on

Tek bir oturum açma, yönetici için çalışıp çalışmadığını görmek için ayarları test etmeye hazırsınız.You're ready to test the settings to see if single sign-on works for you, the admin.

  1. Uygulamanızın çoklu oturum açma ayarlarını açın.Open the single sign-on settings for your application.
  2. İle çoklu oturum açmayı doğrula bölümüne gidin.Scroll to the Validate single sign-on with section. Bu öğreticide, bu bölüm GitHub-test ayarlamaolarak adlandırılır.For this tutorial, this section is called Set up GitHub-test.
  3. Test' i seçin.Select Test. Test seçenekleri açılır.The testing options appear.
  4. Geçerli kullanıcı olarak oturum aç ' ı seçin.Select Sign in as current user.

Oturum açma işlemi başarılı olursa, SAML uygulamanıza Kullanıcı ve grup atamaya hazırsınız demektir.If sign-on is successful, you're ready to assign users and groups to your SAML application. Bir hata iletisi görünürse, aşağıdaki adımları izleyin:If an error message appears, complete the following steps:

  1. Hatayla ilgili bilgileri kopyalayıp Hata neye benziyor? kutusuna yapıştırın.Copy and paste the specifics into the What does the error look like? box.

    Çözüm kılavuzunu almak için "hata nasıl görünür?" kutusunu kullanın

  2. Çözüm kılavuzunu al' ı seçin.Select Get resolution guidance. Kök nedeni ve çözüm kılavuzu görüntülenir.The root cause and resolution guidance appear. Bu örnekte, Kullanıcı uygulamaya atanmamıştır.In this example, the user wasn't assigned to the application.

  3. Çözüm kılavuzunu okuyun ve mümkünse sorunu düzeltemedi.Read the resolution guidance and then, if possible, fix the issue.

  4. Testi başarıyla tamamlana kadar tekrarlayın.Run the test again until it completes successfully.

Sonraki adımlarNext steps