Jednotné přihlašování (SSO) kontrolního výrazu zabezpečení (SAML) pro místní aplikace s proxy aplikací

Poskytněte jednotné přihlašování k místním aplikacím zabezpečeným pomocí ověřování SAML (Security Assertion Markup Language). Poskytnutí vzdáleného přístupu k aplikacím jednotného přihlašování založenému na SAML prostřednictvím proxy aplikací S jednotným přihlašováním SAML se Microsoft Entra ověřuje v aplikaci pomocí účtu Microsoft Entra uživatele. Služba Microsoft Entra ID předává přihlašovací informace aplikaci prostřednictvím protokolu připojení. Uživatele můžete také mapovat na konkrétní aplikační role na základě pravidel definovaných v deklaracích SAML. Povolením proxy aplikací kromě jednotného přihlašování SAML mají vaši uživatelé externí přístup k aplikaci a bezproblémové jednotné přihlašování.

Aplikace musí být schopné využívat tokeny SAML vydané id Microsoft Entra. Tato konfigurace se nevztahuje na aplikace používající místního zprostředkovatele identity. Pro tyto scénáře doporučujeme zkontrolovat prostředky pro migraci aplikací do Microsoft Entra ID.

Jednotné přihlašování SAML s proxy aplikací funguje také s funkcí šifrování tokenu SAML. Další informace najdete v tématu Konfigurace šifrování tokenu SAML microsoft Entra.

Diagramy protokolu popisují sekvenci jednotného přihlašování pro tok iniciovaný poskytovatelem služeb (sp-inicializován) i tok iniciovaný zprostředkovatelem identity (iniciovaný zprostředkovatele identity). Proxy aplikací funguje s jednotným přihlašováním SAML ukládáním požadavku SAML do mezipaměti a odpovědí na místní aplikaci a z místní aplikace.

Vytvoření aplikace a nastavení jednotného přihlašování SAML

1. V Centru pro správu Microsoft Entra vyberte podnikové aplikace Microsoft Entra ID > a vyberte Nová aplikace.

2. Zadejte zobrazovaný název nové aplikace, vyberte Integrovat jakoukoli jinou aplikaci, kterou v galerii nenajdete, a pak vyberte Vytvořit.

3. Na stránce Přehled aplikace vyberte jednotné přihlašování.

4. Jako metodu jednotného přihlašování vyberte SAML .

5. Nejprve nastavte jednotné přihlašování SAML tak, aby fungovalo v podnikové síti, přečtěte si základní část konfigurace SAML konfigurace jednotného přihlašování založeného na SAML pro konfiguraci ověřování založeného na SAML pro aplikaci.

6. Přidejte do aplikace aspoň jednoho uživatele a ujistěte se, že má testovací účet přístup k aplikaci. Při připojení k podnikové síti pomocí testovacího účtu zjistěte, jestli máte k aplikaci jednotné přihlašování.

   Poznámka:

   Po nastavení proxy aplikace se vrátíte a aktualizujete adresu URL odpovědi SAML.

Publikování místní aplikace pomocí proxy aplikací

Před poskytnutím jednotného přihlašování pro místní aplikace povolte proxy aplikací a nainstalujte konektor. Přečtěte si další informace o tom, jak připravit místní prostředí, nainstalovat a zaregistrovat konektor a otestovat konektor. Jakmile konektor nastavíte, publikujte novou aplikaci pomocí proxy aplikací podle těchto kroků.

1. Pokud je aplikace stále otevřená v Centru pro správu Microsoft Entra, vyberte proxy aplikace. Zadejte interní adresu URL aplikace. Pokud používáte vlastní doménu, musíte také nahrát certifikát TLS/SSL pro vaši aplikaci.

   Poznámka:

   Osvědčeným postupem je použít vlastní domény, kdykoli je to možné pro optimalizované uživatelské prostředí. Přečtěte si další informace o práci s vlastními doménami v proxy aplikací Microsoft Entra.

2. Jako metodu předběžného ověřování pro vaši aplikaci vyberte MICROSOFT Entra ID.

3. Zkopírujte externí adresu URL aplikace. K dokončení konfigurace SAML potřebujete tuto adresu URL.

4. Pomocí testovacího účtu zkuste otevřít aplikaci s externí adresou URL a ověřte, že je proxy aplikace správně nastavený. Pokud dojde k problémům, přečtěte si téma Řešení potíží s proxy aplikací a chybovými zprávami.

Aktualizace konfigurace SAML

1. Pokud je aplikace stále otevřená v Centru pro správu Microsoft Entra, vyberte jednotné přihlašování.

2. Na stránce Nastavit jednotné přihlašování pomocí SAML přejděte na nadpis Základní konfigurace SAML a vyberte ikonu Upravit (tužka). Ujistěte se, že je externí adresa URL nakonfigurovaná v proxy aplikací vyplněná v polích Identifikátor, Adresa URL odpovědi a Adresa URL pro odhlášení. Tyto adresy URL jsou vyžadovány, aby proxy aplikace fungoval správně.

3. Upravte dříve nakonfigurovanou adresu URL odpovědi tak, aby se její doména dostala na internetu přes proxy aplikace. Pokud je vaše externí adresa URL a původní adresa URL odpovědi byla https://contosotravel.com/acs, musíte aktualizovat původní adresu URL odpovědi na https://contosotravel-f128.msappproxy.net/acshttps://contosotravel-f128.msappproxy.net .

4. Zaškrtněte políčko vedle aktualizované adresy URL odpovědi, abyste ji označili jako výchozí.

   • Po označení požadované adresy URL odpovědi jako výchozí můžete také odstranit dříve nakonfigurovanou adresu URL odpovědi, která používala interní adresu URL.

   • V případě toku iniciovaného aktualizací SP se ujistěte, že back-endová aplikace určuje správnou adresu URL odpovědi nebo adresu URL služby Assertion Consumer service pro příjem ověřovacího tokenu.

   Poznámka:

   Pokud back-endová aplikace očekává, že adresa URL odpovědi bude interní adresou URL, musíte buď použít vlastní domény, aby měly odpovídající interní a externí adresy URL, nebo nainstalovat Moje aplikace zabezpečené přihlašovací rozšíření na zařízení uživatelů. Toto rozšíření se automaticky přesměruje na příslušnou službu proxy aplikací. Pokud chcete rozšíření nainstalovat, přečtěte si Moje aplikace zabezpečené rozšíření pro přihlášení.

Testování aplikace

Vaše aplikace je spuštěná a spuštěná. Otestování aplikace:

1. Otevřete prohlížeč a přejděte na externí adresu URL , kterou jste vytvořili při publikování aplikace.
2. Přihlaste se pomocí testovacího účtu, který jste přiřadili k aplikaci. Měli byste být schopni načíst aplikaci a mít do aplikace jednotné přihlašování.

Další kroky

• Jak proxy aplikace Microsoft Entra poskytuje jednotné přihlašování?
• Řešení potíží s proxy aplikací