在应用程序代理中使用声明感知应用

  • 项目

声明感知应用对安全令牌服务 (STS) 执行重定向。 STS 请求用来自用户的凭据交换令牌,然后将用户重定向到应用程序。 有几种方式可让应用程序代理使用这些重定向。 使用本文配置声明感知应用的部署。

先决条件

充当声明感知应用重定向目标的 STS 必须在本地网络之外可用。 通过代理或允许外部连接公开它。

发布应用程序

  1. 根据使用应用程序代理发布应用程序中的说明发布应用程序。
  2. 导航到门户中的应用程序页,选择“单一登录”
  3. 如果选择“Microsoft Entra ID”作为“预身份验证方法”,请选择“禁用 Microsoft Entra 单一登录”作为“内部身份验证方法”。 如果选择“传递”作为“预身份验证方法”,则无需更改任何内容。

配置 Active Directory 联合身份验证服务

可以通过以下两种方式之一为声明感知的应用程序配置 Active Directory 联合身份验证服务。 第一种方式是使用自定义域。 第二种方式是使用 WS 联合身份验证。

方法 1:自定义域

如果应用程序的所有内部 URL 都是完全限定的域名 (FQDN),则可以配置应用程序的自定义域。 使用自定义域创建与内部 URL 相同的外部 URL。 外部 URL 匹配内部 URL 时,无论用户是在本地还是远程,STS 重定向都会起作用。

方法 2:WS 联合身份验证

  1. 打开 Active Directory 联合身份验证服务管理。

  2. 转到“信赖方信任”,右键单击要使用应用程序代理进行发布的应用,并选择“属性”

    Relying Party Trusts right-click on app name - screenshot

  3. 在“终结点”选项卡的“终结点类型”下,选择“WS-Federation”。

  4. 在“受信任的 URL”下,输入 URL(曾在应用程序代理的“外部 URL”下输入过),并选择“确定”。

    Add an Endpoint - set Trusted URL value - screenshot

后续步骤