Öğretici: SAML tabanlı çoklu oturum açma bir uygulama için Azure Active Directory ile yapılandırın.Tutorial: Configure SAML-based single sign-on for an application with Azure Active Directory

Bu öğreticide Azure portal kullanılarak bir uygulama için Azure Active Directory (Azure AD) ile SAML tabanlı çoklu oturum açma yapılandırması yapılmaktadır.This tutorial uses the Azure portal to configure SAML-based single sign-on for an application with Azure Active Directory (Azure AD). Bu öğreticiyi kullanın, bir uygulamaya özgü öğretici kullanılamaz.Use this tutorial when an application-specific tutorial isn't available.

Bu öğreticide Azure portalda aşağıdaki işlemler gerçekleştirilmektedir:This tutorial uses the Azure portal to:

  • SAML tabanlı çoklu oturum açma modunu seçmeSelect the SAML-based single sign-on mode
  • Uygulamaya özgü etki alanını ve URL'leri yapılandırmaConfigure application-specific domain and URLs
  • Kullanıcı özniteliklerini yapılandırmaConfigure user attributes
  • SAML imzalama sertifikası oluşturmaCreate a SAML signing certificate
  • Uygulamaya kullanıcı atamaAssign users to the application
  • Uygulamada SAML tabanlı oturum açma yapılandırması gerçekleştirmeConfigure the application for SAML-based single sign-on
  • SAML ayarlarını test etmeTest the SAML settings

Başlamadan önceBefore you begin

  1. Azure AD kiracınız için uygulama eklenmemişse, bkz. hızlı başlangıç: Azure AD kiracınız için uygulama ekleme.If the application hasn't been added to your Azure AD tenant, see Quickstart: Add an application to your Azure AD tenant.

  2. Bilgi açıklanan için uygulama satıcınıza başvurun temel SAML seçenekleri.Ask your application vendor for the information described in Configure basic SAML options.

  3. Bu öğreticideki adımları test etmek için üretim dışı ortamda kullanın.Use a non-production environment to test the steps in this tutorial. Üretim ortamı dışında bir Azure AD ortamınız yoksa bir aylık deneme aboneliği oluşturabilirsiniz.If you don't have an Azure AD non-production environment, you can get a one-month trial.

  4. Oturum Azure portalında bir bulut uygulaması Yöneticisi veya Azure AD kiracınız için uygulama yönetici olarak.Sign in to the Azure portal as a cloud application admin, or an application admin for your Azure AD tenant.

Çoklu oturum açma modunu seçmeSelect a single sign-on mode

Azure AD kiracınızla bir uygulamayı ekledikten sonra uygulama için çoklu oturum açmayı yapılandırmaya hazırsınız.After you've added an application to your Azure AD tenant, you're ready to configure single sign-on for the application.

Çoklu oturum açma ayarlarını açmak için:To open the single sign-on settings:

  1. İçinde Azure portalında, sol gezinti panelinde seçin Azure Active Directory.In the Azure portal, on the left navigation panel, select Azure Active Directory.

  2. Altında Yönet içinde Azure Active Directory görüntülenen gezinti panelini seçin kurumsal uygulamalar.Under Manage in the Azure Active Directory navigation panel that appears, select Enterprise applications. Uygulamaları Azure AD kiracınızda rastgele oluşturulmuş bir örnek görünür.A random sample of the applications in your Azure AD tenant appears.

  3. İçinde uygulama türü menüsünde tüm uygulamalarıve ardından Uygula.In the Application Type menu, select All applications, and then select Apply.

  4. Çoklu oturum açmayı yapılandırmak istediğiniz uygulamanın adını seçin.Enter the name of the application for which you want to configure single sign-on. Örneğin, girdiğiniz GitHub test eklediğiniz uygulama yapılandırmak için uygulama ekleme hızlı başlangıç.For example, you can enter GitHub-test to configure the application you added in the add application quickstart.

    Uygulama arama çubuğunu gösteren ekran görüntüsü.

  5. Çoklu oturum açmayı yapılandırmak istediğiniz uygulamayı seçin.Choose the application for which you want to configure single sign-on.

  6. Altında Yönet bölümünden çoklu oturum açma.Under the Manage section, select Single sign-on.

  7. Seçin SAML çoklu oturum açmayı yapılandırmak için.Select SAML to configure single sign-on. Yukarı çoklu oturum açma SAML - Preview ile ayarlanmış sayfası görüntülenir.The Set up Single Sign-On with SAML - Preview page appears.

Temel SAML seçeneklerini yapılandırınConfigure basic SAML options

Etki alanını ve URL'leri yapılandırmak için:To configure the domain and URLs:

  1. Uygulama satıcısıyla iletişime geçerek aşağıdaki ayarlar için doğru bilgileri alın:Contact the application vendor to get the correct information for the following settings:

    Yapılandırma ayarıConfiguration setting SP ile başlatılanSP-Initiated idP ile başlatılanidP-Initiated AçıklamaDescription
    Tanımlayıcı (Varlık Kimliği)Identifier (Entity ID) Bazı uygulamalar için gereklidirRequired for some apps Bazı uygulamalar için gereklidirRequired for some apps Çoklu oturum açma yapılandırmasının yapıldığı uygulamayı benzersiz olarak tanımlar.Uniquely identifies the application for which single sign-on is being configured. Azure AD tanımlayıcısı SAML belirteç hedef kitlesi parametre olarak uygulamasına gönderir.Azure AD sends the identifier to the application as the Audience parameter of the SAML token. Bunu doğrulamak için uygulamayı bekleniyor.The application is expected to validate it. Bu değer ayrıca uygulama tarafından sağlanan SAML meta verilerinde Varlık Kimliği olarak da görünür.This value also appears as the Entity ID in any SAML metadata provided by the application.
    Yanıt URL'siReply URL İsteğe bağlıOptional GerekliRequired Uygulamanın SAML belirtecini almayı beklediği konumu belirtir.Specifies where the application expects to receive the SAML token. Yanıt URL'si, Onay Belgesi Tüketici Hizmeti (ACS) URL'si olarak da bilinir.The reply URL is also referred to as the Assertion Consumer Service (ACS) URL.
    Oturum Açma URL'siSign-on URL GerekliRequired BelirtmeyinDon't specify Kullanıcı bu URL'yi açtığında hizmet sağlayıcısı kimlik doğrulaması ve oturum açma için Azure AD'ye yönlendirir.When a user opens this URL, the service provider redirects to Azure AD to authenticate and sign on the user. Azure AD, Office 365 veya Azure AD erişim paneli uygulamayı başlatmak için URL'yi kullanır.Azure AD uses the URL to start the application from Office 365 or the Azure AD Access Panel. Boş bırakıldığında, Azure AD çoklu oturum açma kullanıcı uygulamayı başlattığında başlatmak için kimlik sağlayıcısını kullanır.When blank, Azure AD relies on the identity provider to start single sign-on when a user launches the application.
    Geçiş DurumuRelay State İsteğe bağlıOptional İsteğe bağlıOptional Uygulamaya kimlik doğrulaması tamamlandıktan sonra kullanıcının yönlendirileceği yeri belirtir.Specifies to the application where to redirect the user after authentication is completed. Genellikle uygulama için geçerli bir URL değerdir.Typically the value is a valid URL for the application. Ancak, bazı uygulamalar farklı bu alanı kullanın.However, some applications use this field differently. Daha fazla bilgi için uygulama satıcısına danışın.For more information, ask the application vendor.
    Oturum Kapatma URL'siLogout URL İsteğe bağlıOptional İsteğe bağlıOptional Uygulamaya SAML oturum kapatma yanıtları göndermek için kullanılır.Used to send the SAML Logout responses back to the application.
  2. Temel SAML yapılandırma seçeneklerini düzenlemek için seçin Düzenle sağ üst köşesindeki simgeyi (Kalem) temel SAML yapılandırma bölümü.To edit the basic SAML configuration options, select the Edit icon (a pencil) in the upper-right corner of the Basic SAML Configuration section.

    Sertifikaları yapılandırın

  3. Adım 1'de uygulama satıcısı tarafından sağlanan bilgileri sayfasında ilgili alanlara girin.In the appropriate fields on the page, enter the information provided by the application vendor in step 1.

  4. Sayfanın üst kısmında seçin Kaydet.At the top of the page, select Save.

Kullanıcı öznitelikleri ve talepler yapılandırınConfigure user attributes and claims

Bir kullanıcı oturum açtığında uygulamaya SAML belirtecindeki bilgileri Azure AD'ye gönderir denetleyebilirsiniz.You can control what information Azure AD sends to the application in the SAML token when a user signs in. Kullanıcı öznitelikleri yapılandırarak bu bilgi kontrol edebilirsiniz.You control this information by configuring user attributes. Örneğin, bir kullanıcı oturum açtığında, kullanıcının adı, e-posta ve çalışan kimliği uygulamasına göndermek için Azure AD yapılandırabilirsiniz.For example, you can configure Azure AD to send the user's name, email, and employee ID to the application when a user signs in.

Çoklu oturum açma işlevinin düzgün çalışması için bu öznitelikler gerekli veya isteğe bağlı olabilir.These attributes may be required or optional to make single sign-on work properly. Daha fazla bilgi için uygulamaya özgü öğreticiye bakın veya uygulama satıcısına sorun.For more information, see the application-specific tutorial, or ask the application vendor.

  1. Kullanıcı öznitelikleri ve talepler düzenlemek için seçin Düzenle sağ üst köşesindeki simgeyi (Kalem) kullanıcı öznitelikleri ve talepler bölümü.To edit user attributes and claims, select the Edit icon (a pencil) in the upper-right corner of the User Attributes and Claims section.

    Ad tanımlayıcı değeri varsayılan değeriyle ayarlayarak user.principalname.The Name Identifier Value is set with the default value of user.principalname. Kullanıcı tanımlayıcısı, uygulama içinde her kullanıcıyı benzersiz olarak tanımlar.The user identifier uniquely identifies each user within the application. Örneğin e-posta adresi hem kullanıcı adı hem de benzersiz tanıtıcı olarak kullanılıyorsa değeri user.mail olarak ayarlayın.For example, if the email address is both the username and the unique identifier, set the value to user.mail.

  2. Değiştirilecek ad tanımlayıcı değeriseçin Düzenle simgesini (Kalem) ad tanımlayıcı değeri alan.To modify the Name Identifier Value, select the Edit icon (a pencil) for the Name Identifier Value field. Gerektiğinde, kaynak ve tanımlayıcı biçimi uygun değişiklikleri yapın.Make the appropriate changes to the identifier format and source, as needed. İşiniz bittiğinde, değişiklikleri kaydedin.Save the changes when you're done. Talep özelleştirme hakkında daha fazla bilgi için bkz. kurumsal uygulamalar için SAML belirtecinde verilen talepleri özelleştirme nasıl yapılır makalesi.For more information about customizing claims, see the Customize claims issued in the SAML token for enterprise applications how-to article.

  3. Bir talep eklemek için seçin Ekle yeni talep sayfanın üstünde.To add a claim, select Add new claim at the top of the page. Girin adı ve uygun kaynak seçin.Enter the Name and select the appropriate source. Seçerseniz özniteliği kaynağı seçin gerekir kaynak özniteliği kullanmak istiyorsunuz.If you select the Attribute source, you'll need to choose the Source attribute you want to use. Seçerseniz çeviri kaynağı seçin gerekir dönüştürme ve parametresi 1 kullanmak istiyorsunuz.If you select the Translation source, you'll need to choose the Transformation and Parameter 1 you want to use.

  4. Kaydet’i seçin.Select Save. Yeni Talep tabloda görüntülenir.The new claim appears in the table.

SAML imzalama sertifikası oluşturmaGenerate a SAML signing certificate

Azure AD, uygulamaya gönderdiği SAML belirteçlerini imzalamak için bir sertifika kullanır.Azure AD uses a certificate to sign the SAML tokens that it sends to the application.

  1. Yeni bir sertifika oluşturmak üzere Düzenle sağ üst köşesindeki simgeyi (Kalem) SAML imzalama sertifikası bölümü.To generate a new certificate, select the Edit icon (a pencil) in the upper-right corner of the SAML Signing Certificate section.

  2. İçinde SAML imzalama sertifikası bölümünden yeni sertifika.In the SAML Signing Certificate section, select New Certificate.

  3. Görünen yeni sertifika satırda ayarlamak sona erme tarihi.In the new certificate row that appears, set the Expiration Date. Kullanılabilir yapılandırma seçenekleri hakkında daha fazla bilgi için bkz. Gelişmiş Sertifika İmzalama Seçenekleri makalesi.For more information about available configuration options, see the Advanced certificate signing options article.

  4. Seçin Kaydet en üstündeki SAML imzalama sertifikası bölümü.Select Save at the top of the SAML Signing Certificate section.

Uygulamaya kullanıcı atamaAssign users to the application

Çoklu oturum açma çeşitli kullanıcılar veya gruplar uygulamayı kuruluşunuzun sunmaya önce test etmek için iyi bir fikirdir.It's a good idea to test the single sign-on with several users or groups before rolling out the application to your organization.

Not

Bu adımları atmanız kullanıcılar ve gruplar Portalı'nda yapılandırma bölümü.These steps take you to the Users and groups configuration section in the portal. İşiniz bittiğinde, geri gidin gerekecektir çoklu oturum açma öğreticiyi tamamlamak için bölüm.When you finish, you'll need to navigate back to the Single sign-on section to complete the tutorial.

Uygulamaya kullanıcı veya grup atamak için:To assign a user or group to the application:

  1. Zaten açık değilse portalda uygulamayı açın.Open the application in the portal, if it isn't already open.
  2. Uygulama için sol gezinti panelinde seçin kullanıcılar ve gruplar.In the left navigation panel for the application, select Users and groups.
  3. Seçin Kullanıcı Ekle.Select Add user.
  4. İçinde atama Ekle bölümünden kullanıcılar ve gruplar.In the Add Assignment section, select Users and groups.
  5. Belirli bir kullanıcı bulmak için kullanıcı adını yazın. üye seçin veya bir dış kullanıcıyı davet kutusu.To find a specific user, type the user name into the Select member or invite an external user box. Ardından, kullanıcının profil fotoğrafı veya logoyu seçin ve ardından seçin.Then, select the user’s profile photo or logo, and then choose Select.
  6. İçinde atama Ekle bölümünden atama.In the Add Assignment section, select Assign. İşiniz bittiğinde, Seçilen kullanıcılara görünür kullanıcılar ve gruplar listesi.When finished, the selected users appear in the Users and groups list.

Uygulama Azure AD'yi kullanacak şekilde ayarlamaSet up the application to use Azure AD

Neredeyse bitti.You're almost done. Son adım olarak, uygulamanın SAML kimlik sağlayıcısı Azure AD'yi kullanacak şekilde ayarlamanız gerekir.As a final step, you need to set up the application to use Azure AD as a SAML identity provider.

  1. Ekranı aşağı kaydırarak ayarlanan bölümü.Scroll down to the Set up section. Bu öğreticide, bu bölümde çağrılır GitHub testi ayarlama.For this tutorial, this section is called Set up GitHub-test.
  2. Bu bölümdeki her satırın değerini kopyalayın.Copy the value from each row in this section. Ardından, her değeri uygun satıra yapıştırın temel SAML yapılandırma bölümü.Then, paste each value into the appropriate row in the Basic SAML Configuration section. Örneğin, kopyalama oturum açma URL'si değerini GitHub testi ayarlama yapıştırın ve bölüm işareti bulunan URL'si alanındaki temel SAML yapılandırma bölümü ve benzeri.For example, copy the Login URL value from the Set up GitHub-test section and paste it into the Sign On URL field in the Basic SAML Configuration section, and so on.
  3. Tüm değerleri uygun alanlara yapıştırdığım zaman seçin Kaydet.When you've pasted all the values into the appropriate fields, select Save.

Çoklu oturum açma testiTest single sign-on

Ayarlarınızı test etme hazırsınız demektir.You're ready to test your settings.

  1. Uygulamanızın çoklu oturum açma ayarlarını açın.Open the single sign-on settings for your application.
  2. Kaydırma ile çoklu oturum açmayı doğrula bölümü.Scroll to the Validate single sign-on with section. Bu öğreticide, bu bölümde çağrılır GitHub testi ayarlama.For this tutorial, this section is called Set up GitHub-test.
  3. Seçin Test.Select Test. Test seçenekleri açılır.The testing options appear.
  4. Seçin geçerli kullanıcı olarak oturum açma.Select Sign in as current user. Bu test çoklu oturum açma, yönetici çalışmıyorsa ilk görmenizi sağlarThis test lets you first see if single sign-on works for you, the admin.

Bir hata varsa, bir hata iletisi görüntülenir.If there's an error, an error message appears. Aşağıdaki adımları tamamlayın:Complete the following steps:

  1. Hatayla ilgili bilgileri kopyalayıp Hata neye benziyor? kutusuna yapıştırın.Copy and paste the specifics into the What does the error look like? box.

    Çözüm rehberliği alın

  2. Seçin çözümleme Hadoop'u.Select Get resolution guidance. Kök nedeni ve çözümü kılavuzu görünür.The root cause and resolution guidance appear. Bu örnekte, kullanıcı uygulamaya atanan değildi.In this example, the user wasn't assigned to the application.

  3. Çözüm Kılavuzu okuyun ve ardından, mümkünse sorunu düzeltin.Read the resolution guidance and then, if possible, fix the issue.

  4. Testi başarıyla tamamlana kadar tekrarlayın.Run the test again until it completes successfully.

Sonraki adımlarNext steps

Bu öğreticide, bir uygulama için çoklu oturum açma ayarları yapılandırıldı.In this tutorial, you configured the single sign-on settings for an application. Yapılandırmayı tamamladıktan sonra uygulamaya kullanıcı atadınız ve uygulamayı SAML tabanlı çoklu oturum açmayı kullanacak şekilde yapılandırdınız.After finishing the configuration, you assigned a user to the application, and configured the application to use SAML-based single sign-on. Bu işlerin tümünü tamamladığınızda SAML oturum açma işlevinin düzgün çalıştığını doğruladınız.When all of this work was finished, you verified the SAML sign-on is working properly.

Şu işlemleri yaptınız:You did these things:

  • Çoklu oturum açma modu olarak SAML seçtinizSelected SAML for the single sign-on mode
  • Etki alanını ve URL'leri yapılandırmak için uygulama satıcısıyla iletişime geçtinizContacted the application vendor to configure domain and URLs
  • Kullanıcı özniteliklerini yapılandırdınızConfigured user attributes
  • SAML imzalama sertifikası oluşturdunuzCreated a SAML signing certificate
  • Uygulamaya el ile kullanıcı veya grup atadınızManually assigned users or groups to the application
  • Uygulama SAML kimlik sağlayıcısı Azure AD'yi kullanacak şekilde yapılandırılmışConfigured the application to use Azure AD as a SAML identity provider
  • SAML tabanlı çoklu oturum açmayı test ettinizTested the SAML-based single sign-on

Kuruluşunuzda daha fazla kullanıcı uygulamayı kullanıma alma için otomatik kullanıcı hazırlama'ı kullanın.To roll out the application to more users in your organization, use automatic user provisioning.