Azure Active Directory'de uygulamalar için çoklu oturum açmaSingle sign-on to applications in Azure Active Directory

Çoklu oturum açma (SSO), kullanıcılar Azure Active Directory (Azure AD) uygulamalarında oturum açtığında güvenlik ve kolaylık sağlar.Single sign-on (SSO) adds security and convenience when users sign-on to applications in Azure Active Directory (Azure AD). Bu makalede, çoklu oturum açma yöntemleri açıklanmakta ve uygulamalarınızı yapılandırırken en uygun SSO yöntemini seçmenize yardımcı olur.This article describes the single sign-on methods, and helps you choose the most appropriate SSO method when configuring your applications.

  • Çoklu oturum açma ile, kullanıcıların etki alanına katılmış cihazlara erişmek için bir hesap ile bir kez oturum şirket kaynakları, yazılım olarak hizmet (SaaS) uygulamaları ve web uygulamaları.With single sign-on, users sign in once with one account to access domain-joined devices, company resources, software as a service (SaaS) applications, and web applications. Kullanıcı, oturum açtıktan sonra Office 365 portalında veya Azure AD MyApps erişim paneli uygulamaları başlatabilir.After signing in, the user can launch applications from the Office 365 portal or the Azure AD MyApps access panel. Yöneticiler kullanıcı hesabı yönetimini merkezden gerçekleştirin ve otomatik olarak ekleyebilir veya grup üyeliğine dayalı uygulamalara kullanıcı erişimini kaldırabilirsiniz.Administrators can centralize user account management, and automatically add or remove user access to applications based on group membership.

  • Çoklu oturum açma olmadan, kullanıcılar uygulamaya özgü hatırlamak ve her uygulama için oturum açın.Without single sign-on, users must remember application-specific passwords and sign in to each application. Office 365 kutusu ve Salesforce gibi her bir uygulama için kullanıcı hesaplarını oluşturmak için BT personeli gerekir.IT staff needs to create and update user accounts for each application such as Office 365, Box, and Salesforce. Kullanıcıların parolalarını unutmayın yanı sıra her bir uygulama için oturum açmak için kullanacağınız gerekir.Users need to remember their passwords, plus spend the time to sign in to each application.

Tek bir oturum açma yöntemi seçmeChoosing a single sign-on method

Bir uygulama için çoklu oturum açmayı yapılandırmak için birkaç yolu vardır.There are several ways to configure an application for single sign-on. Çoklu oturum açma yönteminin seçilmesi, uygulamanın kimlik doğrulaması için nasıl yapılandırıldığına bağlıdır.Choosing a single sign-on method depends on how the application is configured for authentication.

  • Bulut uygulamaları, çoklu oturum açma için OpenID Connect, OAuth, SAML, parola tabanlı, bağlantılı veya devre dışı Yöntemler kullanabilir.Cloud applications can use OpenID Connect, OAuth, SAML, password-based, linked, or disabled methods for single sign-on.
  • Şirket içi uygulamaları, parola tabanlı, tümleşik Windows kimlik doğrulaması, çoklu oturum açma için üst bilgi tabanlı, bağlantılı veya devre dışı yöntemleri kullanabilir.On-premises applications can use password-based, Integrated Windows Authentication, header-based, linked, or disabled methods for single sign-on. Uygulamalar, uygulama proxy'si için yapılandırıldığında, şirket içi seçenekler çalışır.The on-premises choices work when applications are configured for Application Proxy.

Bu akış, hangi çoklu oturum açma yöntemi, sizin durumunuz için en iyi olduğuna karar vermenize yardımcı olur.This flowchart helps you decide which single sign-on method is best for your situation.

Çoklu oturum açma yöntemi için karar akış çizelgesi

Aşağıdaki tabloda, tek oturum açma yöntemleri özetler ve daha fazla ayrıntı için bağlantılar.The following table summarizes the single sign-on methods, and links to more details.

Çoklu oturum açma yöntemiSingle sign-on method Uygulama türleriApplication types Kullanılması gereken durumlarWhen to use
OpenID Connect ve OAuthOpenID Connect and OAuth yalnızca bulutcloud only Yeni bir uygulama geliştirirken OpenID Connect ve OAuth kullanın.Use OpenID Connect and OAuth when developing a new application. Bu protokol uygulama yapılandırmasını basitleştirir, kullanımı kolay SDK 'lara sahiptir ve uygulamanızın MS Graf kullanmasını sağlar.This protocol simplifies application configuration, has easy-to-use SDKs, and enables your application to use MS Graph.
SAMLSAML Bulut ve şirket içicloud and on-premises OpenID Connect veya OAuth kullanmayan mevcut uygulamalar için mümkün olduğunda SAML 'yi seçin.Choose SAML whenever possible for existing applications that do not use OpenID Connect or OAuth. SAML, SAML protokollerinden birini kullanarak kimlik doğrulaması yapan uygulamalar için geçerlidir.SAML works for applications that authenticate using one of the SAML protocols.
Parola tabanlıPassword-based Bulut ve şirket içicloud and on-premises Uygulamanın Kullanıcı adı ve parolayla kimlik doğrulaması yaparken parola tabanlı ' yı seçin.Choose password-based when the application authenticates with username and password. Parola tabanlı çoklu oturum açma güvenli uygulama parola depolama ve bir web tarayıcısı uzantısı veya mobil uygulama kullanarak yeniden yürütme sağlar.Password-based single sign-on enables secure application password storage and replay using a web browser extension or mobile app. Bu yöntem, uygulama tarafından sağlanan mevcut oturum açma işlemi kullanır, ancak yönetici parolaları yönetmek etkinleştirir.This method uses the existing sign-in process provided by the application, but enables an administrator to manage the passwords.
BağlıLinked Bulut ve şirket içicloud and on-premises Uygulama, başka bir kimlik sağlayıcısı hizmetinde çoklu oturum açma için yapılandırıldığında, bağlantılı oturum açma seçeneğini belirleyin.Choose linked sign-on when the application is configured for single sign-on in another identity provider service. Bu seçenek varsayılan olarak, uygulamayı çoklu oturum açma eklemez.This option doesn't add single sign-on to the application. Ancak, uygulamanın tek Active Directory Federasyon Hizmetleri gibi başka bir hizmet kullanılarak uygulanan oturum zaten olabilir.However, the application might already have single sign-on implemented using another service such as Active Directory Federation Services.
Devre dışıDisabled Bulut ve şirket içicloud and on-premises Uygulama çoklu oturum açma için yapılandırılmaya Hazırlanmadıysa, çoklu oturum açmayı devre dışı bırak seçeneğini belirleyin.Choose disabled single sign-on when the app isn't ready to be configured for single sign-on. Kullanıcıların, bunlar bu uygulamayı başlatmak her seferinde kullanıcı adı ve parola girmeniz gerekir.Users need to enter their username and password every time they launch this application.
Tümleşik Windows kimlik doğrulaması (IWA)Integrated Windows Authentication (IWA) yalnızca şirket içion-premises only Tümleşik Windows kimlik doğrulaması (IWA)veya talep kullanan uygulamalar kullanan uygulamalar için IWA çoklu oturum açma seçeneğini belirleyin.Choose IWA single sign-on for applications that use Integrated Windows Authentication (IWA), or claims-aware applications. IWA için uygulama proxy bağlayıcıları, kullanıcıların uygulama kimliğini doğrulamak için Kerberos kısıtlı temsilcisini (KCD) kullanır.For IWA, the Application Proxy connectors use Kerberos Constrained Delegation (KCD) to authenticate users to the application.
Üst bilgi tabanlıHeader-based yalnızca şirket içion-premises only Uygulama için kimlik doğrulama üst bilgileri kullandığında üst bilgi tabanlı çoklu oturum açma kullanın.Use header-based single sign-on when the application uses headers for authentication. Üst bilgi tabanlı çoklu oturum açma, Azure AD için PingAccess gerektirir.Header-based single sign-on requires PingAccess for Azure AD. Uygulama Ara sunucusu kullanıcının kimliğini doğrulamak için Azure AD kullanır ve ardından bağlayıcı hizmetini üzerinden geçen trafik geçirir.Application Proxy uses Azure AD to authenticate the user and then passes traffic through the connector service.

OpenID Connect ve OAuthOpenID Connect and OAuth

Yeni uygulamalar geliştirirken, birden çok cihaz platformunda uygulamanız için en iyi çoklu oturum açma deneyimi elde etmek için OpenID Connect ve OAuth gibi modern protokolleri kullanın.When developing new applications, use modern protocols like OpenID Connect and OAuth to achieve the best single sign-on experience for your app across multiple device platforms. OAuth, kullanıcıların veya yöneticilerin Microsoft Graphgibi korumalı kaynaklara izin vermesini sağlar.OAuth enables users or admins to grant consent for protected resources like Microsoft Graph. Uygulamanız için SDK 'ları benimsemeyi ve ayrıca uygulamanız Microsoft Graphkullanmaya hazırız.We provide easy to adopt SDKs for your app, and additionally, your app will be ready to use Microsoft Graph.

Daha fazla bilgi için bkz.For more information, see:

SAML SSOSAML SSO

İle SAML çoklu oturum açma, Azure AD, kullanıcının Azure AD hesabı kullanarak uygulamaya kimliğini doğrular.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. Azure AD oturum açma bilgileri uygulamaya bir bağlantı protokolü üzerinden iletişim kurar.Azure AD communicates the sign-on information to the application through a connection protocol. SAML tabanlı çoklu oturum açma sayesinde, SAML talepleriniz içinde tanımladığınız kurallara göre kullanıcıları belirli uygulama rolleriyle eşleyebilirsiniz.With SAML-based single sign-on, you can map users to specific application roles based on rules you define in your SAML claims.

Uygulama destekliyorsa SAML tabanlı çoklu oturum açma seçeneğini belirleyin.Choose SAML-based single sign-on when the application supports it.

SAML tabanlı çoklu oturum açma şu protokolden herhangi birini kullanan uygulamalar için desteklenir:SAML-based single sign-on is supported for applications that use any of these protocols:

  • SAML 2.0SAML 2.0
  • WS-FederationWS-Federation

SAML tabanlı çoklu oturum açma için bir SaaS uygulaması yapılandırmak üzere bkz. SAML tabanlı çoklu oturum açmayı yapılandırma.To configure a SaaS application for SAML-based single sign-on, see Configure SAML-based single sign-on. Ayrıca, hizmet olarak yazılım (SaaS) uygulamalarında, SAML tabanlı çoklu oturum açma yapılandırmasında size adım adım kılavuzluk eden uygulamaya özgü bir öğretici vardır.Also, many Software as a Service (SaaS) applications have an application-specific tutorial that step you through the configuration for SAML-based single sign-on.

Bir uygulamayı WS-Federation için yapılandırmak üzere, SAML tabanlı çoklu oturum açma için uygulamayı yapılandırmak üzere aynı kılavuzu izleyin, bkz. SAML tabanlı çoklu oturum açmayı yapılandırma.To configure an application for WS-Federation, follow the same guidance to configure application for SAML-based single sign-on, see Configure SAML-based single sign-on. Uygulamayı Azure AD kullanacak şekilde yapılandırma adımında, WS-Federation uç noktası https://login.microsoftonline.com/<tenant-ID>/wsfediçin Azure AD oturum açma URL 'sini değiştirmeniz gerekir.In the step to configure the application to use Azure AD, you will need to replace the Azure AD login URL for the WS-Federation end-point https://login.microsoftonline.com/<tenant-ID>/wsfed.

SAML tabanlı çoklu oturum açma için şirket içi bir uygulamayı yapılandırmak için, bkz. uygulama proxy 'si ile şirket içi uygulamalar Için SAML çoklu oturum açma.To configure an on-premises application for SAML-based single sign-on, see SAML single-sign-on for on-premises applications with Application Proxy.

SAML protokolü hakkında daha fazla bilgi için bkz. Çoklu oturum açma SAML Protokolü.For more information about the SAML protocol, see Single sign-on SAML protocol.

Parola tabanlı SSOPassword-based SSO

Parola tabanlı oturum açma sayesinde, kullanıcılar ilk kez erişirken Kullanıcı adı ve parola ile uygulama üzerinde oturum açabilirler.With password-based sign-on, users sign on to the application with a username and password the first time they access it. İlk oturum açma işleminden sonra Azure AD, uygulamaya Kullanıcı adı ve parola sağlar.After the first sign-on, Azure AD supplies the username and password to the application.

Parola tabanlı çoklu oturum açma uygulama tarafından sağlanan mevcut kimlik doğrulama işlemi kullanır.Password-based single sign-on uses the existing authentication process provided by the application. Parola çoklu oturum açma bir uygulama için etkinleştirdiğinizde, Azure AD toplar ve kullanıcı adları ve parolalar uygulama için güvenli bir şekilde depolar.When you enable password single sign-on for an application, Azure AD collects and securely stores user names and passwords for the application. Kullanıcı kimlik bilgilerini şifrelenmiş bir duruma dizininde depolanır.User credentials are stored in an encrypted state in the directory.

Şu durumlarda parola tabanlı çoklu oturum açma seçin:Choose password-based single sign-on when:

  • Bir uygulama SAML çoklu oturum açma protokolünü desteklemez.An application doesn't support SAML single sign-on protocol.
  • Bir uygulama adı ve parola yerine erişim belirteçleri ve üst bilgileri ile kimlik doğrulaması yapar.An application authenticates with a username and password instead of access tokens and headers.

Parola tabanlı çoklu oturum açma bir HTML tabanlı oturum açma sayfası olan tüm bulut tabanlı uygulama için desteklenir.Password-based single sign-on is supported for any cloud-based application that has an HTML-based sign-in page. Kullanıcı aşağıdaki tarayıcılardan herhangi birini kullanabilirsiniz:The user can use any of the following browsers:

  • Internet Explorer 11 Windows 7 veya üzeriInternet Explorer 11 on Windows 7 or later

    Not

    Internet Explorer sınırlı desteğe sahiptir ve artık yeni yazılım güncelleştirmeleri almaz.Internet Explorer is on limited support and no longer receives new software updates. Microsoft Edge önerilen tarayıcıdır.Microsoft Edge is the recommended browser.

  • Windows 10 yıldönümü sürümü veya sonraki sürümlerde Microsoft EdgeMicrosoft Edge on Windows 10 Anniversary Edition or later

  • Chrome Windows 7 ve daha sonra ve MacOS x veya sonrasıChrome on Windows 7 or later, and on MacOS X or later

  • Firefox 26,0 veya daha sonra Windows XP SP2 veya üzeri ve Mac OS X 10.6 üzerinde veya üzeriFirefox 26.0 or later on Windows XP SP2 or later, and on Mac OS X 10.6 or later

Parola tabanlı çoklu oturum açma için bir bulut uygulaması yapılandırmak üzere, bkz. parola çoklu oturum açmayı yapılandırma.To configure an cloud application for password-based single sign-on, see Configure password single sign-on.

Bir şirket içi uygulama için uygulama proxy'si aracılığıyla çoklu oturum açmayı yapılandırmak için bkz vaulting uygulama proxy'si ile çoklu oturum açma için parolaTo configure an on-premises application for single sign-on through Application Proxy, see Password vaulting for single sign-on with Application Proxy

Kimlik doğrulama, parola tabanlı SSO için nasıl kullanılırHow authentication works for password-based SSO

Bir kullanıcının bir uygulamada kimliğini doğrulamak için Azure AD, kullanıcının kimlik bilgilerini dizinden alır ve uygulamanın oturum açma sayfasına girer.To authenticate a user to an application, Azure AD retrieves the user's credentials from the directory and enters them into the application's sign-on page. Azure AD kullanıcı kimlik bilgilerini güvenli bir şekilde bir web tarayıcısı uzantısı veya mobil uygulama geçirir.Azure AD securely passes the user credentials via a web browser extension or mobile app. Bu işlem, bir yönetici kullanıcı kimlik bilgilerini yönetmek etkinleştirir ve kullanıcıların parolalarını unutmayın gerektirmez.This process enables an administrator to manage user credentials, and doesn't require users to remember their password.

Önemli

Otomatik oturum açma işlemi sırasında kimlik bilgileri Kullanıcı tarafından karartılmış hale getirilebilir.The credentials are obfuscated from the user during the automated sign-on process. Ancak, kimlik bilgileri web hata ayıklama araçlarını kullanarak bulunabilir.However, the credentials are discoverable by using web-debugging tools. Kullanıcıların ve yöneticilerin kimlik bilgilerini doğrudan kullanıcı tarafından girildiği gibi aynı güvenlik ilkeleri izlemeniz gerekir.Users and administrators need to follow the same security policies as if credentials were entered directly by the user.

Parola tabanlı SSO için kimlik bilgilerini yönetmeManaging credentials for password-based SSO

Her uygulamanın ya da Azure AD Yöneticisi veya kullanıcılar tarafından yönetilebilir.Passwords for each application can either be managed by the Azure AD administrator or by the users.

Ne zaman Azure AD Yöneticisi kimlik bilgilerini yönetir:When the Azure AD administrator manages the credentials:

  • Kullanıcı sıfırlama veya kullanıcı adınızı ve parolanızı hatırlayacağınızdan gerekmez.The user doesn't need to reset or remember the user name and password. Kullanıcı kendi erişim panellerine veya sağlanan bağlantı yoluyla tıklayarak uygulamaya erişebilir.The user can access the application by clicking on it in their access panel or via a provided link.
  • Yönetici kimlik bilgileri yönetim görevlerini gerçekleştirebilirsiniz.The administrator can do management tasks on the credentials. Örneğin, yönetici kullanıcı grup üyeliklerini ve çalışan durumuna göre uygulama erişimi güncelleştirebilirsiniz.For example, the administrator can update application access according to user group memberships and employee status.
  • Yönetici, çok sayıda kullanıcı arasında paylaşılan uygulamalara erişim sağlamak için yönetici kimlik bilgilerini kullanabilirsiniz.The administrator can use administrative credentials to provide access to applications shared among many users. Örneğin, yönetici bir sosyal medya veya belge paylaşımı uygulama erişimi için bir uygulama erişebilen herkesin izin verebilirsiniz.For example, the administrator can allow everyone who can access an application to have access to a social media or document sharing application.

Ne zaman son kullanıcı kimlik bilgilerini yönetir:When the end user manages the credentials:

  • Kullanıcılar parolalarını güncelleştirmek ya da gerektiği şekilde silerek yönetebilir.Users can manage their passwords by updating or deleting them as needed.
  • Yöneticiler uygulama için yeni kimlik bilgilerini ayarlamak hala mümkün.Administrators are still able to set new credentials for the application.

Bağlantılı oturum açmaLinked sign-on

Bağlantılı oturum açma için çoklu oturum açmayı başka bir hizmet olarak zaten yapılandırılmış bir uygulama için çoklu oturum açma sağlamak için Azure AD'deki sağlar.Linked sign-on enables Azure AD to provide single sign-on to an application that is already configured for single sign-on in another service. Bağlı uygulama Office 365 portalında veya Azure AD MyApps portalında son kullanıcılara görünür.The linked application can appear to end users in the Office 365 portal or Azure AD MyApps portal. Örneğin, bir kullanıcı çoklu oturum açma Active Directory Federasyon Hizmetleri 2.0 (AD FS), Office 365 portalından için yapılandırılmış bir uygulama başlatabilirsiniz.For example, a user can launch an application that is configured for single sign-on in Active Directory Federation Services 2.0 (AD FS) from the Office 365 portal. Ek raporlama da Office 365 portalında veya Azure AD MyApps portalından başlatılan bağlantılı uygulamalar için kullanılabilir.Additional reporting is also available for linked applications that are launched from the Office 365 portal or the Azure AD MyApps portal. Bir uygulamayı bağlantılı oturum açma için yapılandırmak üzere bkz. bağlı oturum açmayı yapılandırma.To configure an application for linked sign-on, see Configure linked sign-on.

Uygulama geçişi için bağlantılı oturum açmaLinked sign-on for application migration

Bağlantılı oturum açma, uygulamaları bir süre boyunca geçirirken tutarlı bir kullanıcı deneyimi sağlayabilir.Linked sign-on can provide a consistent user experience while you migrate applications over a period of time. Uygulamaları Azure Active Directory geçiriyorsanız, geçiş yapmak istediğiniz tüm uygulamaların bağlantılarını hızlıca yayımlamak için bağlantılı oturum açma ' yı kullanabilirsiniz.If you're migrating applications to Azure Active Directory, you can use linked sign-on to quickly publish links to all the applications you intend to migrate. Kullanıcılar, tüm bağlantıları bulabilirsiniz MyApps portalında veya Office 365 uygulama başlatıcısında.Users can find all the links in the MyApps portal or the Office 365 application launcher. Kullanıcılar, bağlı bir uygulama veya geçirilmiş bir uygulamayı eriştiğiniz bilemezsiniz.Users won't know they're accessing a linked application or a migrated application.

Bir kullanıcı ile bağlantılı bir uygulamaya kimlik doğrulaması yapıldıktan sonra hesap kaydı son kullanıcı çoklu oturum açma erişimi sağlanan önce oluşturulması gerekir.Once a user has authenticated with a linked application, an account record needs to be created before the end user is provided single sign-on access. Bu hesap kaydı sağlama ya da otomatik olarak gerçekleşebileceği ya da bir yönetici tarafından el ile ortaya çıkabilir.Provisioning this account record can either occur automatically, or it can occur manually by an administrator.

Devre dışı SSODisabled SSO

Devre dışı moda uygulama için çoklu oturum açma kullanılmayan anlamına gelir.Disabled mode means single sign-on isn't used for the application. Çoklu oturum açma devre dışı bırakıldığında, kullanıcıların iki kez kimlik doğrulaması gerekebilir.When single sign-on is disabled, users might need to authenticate twice. İlk olarak, Azure AD ile kullanıcıların kimliğini doğrulamak ve bunlar uygulamaya oturum açın.First, users authenticate to Azure AD, and then they sign in to the application.

Çoklu oturum açma modunu devre dışı:Use disabled single sign-on mode:

  • Bu uygulamayı Azure AD çoklu oturum açma ile tümleştirmeye hazır değilseniz veyaIf you're not ready to integrate this application with Azure AD single sign-on, or
  • Uygulamanın diğer yönleri test ediyorsanız veyaIf you're testing other aspects of the application, or
  • Bir şirket içi uygulamaya güvenlik katmanı olarak, kullanıcıların kimlik doğrulaması yapmasına gerek yoktur.As a layer of security to an on-premises application that doesn't require users to authenticate. Kullanıcı kimlik doğrulaması yapması, devre dışı.With disabled, the user needs to authenticate.

Tümleşik Windows kimlik doğrulaması (IWA) SSOIntegrated Windows Authentication (IWA) SSO

Uygulama proxy 'si , Tümleşik Windows kimlik doğrulaması (IWA)veya talep kullanan uygulamalar kullanan uygulamalar için çoklu oturum açma (SSO) sağlar.Application Proxy provides single sign-on (SSO) to applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Uygulamanız IWA kullanıyorsa, uygulama proxy'si uygulamaya, Kerberos Kısıtlı temsilci (KCD) kullanarak kimliğini doğrular.If your application uses IWA, Application Proxy authenticates to the application by using Kerberos Constrained Delegation (KCD). Kullanıcı zaten Azure AD'yi kullanarak kimliğinin çünkü Azure Active Directory tarafından güvenilen bir talep kullanan uygulama için çoklu oturum açma çalışır.For a claims-aware application that trusts Azure Active Directory, single sign-on works because the user was already authenticated by using Azure AD.

IWA ile kimlik doğrulayan şirket içi bir uygulamada çoklu oturum açma sağlamak için tümleşik Windows kimlik doğrulaması çoklu oturum açma modu ' nu seçin.Choose Integrated Windows Authentication single sign-on mode to provide single sign-on to an on-premises app that authenticates with IWA.

Şirket içi uygulama IWA için yapılandırmak üzere bkz uygulamalarınıza uygulama proxy'si ile çoklu oturum açma için Kerberos kısıtlanmış temsil.To configure an on-premises app for IWA, see Kerberos Constrained Delegation for single sign-on to your applications with Application Proxy.

KCD works ile nasıl çoklu oturum açmaHow single sign-on with KCD works

Bir kullanıcı IWA kullanan şirket içi uygulamaya eriştiğinde, bu diyagramda akışı açıklanır.This diagram explains the flow when a user accesses an on-premises application that uses IWA.

Microsoft Azure AD kimlik doğrulaması akış diyagramı

  1. Kullanıcı, uygulama proxy 'si aracılığıyla şirket içi uygulamaya erişmek için URL 'YI girer.The user enters the URL to access the on premises application through Application Proxy.
  2. Uygulama Ara sunucusu için Azure AD kimlik doğrulama hizmetleri preauthenticate için istek yönlendirir.Application Proxy redirects the request to Azure AD authentication services to preauthenticate. Bu noktada, Azure AD, tüm geçerli kimlik doğrulama ve yetkilendirme ilkeleri, çok faktörlü kimlik doğrulaması gibi uygulanır.At this point, Azure AD applies any applicable authentication and authorization policies, such as multifactor authentication. Kullanıcı doğrulanmış olması durumunda, Azure AD belirteç oluşturulur ve kullanıcıya gönderir.If the user is validated, Azure AD creates a token and sends it to the user.
  3. Kullanıcı belirteci uygulama ara sunucusuna iletir.The user passes the token to Application Proxy.
  4. Uygulama proxy'si, belirteci doğrular ve belirteçten kullanıcı asıl adı (UPN) alır.Application Proxy validates the token and retrieves the User Principal Name (UPN) from the token. Bunu daha sonra istek, UPN ve hizmet asıl adı (SPN) bağlayıcı dually kimliği doğrulanmış ve güvenli bir kanal üzerinden gönderir.It then sends the request, the UPN, and the Service Principal Name (SPN) to the Connector through a dually authenticated secure channel.
  5. Bağlayıcı, şirket içi AD ile Kerberos kısıtlı temsilcisi (KCD) anlaşması kullanır ve uygulamaya bir Kerberos belirteci almak için kullanıcıyı taklit edin.The connector uses Kerberos Constrained Delegation (KCD) negotiation with the on premises AD, impersonating the user to get a Kerberos token to the application.
  6. Active Directory Uygulama bağlayıcısı için Kerberos belirteci gönderir.Active Directory sends the Kerberos token for the application to the connector.
  7. Bağlayıcı AD'den alınan Kerberos belirteci kullanarak uygulama sunucusu, özgün istek gönderir.The connector sends the original request to the application server, using the Kerberos token it received from AD.
  8. Uygulama için uygulama proxy'si hizmeti ardından döndürülen bağlayıcı yanıta gönderir ve son kullanıcı.The application sends the response to the connector, which is then returned to the Application Proxy service and finally to the user.

Üst bilgi tabanlı SSOHeader-based SSO

Üst bilgi tabanlı çoklu oturum açma, HTTP üst bilgileri için kimlik doğrulaması kullanan uygulamalar için çalışır.Header-based single sign-on works for applications that use HTTP headers for authentication. Bu oturum açma yöntemi PingAccess adlı bir üçüncü taraf kimlik doğrulama hizmeti kullanır.This sign-on method uses a third-party authentication service called PingAccess. Bir kullanıcının yalnızca Azure AD'ye kimlik doğrulaması gerekir.A user only needs to authenticate to Azure AD.

Uygulama proxy 'Si ve PingAccess uygulama için yapılandırıldığında üst bilgi tabanlı çoklu oturum açma seçeneğini belirleyin.Choose header-based single sign-on when Application Proxy and PingAccess are configured for the application.

Üst bilgi tabanlı kimlik doğrulamasını yapılandırmak için bkz: üst bilgi tabanlı kimlik doğrulaması için uygulama proxy'si ile çoklu oturum açma.To configure header-based authentication, see Header-based authentication for single sign-on with Application Proxy.

Azure AD için PingAccess nedir?What is PingAccess for Azure AD?

Azure AD, kullanıcıları için PingAccess kullanarak erişim ve tek kimlik doğrulaması için üst bilgi kullanan uygulamalar için oturum.Using PingAccess for Azure AD, users can access and single sign-on to applications that use headers for authentication. Uygulama Ara sunucusu, bu uygulamaları diğer, Azure AD kimlik doğrulaması yapmak için kullanarak ve ardından bağlayıcı hizmetini üzerinden trafiği geçirerek gibi davranır.Application Proxy treats these applications like any other, using Azure AD to authenticate access and then passing traffic through the connector service. PingAccess hizmeti Azure AD erişim belirteci kimlik doğrulaması gerçekleştikten sonra uygulamaya gönderilen bir üstbilgi biçimine çevirir.After authentication occurs, the PingAccess service translates the Azure AD access token into a header format that is sent to the application.

Kurumsal uygulamalarınıza kullanmak oturum açtığında, kullanıcılar farklı bir şey fark olmaz.Your users won’t notice anything different when they sign in to use your corporate applications. Bunlar yine de her yerde her cihazda çalışabilirsiniz.They can still work from anywhere on any device. Uygulama Ara sunucusu bağlayıcıları doğrudan tüm uygulamalara uzaktan trafiği ve otomatik olarak yük dengelemesi devam edeceğiz.The Application Proxy connectors direct remote traffic to all applications, and they’ll continue to load balance automatically.

Bir lisans için PingAccess nasıl alabilirim?How do I get a license for PingAccess?

Bu senaryo Azure AD ve PingAccess arasındaki bir iş ortaklığı aracılığıyla sunulduğundan, her iki hizmet için de lisanslarına ihtiyacınız vardır.Since this scenario is offered through a partnership between Azure AD and PingAccess, you need licenses for both services. Ancak Azure AD Premium abonelikler, 20 ' ye kadar uygulamayı kapsayan temel bir PingAccess lisansını içerir.However, Azure AD Premium subscriptions include a basic PingAccess license that covers up to 20 applications. 20'den fazla üst bilgi tabanlı uygulamaları yayımlamak gerekiyorsa, ek bir PingAccess lisanstan elde edebilirsiniz.If you need to publish more than 20 header-based applications, you can acquire an additional license from PingAccess.

Daha fazla bilgi için bkz. Azure Active Directory sürümleri.For more information, see Azure Active Directory editions.