Azure Active Directory'de uygulamalar için çoklu oturum açmaSingle sign-on to applications in Azure Active Directory

Kullanıcılar uygulamalara, Azure Active Directory'de (Azure AD) oturum çoklu oturum açma (SSO) güvenlik ve kolaylık ekler.Single sign-on (SSO) adds security and convenience when users sign-on to applications in Azure Active Directory (Azure AD). Bu makalede tek oturum açma yöntemleri açıklar ve uygulamalarınızı yapılandırırken en uygun SSO yöntemi seçmenize yardımcı olur.This article describes the single sign-on methods, and helps you choose the most appropriate SSO method when configuring your applications.

  • Çoklu oturum açma ile, kullanıcıların etki alanına katılmış cihazlara erişmek için bir hesap ile bir kez oturum şirket kaynakları, yazılım olarak hizmet (SaaS) uygulamaları ve web uygulamaları.With single sign-on, users sign in once with one account to access domain-joined devices, company resources, software as a service (SaaS) applications, and web applications. Kullanıcı, oturum açtıktan sonra Office 365 portalında veya Azure AD MyApps erişim paneli uygulamaları başlatabilir.After signing in, the user can launch applications from the Office 365 portal or the Azure AD MyApps access panel. Yöneticiler kullanıcı hesabı yönetimini merkezden gerçekleştirin ve otomatik olarak ekleyebilir veya grup üyeliğine dayalı uygulamalara kullanıcı erişimini kaldırabilirsiniz.Administrators can centralize user account management, and automatically add or remove user access to applications based on group membership.

  • Çoklu oturum açma olmadan, kullanıcılar uygulamaya özgü hatırlamak ve her uygulama için oturum açın.Without single sign-on, users must remember application-specific passwords and sign in to each application. Office 365 kutusu ve Salesforce gibi her bir uygulama için kullanıcı hesaplarını oluşturmak için BT personeli gerekir.IT staff needs to create and update user accounts for each application such as Office 365, Box, and Salesforce. Kullanıcıların parolalarını unutmayın yanı sıra her bir uygulama için oturum açmak için kullanacağınız gerekir.Users need to remember their passwords, plus spend the time to sign in to each application.

Tek bir oturum açma yöntemi seçmeChoosing a single sign-on method

Bir uygulama için çoklu oturum açmayı yapılandırmak için birkaç yolu vardır.There are several ways to configure an application for single sign-on. Tek bir oturum açma yöntemini seçme uygulama kimlik doğrulaması için nasıl yapılandırıldığına bağlıdır.Choosing a single sign-on method depends on how the application is configured for authentication.

  • Bulut uygulamaları için çoklu oturum açmayı Openıd Connect, OAuth, SAML, parola tabanlı, bağlantılı veya devre dışı yöntemler kullanabilirsiniz.Cloud applications can use OpenID Connect, OAuth, SAML, password-based, linked, or disabled methods for single sign-on.
  • Şirket içi uygulamaları, parola tabanlı, tümleşik Windows kimlik doğrulaması, çoklu oturum açma için üst bilgi tabanlı, bağlantılı veya devre dışı yöntemleri kullanabilir.On-premises applications can use password-based, Integrated Windows Authentication, header-based, linked, or disabled methods for single sign-on. Uygulamalar, uygulama proxy'si için yapılandırıldığında, şirket içi seçenekler çalışır.The on-premises choices work when applications are configured for Application Proxy.

Bu akış, hangi çoklu oturum açma yöntemi, sizin durumunuz için en iyi olduğuna karar vermenize yardımcı olur.This flowchart helps you decide which single sign-on method is best for your situation.

Çoklu oturum açma yöntemi seçin

Aşağıdaki tabloda, tek oturum açma yöntemleri özetler ve daha fazla ayrıntı için bağlantılar.The following table summarizes the single sign-on methods, and links to more details.

Çoklu oturum açma yöntemiSingle sign-on method Uygulama türleriApplication types Kullanılması gereken durumlarWhen to use
Openıd Connect ve OAuthOpenID Connect and OAuth Yalnızca bulutcloud only Openıd Connect ve OAuth yeni bir uygulama geliştirirken kullanın.Use OpenID Connect and OAuth when developing a new application. Bu protokol, uygulama yapılandırmasını basitleştiren, kullanımı kolay SDK'lar sahip ve MS Graph kullanmak için uygulamanızı sağlar.This protocol simplifies application configuration, has easy-to-use SDKs, and enables your application to use MS Graph.
SAMLSAML Bulut ve şirket içicloud and on-premises Mümkün olduğunda, Openıd Connect veya OAuth kullanan değil mevcut uygulamalar için SAML seçin.Choose SAML whenever possible for existing applications that do not use OpenID Connect or OAuth. SAML SAML protokollerden birini kullanarak kimlik doğrulaması uygulamaları için çalışır.SAML works for applications that authenticate using one of the SAML protocols.
Parola tabanlıPassword-based Bulut ve şirket içicloud and on-premises Uygulama, kullanıcı adı ve parola ile kimlik doğrulamasını gerçekleştirdiğinde parola tabanlı seçin.Choose password-based when the application authenticates with username and password. Parola tabanlı çoklu oturum açma güvenli uygulama parola depolama ve bir web tarayıcısı uzantısı veya mobil uygulama kullanarak yeniden yürütme sağlar.Password-based single sign-on enables secure application password storage and replay using a web browser extension or mobile app. Bu yöntem, uygulama tarafından sağlanan mevcut oturum açma işlemi kullanır, ancak yönetici parolaları yönetmek etkinleştirir.This method uses the existing sign-in process provided by the application, but enables an administrator to manage the passwords.
BağlıLinked Bulut ve şirket içicloud and on-premises Bağlantılı oturum açma uygulama içinde başka bir kimlik sağlayıcı hizmetine çoklu oturum açma için yapılandırıldığında'ı seçin.Choose linked sign-on when the application is configured for single sign-on in another identity provider service. Bu seçenek varsayılan olarak, uygulamayı çoklu oturum açma eklemez.This option doesn't add single sign-on to the application. Ancak, uygulamanın tek Active Directory Federasyon Hizmetleri gibi başka bir hizmet kullanılarak uygulanan oturum zaten olabilir.However, the application might already have single sign-on implemented using another service such as Active Directory Federation Services.
Devre dışıDisabled Bulut ve şirket içicloud and on-premises Uygulama için çoklu oturum açmayı yapılandırılmaya hazır değilken, devre dışı çoklu oturum açma seçin.Choose disabled single sign-on when the app isn't ready to be configured for single sign-on. Kullanıcıların, bunlar bu uygulamayı başlatmak her seferinde kullanıcı adı ve parola girmeniz gerekir.Users need to enter their username and password every time they launch this application.
Tümleşik Windows kimlik doğrulaması (IWA)Integrated Windows Authentication (IWA) yalnızca şirket içion-premises only IWA çoklu oturum açma kullanan uygulamalar için seçin tümleşik Windows kimlik doğrulaması (IWA), veya talep kullanan uygulamalar.Choose IWA single sign-on for applications that use Integrated Windows Authentication (IWA), or claims-aware applications. IWA için uygulama kullanıcıların kimliğini doğrulamak için Kerberos Kısıtlı temsilci (KCD) uygulama ara sunucusu bağlayıcıları kullanın.For IWA, the Application Proxy connectors use Kerberos Constrained Delegation (KCD) to authenticate users to the application.
Üst bilgi tabanlıHeader-based yalnızca şirket içion-premises only Uygulama için kimlik doğrulama üst bilgileri kullandığında üst bilgi tabanlı çoklu oturum açma kullanın.Use header-based single sign-on when the application uses headers for authentication. Üst bilgi tabanlı çoklu oturum açma Azure AD için PingAccess gerektirir.Header-based single sign-on requires PingAccess for Azure AD. Uygulama Ara sunucusu kullanıcının kimliğini doğrulamak için Azure AD kullanır ve ardından bağlayıcı hizmetini üzerinden geçen trafik geçirir.Application Proxy uses Azure AD to authenticate the user and then passes traffic through the connector service.

Openıd Connect ve OAuthOpenID Connect and OAuth

Yeni uygulamaları geliştirirken en iyi çoklu oturum açma deneyimini uygulamanız için birden çok cihaz platformları arasında elde etmek için Openıd Connect ve OAuth gibi modern protokolleri kullanın.When developing new applications, use modern protocols like OpenID Connect and OAuth to achieve the best single sign-on experience for your app across multiple device platforms. Kullanıcıları veya yöneticileri için OAuth sağlayan onay verme ister korumalı kaynaklar için MS Graph.OAuth enables users or admins to grant consent for protected resources like MS Graph. Kolay benimsemek için sağladığımız SDK'ları uygulamanız için ve ayrıca, uygulamanızı kullanıma hazır MS Graph.We provide easy to adopt SDKs for your app, and additionally, your app will be ready to use MS Graph.

Daha fazla bilgi için bkz.For more information, see:

SAML SSOSAML SSO

İle SAML çoklu oturum açma, Azure AD, kullanıcının Azure AD hesabı kullanarak uygulamaya kimliğini doğrular.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. Azure AD oturum açma bilgileri uygulamaya bir bağlantı protokolü üzerinden iletişim kurar.Azure AD communicates the sign-on information to the application through a connection protocol. SAML tabanlı çoklu oturum açma ile kullanıcılar, SAML Taleplerde tanımladığınız kurallarına göre belirli uygulama rolleri eşleyebilirsiniz.With SAML-based single sign-on, you can map users to specific application roles based on rules you define in your SAML claims.

Uygulama destekliyorsa SAML tabanlı çoklu oturum açma seçin.Choose SAML-based single sign-on when the application supports it.

SAML tabanlı çoklu oturum açma şu protokolden herhangi birini kullanan uygulamalar için desteklenir:SAML-based single sign-on is supported for applications that use any of these protocols:

  • SAML 2.0SAML 2.0
  • WS-FederationWS-Federation

Bir SaaS uygulaması SAML tabanlı çoklu oturum açma için yapılandırmak üzere bkz yapılandırma SAML tabanlı çoklu oturum açma.To configure a SaaS application for SAML-based single sign-on, see Configure SAML-based single sign-on. Ayrıca, bir hizmet (SaaS) uygulamaları olarak çok sayıda yazılım sahip bir uygulamaya özgü öğretici Bu adım, SAML tabanlı çoklu oturum açma için yapılandırma.Also, many Software as a Service (SaaS) applications have an application-specific tutorial that step you through the configuration for SAML-based single sign-on.

WS-Federasyon için bir uygulamayı yapılandırmak için uygulamanın SAML tabanlı çoklu oturum açma için yapılandırmak için bkz aynı yönergeleri yapılandırma SAML tabanlı çoklu oturum açma.To configure an application for WS-Federation, follow the same guidance to configure application for SAML-based single sign-on, see Configure SAML-based single sign-on. Adım uygulamayı Azure AD'ye kullanacak şekilde yapılandırmak için WS-Federasyon uç nokta için Azure AD oturum açma URL'sini değiştirmeniz gerekecektir https://login.microsoftonline.com/<tenant-ID>/wsfed.In the step to configure the application to use Azure AD, you will need to replace the Azure AD login URL for the WS-Federation end-point https://login.microsoftonline.com/<tenant-ID>/wsfed.

SAML tabanlı çoklu oturum açma için şirket içi bir uygulamayı yapılandırmak için bkz SAML çoklu oturum açma için şirket içi uygulama ara sunucusu ile.To configure an on-premises application for SAML-based single sign-on, see SAML single-sign-on for on-premises applications with Application Proxy.

SAML protokolü hakkında daha fazla bilgi için bkz. çoklu oturum açma SAML Protokolü.For more information about the SAML protocol, see Single sign-on SAML protocol.

Parola tabanlı SSOPassword-based SSO

Parola tabanlı oturum açma ile kullanıcılar uygulamada bir kullanıcı adı ve parola ile bunların erişim ilk kez oturum.With password-based sign-on, users sign on to the application with a username and password the first time they access it. İlk oturum açma işleminden sonra Azure AD kullanıcı ve uygulama parolasını sağlar.After the first sign-on, Azure AD supplies the username and password to the application.

Parola tabanlı çoklu oturum açma uygulama tarafından sağlanan mevcut kimlik doğrulama işlemi kullanır.Password-based single sign-on uses the existing authentication process provided by the application. Parola çoklu oturum açma bir uygulama için etkinleştirdiğinizde, Azure AD toplar ve kullanıcı adları ve parolalar uygulama için güvenli bir şekilde depolar.When you enable password single sign-on for an application, Azure AD collects and securely stores user names and passwords for the application. Kullanıcı kimlik bilgilerini şifrelenmiş bir duruma dizininde depolanır.User credentials are stored in an encrypted state in the directory.

Parola tabanlı tek seçin ne zaman oturum:Choose password-based single sign-on when:

  • Uygulamanın, oturum açma SAML çoklu Protokolü desteklemiyor.An application doesn't support SAML single sign-on protocol.
  • Bir uygulama adı ve parola yerine erişim belirteçleri ve üst bilgileri ile kimlik doğrulaması yapar.An application authenticates with a username and password instead of access tokens and headers.

Parola tabanlı çoklu oturum açma bir HTML tabanlı oturum açma sayfası olan tüm bulut tabanlı uygulama için desteklenir.Password-based single sign-on is supported for any cloud-based application that has an HTML-based sign-in page. Kullanıcı aşağıdaki tarayıcılardan herhangi birini kullanabilirsiniz:The user can use any of the following browsers:

  • Internet Explorer 11 Windows 7 veya üzeriInternet Explorer 11 on Windows 7 or later
  • Windows 10 Anniversary Edition veya sonrası, Microsoft EdgeMicrosoft Edge on Windows 10 Anniversary Edition or later
  • Chrome Windows 7 ve daha sonra ve MacOS x veya sonrasıChrome on Windows 7 or later, and on MacOS X or later
  • Firefox 26,0 veya daha sonra Windows XP SP2 veya üzeri ve Mac OS X 10.6 üzerinde veya üzeriFirefox 26.0 or later on Windows XP SP2 or later, and on Mac OS X 10.6 or later

Bir bulut uygulama parola tabanlı çoklu oturum açma için yapılandırmak üzere bkz parola çoklu oturum açma için uygulamayı yapılandırma.To configure a cloud application for password-based single sign-on, see Configure the application for password single sign-on.

Bir şirket içi uygulama için uygulama proxy'si aracılığıyla çoklu oturum açmayı yapılandırmak için bkz vaulting uygulama proxy'si ile çoklu oturum açma için parolaTo configure an on-premises application for single sign-on through Application Proxy, see Password vaulting for single sign-on with Application Proxy

Kimlik doğrulaması için parola tabanlı SSO nasıl çalışır?How authentication works for password-based SSO

Bir uygulama bir kullanıcının kimliğini doğrulamak için Azure AD dizininden kullanıcının kimlik bilgilerini alır ve bunları uygulamanın oturum açma sayfasına girer.To authenticate a user to an application, Azure AD retrieves the user's credentials from the directory and enters them into the application's sign-on page. Azure AD kullanıcı kimlik bilgilerini güvenli bir şekilde bir web tarayıcısı uzantısı veya mobil uygulama geçirir.Azure AD securely passes the user credentials via a web browser extension or mobile app. Bu işlem, bir yönetici kullanıcı kimlik bilgilerini yönetmek etkinleştirir ve kullanıcıların parolalarını unutmayın gerektirmez.This process enables an administrator to manage user credentials, and doesn't require users to remember their password.

Önemli

Kimlik bilgilerini otomatik oturum açma işlemi sırasında kullanıcıdan gizlenmiş olan.The credentials are obfuscated from the user during the automated sign-on process. Ancak, kimlik bilgileri web hata ayıklama araçlarını kullanarak bulunabilir.However, the credentials are discoverable by using web-debugging tools. Kullanıcıların ve yöneticilerin kimlik bilgilerini doğrudan kullanıcı tarafından girildiği gibi aynı güvenlik ilkeleri izlemeniz gerekir.Users and administrators need to follow the same security policies as if credentials were entered directly by the user.

Parola tabanlı SSO için kimlik bilgilerini yönetmeManaging credentials for password-based SSO

Her uygulamanın ya da Azure AD Yöneticisi veya kullanıcılar tarafından yönetilebilir.Passwords for each application can either be managed by the Azure AD administrator or by the users.

Ne zaman Azure AD Yöneticisi kimlik bilgilerini yönetir:When the Azure AD administrator manages the credentials:

  • Kullanıcı sıfırlama veya kullanıcı adınızı ve parolanızı hatırlayacağınızdan gerekmez.The user doesn't need to reset or remember the user name and password. Kullanıcı kendi erişim panellerine veya sağlanan bağlantı yoluyla tıklayarak uygulamaya erişebilir.The user can access the application by clicking on it in their access panel or via a provided link.
  • Yönetici kimlik bilgileri yönetim görevlerini gerçekleştirebilirsiniz.The administrator can do management tasks on the credentials. Örneğin, yönetici kullanıcı grup üyeliklerini ve çalışan durumuna göre uygulama erişimi güncelleştirebilirsiniz.For example, the administrator can update application access according to user group memberships and employee status.
  • Yönetici, çok sayıda kullanıcı arasında paylaşılan uygulamalara erişim sağlamak için yönetici kimlik bilgilerini kullanabilirsiniz.The administrator can use administrative credentials to provide access to applications shared among many users. Örneğin, yönetici bir sosyal medya veya belge paylaşımı uygulama erişimi için bir uygulama erişebilen herkesin izin verebilirsiniz.For example, the administrator can allow everyone who can access an application to have access to a social media or document sharing application.

Ne zaman son kullanıcı kimlik bilgilerini yönetir:When the end user manages the credentials:

  • Kullanıcılar parolalarını güncelleştirmek ya da gerektiği şekilde silerek yönetebilir.Users can manage their passwords by updating or deleting them as needed.
  • Yöneticiler uygulama için yeni kimlik bilgilerini ayarlamak hala mümkün.Administrators are still able to set new credentials for the application.

Bağlantılı oturum açmaLinked sign-on

Bağlantılı oturum açma için çoklu oturum açmayı başka bir hizmet olarak zaten yapılandırılmış bir uygulama için çoklu oturum açma sağlamak için Azure AD'deki sağlar.Linked sign-on enables Azure AD to provide single sign-on to an application that is already configured for single sign-on in another service. Bağlı uygulama Office 365 portalında veya Azure AD MyApps portalında son kullanıcılara görünür.The linked application can appear to end users in the Office 365 portal or Azure AD MyApps portal. Örneğin, bir kullanıcı çoklu oturum açma Active Directory Federasyon Hizmetleri 2.0 (AD FS), Office 365 portalından için yapılandırılmış bir uygulama başlatabilirsiniz.For example, a user can launch an application that is configured for single sign-on in Active Directory Federation Services 2.0 (AD FS) from the Office 365 portal. Ek raporlama da Office 365 portalında veya Azure AD MyApps portalından başlatılan bağlantılı uygulamalar için kullanılabilir.Additional reporting is also available for linked applications that are launched from the Office 365 portal or the Azure AD MyApps portal.

Bağlantılı oturum açma için uygulama geçişiLinked sign-on for application migration

Bağlantılı oturum açma uygulamaları bir süre geçirirken tutarlı kullanıcı deneyimi sağlayabilirsiniz.Linked sign-on can provide a consistent user experience while you migrate applications over a period of time. Uygulamaları Azure Active Directory'ye geçiriyorsanız, bağlantılar, geçirmek istediğiniz tüm uygulamalar için hızlı bir şekilde yayımlamak için bağlantılı oturum açma kullanabilirsiniz.If you're migrating applications to Azure Active Directory, you can use linked sign-on to quickly publish links to all the applications you intend to migrate. Kullanıcılar, tüm bağlantıları bulabilirsiniz MyApps portalında veya Office 365 uygulama başlatıcısında.Users can find all the links in the MyApps portal or the Office 365 application launcher. Kullanıcılar, bağlı bir uygulama veya geçirilmiş bir uygulamayı eriştiğiniz bilemezsiniz.Users won't know they're accessing a linked application or a migrated application.

Bir kullanıcı ile bağlantılı bir uygulamaya kimlik doğrulaması yapıldıktan sonra hesap kaydı son kullanıcı çoklu oturum açma erişimi sağlanan önce oluşturulması gerekir.Once a user has authenticated with a linked application, an account record needs to be created before the end user is provided single sign-on access. Bu hesap kaydı sağlama ya da otomatik olarak gerçekleşebileceği ya da bir yönetici tarafından el ile ortaya çıkabilir.Provisioning this account record can either occur automatically, or it can occur manually by an administrator.

Devre dışı SSODisabled SSO

Devre dışı moda uygulama için çoklu oturum açma kullanılmayan anlamına gelir.Disabled mode means single sign-on isn't used for the application. Çoklu oturum açma devre dışı bırakıldığında, kullanıcıların iki kez kimlik doğrulaması gerekebilir.When single sign-on is disabled, users might need to authenticate twice. İlk olarak, Azure AD ile kullanıcıların kimliğini doğrulamak ve bunlar uygulamaya oturum açın.First, users authenticate to Azure AD, and then they sign in to the application.

Çoklu oturum açma modunu devre dışı:Use disabled single sign-on mode:

  • Bu uygulamayı Azure AD çoklu oturum açma ile tümleştirmeye hazır değilseniz veyaIf you're not ready to integrate this application with Azure AD single sign-on, or
  • Uygulamanın diğer yönleri test ediyorsanız veyaIf you're testing other aspects of the application, or
  • Bir şirket içi uygulamaya güvenlik katmanı olarak, kullanıcıların kimlik doğrulaması yapmasına gerek yoktur.As a layer of security to an on-premises application that doesn't require users to authenticate. Kullanıcı kimlik doğrulaması yapması, devre dışı.With disabled, the user needs to authenticate.

Tümleşik Windows kimlik doğrulaması (IWA) SSOIntegrated Windows Authentication (IWA) SSO

Uygulama proxy'si çoklu oturum açma (SSO) kullanan uygulamalar sağlar tümleşik Windows kimlik doğrulaması (IWA), veya talep kullanan uygulamalar.Application Proxy provides single sign-on (SSO) to applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Uygulamanız IWA kullanıyorsa, uygulama proxy'si uygulamaya, Kerberos Kısıtlı temsilci (KCD) kullanarak kimliğini doğrular.If your application uses IWA, Application Proxy authenticates to the application by using Kerberos Constrained Delegation (KCD). Kullanıcı zaten Azure AD'yi kullanarak kimliğinin çünkü Azure Active Directory tarafından güvenilen bir talep kullanan uygulama için çoklu oturum açma çalışır.For a claims-aware application that trusts Azure Active Directory, single sign-on works because the user was already authenticated by using Azure AD.

Oturum açma tümleşik Windows kimlik doğrulaması tek modunu seçin:Choose Integrated Windows Authentication single sign-on mode:

  • Çoklu oturum açma kimliğini doğrulayan bir şirket içi uygulamaya IWA ile sağlamak için.To provide single sign-on to an on-premises app that authenticates with IWA.

Şirket içi uygulama IWA için yapılandırmak üzere bkz uygulamalarınıza uygulama proxy'si ile çoklu oturum açma için Kerberos kısıtlanmış temsil.To configure an on-premises app for IWA, see Kerberos Constrained Delegation for single sign-on to your applications with Application Proxy.

KCD works ile nasıl çoklu oturum açmaHow single sign-on with KCD works

Bir kullanıcı IWA kullanan şirket içi uygulamaya eriştiğinde, bu diyagramda akışı açıklanır.This diagram explains the flow when a user accesses an on-premises application that uses IWA.

Microsoft AAD kimlik doğrulaması akışı diyagramı

  1. Kullanıcı, uygulama proxy'si aracılığıyla şirket içi uygulama erişimi için URL'yi girer.The user enters the URL to access the on premises application through Application Proxy.
  2. Uygulama Ara sunucusu için Azure AD kimlik doğrulama hizmetleri preauthenticate için istek yönlendirir.Application Proxy redirects the request to Azure AD authentication services to preauthenticate. Bu noktada, Azure AD, tüm geçerli kimlik doğrulama ve yetkilendirme ilkeleri, çok faktörlü kimlik doğrulaması gibi uygulanır.At this point, Azure AD applies any applicable authentication and authorization policies, such as multifactor authentication. Kullanıcı doğrulanmış olması durumunda, Azure AD belirteç oluşturulur ve kullanıcıya gönderir.If the user is validated, Azure AD creates a token and sends it to the user.
  3. Kullanıcı belirteci uygulama ara sunucusuna iletir.The user passes the token to Application Proxy.
  4. Uygulama proxy'si, belirteci doğrular ve belirteçten kullanıcı asıl adı (UPN) alır.Application Proxy validates the token and retrieves the User Principal Name (UPN) from the token. Bunu daha sonra istek, UPN ve hizmet asıl adı (SPN) bağlayıcı dually kimliği doğrulanmış ve güvenli bir kanal üzerinden gönderir.It then sends the request, the UPN, and the Service Principal Name (SPN) to the Connector through a dually authenticated secure channel.
  5. Bağlayıcı, şirket içi AD, uygulama için bir Kerberos belirteci almak için kullanıcının kimliğine bürünmek ile Kerberos Kısıtlı temsilci (KCD) anlaşma kullanır.The connector uses Kerberos Constrained Delegation (KCD) negotiation with the on premises AD, impersonating the user to get a Kerberos token to the application.
  6. Active Directory Uygulama bağlayıcısı için Kerberos belirteci gönderir.Active Directory sends the Kerberos token for the application to the connector.
  7. Bağlayıcı AD'den alınan Kerberos belirteci kullanarak uygulama sunucusu, özgün istek gönderir.The connector sends the original request to the application server, using the Kerberos token it received from AD.
  8. Uygulama için uygulama proxy'si hizmeti ardından döndürülen bağlayıcı yanıta gönderir ve son kullanıcı.The application sends the response to the connector, which is then returned to the Application Proxy service and finally to the user.

Üst bilgi tabanlı SSOHeader-based SSO

Üst bilgi tabanlı çoklu oturum açma, HTTP üst bilgileri için kimlik doğrulaması kullanan uygulamalar için çalışır.Header-based single sign-on works for applications that use HTTP headers for authentication. Bu oturum açma yöntemi PingAccess adlı bir üçüncü taraf kimlik doğrulama hizmeti kullanır.This sign-on method uses a third-party authentication service called PingAccess. Bir kullanıcının yalnızca Azure AD'ye kimlik doğrulaması gerekir.A user only needs to authenticate to Azure AD.

Üst bilgi tabanlı tek seçin ne zaman oturum:Choose header-based single sign-on when:

  • Uygulama proxy'si ile PingAccess uygulama için yapılandırılmışApplication Proxy and PingAccess are configured for the application

Üst bilgi tabanlı kimlik doğrulamasını yapılandırmak için bkz: üst bilgi tabanlı kimlik doğrulaması için uygulama proxy'si ile çoklu oturum açma.To configure header-based authentication, see Header-based authentication for single sign-on with Application Proxy.

Azure AD için PingAccess nedir?What is PingAccess for Azure AD?

Azure AD, kullanıcıları için PingAccess kullanarak erişim ve tek kimlik doğrulaması için üst bilgi kullanan uygulamalar için oturum.Using PingAccess for Azure AD, users can access and single sign-on to applications that use headers for authentication. Uygulama Ara sunucusu, bu uygulamaları diğer, Azure AD kimlik doğrulaması yapmak için kullanarak ve ardından bağlayıcı hizmetini üzerinden trafiği geçirerek gibi davranır.Application Proxy treats these applications like any other, using Azure AD to authenticate access and then passing traffic through the connector service. PingAccess hizmeti Azure AD erişim belirteci kimlik doğrulaması gerçekleştikten sonra uygulamaya gönderilen bir üstbilgi biçimine çevirir.After authentication occurs, the PingAccess service translates the Azure AD access token into a header format that is sent to the application.

Kurumsal uygulamalarınıza kullanmak oturum açtığında, kullanıcılar farklı bir şey fark olmaz.Your users won’t notice anything different when they sign in to use your corporate applications. Bunlar yine de her yerde her cihazda çalışabilirsiniz.They can still work from anywhere on any device. Uygulama Ara sunucusu bağlayıcıları doğrudan tüm uygulamalara uzaktan trafiği ve otomatik olarak yük dengelemesi devam edeceğiz.The Application Proxy connectors direct remote traffic to all applications, and they’ll continue to load balance automatically.

Bir lisans için PingAccess nasıl alabilirim?How do I get a license for PingAccess?

Bu senaryo Azure AD arasındaki iş ortaklığı ile sunulan bu yana PingAccess, ihtiyacınız ve lisansları için her iki hizmet.Since this scenario is offered through a partnership between Azure AD and PingAccess, you need licenses for both services. Ancak, en fazla 20 uygulamaları kapsayan temel bir PingAccess lisansı Azure AD Premium abonelikleri içerir.However, Azure AD Premium subscriptions include a basic PingAccess license that covers up to 20 applications. 20'den fazla üst bilgi tabanlı uygulamaları yayımlamak gerekiyorsa, ek bir PingAccess lisanstan elde edebilirsiniz.If you need to publish more than 20 header-based applications, you can acquire an additional license from PingAccess.

Daha fazla bilgi için bkz. Azure Active Directory sürümleri.For more information, see Azure Active Directory editions.