Sdílet prostřednictvím

Povolení jednotného přihlašování pro podnikovou aplikaci se spolehlivým poskytovatelem služeb tokenů

V tomto článku použijete Centrum pro správu Microsoft Entra k povolení jednotného přihlašování (SSO) pro podnikovou aplikaci, která je závislá na službě tokenů zabezpečení předávající strany (STS). Relying Party STS podporuje Security Assertion Markup Language (SAML) a lze ji integrovat s Microsoft Entra jako podnikovou aplikaci. Po nakonfigurování jednotného přihlašování se uživatelé můžou k aplikaci přihlásit pomocí svých přihlašovacích údajů Microsoft Entra.

Diagram znázorňující vztah důvěryhodnosti mezi aplikací, STS spoléhající strany a Microsoft Entra ID jako zprostředkovatelem identity.

Pokud se vaše aplikace integruje přímo s Microsoft Entra pro jednotné přihlašování a nevyžaduje službu tokenů zabezpečení předávající strany (STS), přečtěte si článek Povolení jednotného přihlašování pro podnikovou aplikaci.

Před konfigurací aplikace v produkčním tenantovi doporučujeme použít neprodukční prostředí k otestování kroků v tomto článku.

Požadavky

Ke konfiguraci jednotného přihlašování potřebujete:

  • Služba zabezpečení předávající strany, jako je Služba AD FS (Active Directory Federation Services) nebo PingFederate s koncovými body HTTPS
    1. Budete potřebovat identifikátor entity (ID entity) spoléhající strany STS. Musí být jedinečný pro všechny společnosti spoléhající se na STS a aplikace nakonfigurované v tenantu Microsoft Entra. V jednom tenantovi Microsoft Entra nemůže existovat dvě aplikace se stejným identifikátorem entity. Například pokud je služba Active Directory Federation Services (AD FS) službou STS přijímající strany, pak může být identifikátor ve formě URL http://{hostname.domain}/adfs/services/trust.
    2. Potřebujete také adresu URL služby příjemce prohlášení nebo adresu URL odpovědi důvěřující strany. Tato adresa URL musí být HTTPS adresa URL pro bezpečné předávání tokenů SAML z Microsoft Entra do STS důvěřující strany jako součást jednotného přihlašování do aplikace. Například pokud je AD FS spoléhajícím se stranou STS, může mít adresa URL formát https://{hostname.domain}/adfs/ls/.
  • Aplikace, která už byla integrována s danou spolehlivou stranou STS
  • Jedna z následujících rolí v Microsoft Entra: Správce cloudových aplikací, Správce aplikací
  • Testovací uživatel v Microsoft Entra, který se může přihlásit k aplikaci

Poznámka:

V tomto kurzu se předpokládá, že existuje jeden tenant Microsoft Entra, jeden token zabezpečení předávající strany a jedna aplikace připojená ke službě tokenů zabezpečení předávající strany. V tomto kurzu se dozvíte, jak nakonfigurovat Microsoft Entra tak, aby pomocí identifikátoru entity poskytovaného službou STS důvěřující strany určila vhodnou podnikovou aplikaci pro odeslání tokenu SAML v odpovědi. Pokud jste měli více než jednu aplikaci připojenou k jedné spolehlivé straně STS, Microsoft Entra by nebyl schopen rozlišit mezi těmito dvěma aplikacemi při vydávání tokenů SAML. Konfigurace různých identifikátorů entit je mimo rozsah tohoto kurzu.

Vytvoření aplikace v Microsoft Entra

Nejprve vytvořte podnikovou aplikaci v Microsoft Entra, která umožní generování SAML tokenů pro zprostředkující službu zabezpečení (STS) poskytující tyto tokeny aplikaci.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
  2. Přejděte dopodnikových aplikací>Entra ID>Všechny aplikace.
  3. Pokud jste už nakonfigurovali aplikaci představující důvěřující stranu STS, zadejte název existující aplikace do vyhledávacího pole, vyberte aplikaci z výsledků hledání a pokračujte na další část.
  4. Vyberte Nová aplikace.
  5. Vyberte Vytvořit vlastní aplikaci.
  6. Do pole pro zadání názvu zadejte název nové aplikace, vyberte Integrovat jakoukoli jinou aplikaci, kterou nenajdete v galerii (mimo galerii) a vyberte Vytvořit.

Konfigurace jednotného přihlašování v aplikaci

  1. V části Spravovat v levé nabídce vyberte jednotné přihlašování a otevřete podokno jednotného přihlašování pro úpravy.

  2. Výběrem SAML otevřete stránku konfigurace jednotného přihlašování.

  3. V poli Základní konfigurace SAML vyberte Upravit. Identifikátor a adresa URL odpovědi musí být nastaveny, aby bylo možné provést další změny konfigurace SAML. Snímek obrazovky znázorňující požadovanou základní konfiguraci SAML pro jednotné přihlašování pro podnikovou aplikaci

  4. Na stránce základní konfigurace SAML v části Identifikátor (ID entity), pokud není uveden žádný identifikátor, vyberte možnost Přidat identifikátor. Zadejte identifikátor aplikace, jak ji poskytuje STS strany, na kterou se spoléhá. Například identifikátor může být adresa URL formuláře http://{hostname.domain}/adfs/services/trust.

  5. Na stránce základní konfigurace SAML v části Adresa URL odpovědi (adresa URL služby Assertion Consumer Service) vyberte Přidat adresu URL odpovědi. Zadejte adresu URL HTTPS důvěřující strany služby STS Assertion Consumer Service. Například adresa URL může být ve formuláři https://{hostname.domain}/adfs/ls/.

  6. Volitelně můžete nakonfigurovat URL přihlášení, URL předávacího stavu nebo URL odhlášení, pokud to vyžaduje STS předávající strany.

  7. Vyberte Uložit.

Stažení metadat a certifikátů z Microsoft Entra

Služba zabezpečení předávající strany může k dokončení konfigurace vyžadovat federační metadata od Microsoft Entra jako zprostředkovatele identity. Federační metadata a přidružené certifikáty jsou k dispozici v části Certifikáty SAML na stránce základní konfigurace SAML . Další informace najdete v tématu federační metadata.

Snímek obrazovky znázorňující možnosti stahování podpisových certifikátů SAML a metadat federace pro podnikovou aplikaci

  • Pokud služba tokenů zabezpečení předávající strany může stáhnout federační metadata z internetového koncového bodu, zkopírujte hodnotu vedle adresy URL federačních metadat aplikace.
  • Pokud vaše STS předávající strana vyžaduje místní soubor XML obsahující federační metadata, vyberte Stáhnout vedle souboru XML federačních metadat.
  • Pokud služba tokenů zabezpečení předávající strany vyžaduje certifikát zprostředkovatele identity, vyberte Stáhnout vedle Certifikát (Base64) nebo Certifikát (Raw).
  • Pokud služba zabezpečení předávající strany nepodporuje federační metadata, zkopírujte přihlašovací adresu URL a identifikátor Microsoft Entra a nakonfigurujte službu zabezpečení předávající strany STS. Snímek obrazovky s adresou URL a identifikátorem přihlášení Microsoft Entra pro podnikovou aplikaci

Nakonfigurujte nároky vydané Microsoftem Entra

Ve výchozím nastavení se do tokenu SAML, který Microsoft Entra odesílá spoléhající se straně STS, zahrne pouze několik atributů uživatelů Microsoft Entra. Můžete přidat další deklarace identity, které vaše aplikace vyžadují, a změnit atribut zadaný v identifikátoru názvu SAML. Další informace o standardních deklaracích identity najdete v tématu Referenční informace k deklaracím tokenů SAML.

  1. V poli Atributy a deklarace identity vyberte Upravit.
  2. Pokud chcete změnit atribut Entra ID, který se odešle jako hodnota identifikátoru názvu, vyberte řádek Jedinečný identifikátor uživatele (ID názvu). Zdrojový atribut můžete změnit na jiný předdefinovaný atribut Microsoft Entra nebo atribut rozšíření. Pak vyberte Uložit.
  3. Pokud chcete změnit, který atribut Entra ID je odeslán jako hodnota deklarace identity již nakonfigurovaná, vyberte řádek v části Další deklarace identity .
  4. Pokud chcete přidat novou deklaraci identity, vyberte Přidat novou deklaraci identity.
  5. Po dokončení zavřete tuto obrazovku výběrem přihlášení založeného na SAML .

Konfigurace, kdo se může přihlásit k aplikaci

Při testování konfigurace byste měli přiřadit určeného testovacího uživatele aplikaci v Microsoft Entra, abyste ověřili, že se uživatel může přihlásit k aplikaci prostřednictvím Microsoft Entra a služby předávající strany.

  1. V části Spravovat v nabídce vlevo vyberte Vlastnosti.
  2. Ujistěte se, že hodnota Povoleno pro uživatele, kteří se mají přihlásit , je nastavená na Ano.
  3. Ujistěte se, že je hodnota požadovaná pro přiřazení nastavená na Ano.
  4. Pokud jste provedli nějaké změny, vyberte Uložit.
  5. V části Spravovat v nabídce vlevo vyberte Uživatelé a skupiny.
  6. Vyberte Přidat uživatele nebo skupinu.
  7. Vyberte Žádné nevybráno.
  8. Do vyhledávacího pole zadejte jméno testovacího uživatele, vyberte ho a vyberte Vybrat.
  9. Vyberte Přiřadit a přiřaďte uživatele k výchozí roli uživatele aplikace.
  10. V části Zabezpečení v levé nabídce vyberte Podmíněný přístup.
  11. Vyberte Co když.
  12. Vyberte Žádný uživatel nebo služební principal nebyl vybrán, vyberte Není vybrán žádný uživatel, a vyberte uživatele, který byl dříve přiřazen k aplikaci.
  13. Vyberte Libovolnou cloudovou aplikaci a vyberte podnikovou aplikaci.
  14. Vyberte Co když. Ověřte, že všechny zásady, které se použijí, umožní uživateli přihlásit se k aplikaci.

Konfigurace Microsoft Entra jako zprostředkovatele identity ve službě STS předávající strany

Dále naimportujte metadata federace do STS převzaté strany. Následující kroky se zobrazují pomocí služby AD FS, ale místo toho je možné použít službu STS jiné předávající strany.

  1. V seznamu vztahů důvěryhodnosti zprostředkovatele deklarací identity STS důvěřující strany vyberte Přidat vztah důvěryhodnosti zprostředkovatele deklarací a vyberte Spustit.
  2. V závislosti na tom, jestli jste stáhli federační metadata z Microsoft Entra, vyberte Importovat data o zprostředkovateli deklarací identity publikovaném online nebo v místní síti nebo importovat data o zprostředkovateli deklarací identity ze souboru.
  3. Možná budete muset také poskytnout certifikát Microsoft Entra spoléhající straně STS.
  4. Po dokončení konfigurace Microsoft Entra jako zprostředkovatele identity ověřte, že:
    • Identifikátor zprostředkovatele deklarací identity je identifikátor URI formuláře https://sts.windows.net/{tenantid}.
    • Pokud používáte globální službu Microsoft Entra ID, koncové body pro jednotné přihlašování SAML jsou URI ve formátu https://login.microsoftonline.com/{tenantid}/saml2. Informace o národních cloudech najdete v tématu Ověřování Microsoft Entra a národní cloudy.
    • Certifikát Microsoft Entra je rozpoznán službou STS předávající strany.
    • Není nakonfigurováno žádné šifrování.
    • Deklarace nakonfigurované v Microsoft Entra jsou uvedeny jako dostupné pro mapování pravidel deklarací v důvěřující straně STS. Pokud jste následně přidali další nároky, budete je možná muset přidat také do konfigurace poskytovatele identity ve službě STS důvěřující strany.

Konfigurace pravidel deklarací identity ve službě STS spoléhající se strany

Jakmile budou požadavky, které Microsoft Entra odešle jako poskytovatel identity, známy straně spoléhající se na STS, bude potřeba je namapovat nebo transformovat na požadavky potřebné vaší aplikací. Následující kroky se zobrazují pomocí služby AD FS, ale místo toho je možné použít službu STS jiné předávající strany.

  1. V seznamu důvěryhodnosti poskytovatelů deklarací pro předávající stranu STS vyberte důvěryhodnost poskytovatele deklarací pro Microsoft Entra a zvolte Upravit pravidla deklarací.
  2. Pro každý požadavek, který poskytuje Microsoft Entra a který vyžaduje vaše aplikace, vyberte Přidat pravidlo. V každém pravidlu vyberte Předávat nebo Filtrovat příchozí nárok nebo Transformovat příchozí nárok na základě požadavků vaší aplikace.

Otestování jednotného přihlašování k aplikaci

Jakmile je aplikace nakonfigurovaná v Microsoft Entra a STS vaší důvěřující strany, mohou se k ní uživatelé přihlásit prostřednictvím ověření na Microsoft Entra, a mít token, který Microsoft Entra transformoval pomocí STS vaší důvěřující strany do formátu a požadavků na deklarace vyžadovaných vaší aplikací.

Tento kurz ukazuje testování toku přihlašování pomocí webové aplikace, která implementuje vzor jednotného přihlašování iniciovaného předávající stranou. Další informace najdete v tématu Protokol SAML jednotného přihlašování.

Diagram ukazuje přesměrování webového prohlížeče mezi aplikací, STS důvěřující strany a ID Microsoft Entra jako poskytovatelem identity.

  1. Ve webovém prohlížeči se připojte k aplikaci a spusťte proces přihlášení. Aplikace přesměruje webový prohlížeč na STS (službu tokenů zabezpečení) spoléhající strany a STS této strany určuje poskytovatele identity, kteří mohou poskytovat příslušné deklarace.
  2. Pokud se zobrazí výzva, vyberte v komponentě Relying Party STS zprostředkovatele identity Microsoft Entra. Služba STS přesměruje webový prohlížeč na koncový bod přihlášení Microsoft Entra, https://login.microsoftonline.com, pokud je používána globální služba Microsoft Entra ID.
  3. Přihlaste se k Microsoft Entra pomocí identity testovacího uživatele, který byl dříve nakonfigurován v kroku konfigurace, kdo se může přihlásit k aplikaci. Microsoft Entra pak vyhledá podnikovou aplikaci na základě identifikátoru entity a přesměruje webový prohlížeč na koncový bod URL odpovědi STS spolehlivé strany, přičemž webový prohlížeč přenáší token SAML.
  4. STS důvěřující strany ověří, že token SAML vydal Microsoft Entra, poté extrahuje a transformuje deklarace identity z tokenu SAML a přesměruje webový prohlížeč k aplikaci. Ověřte, že vaše aplikace prostřednictvím tohoto procesu obdržela požadované deklarace identity od Microsoft Entra.

Dokončení konfigurace

  1. Po otestování počáteční konfigurace přihlašování budete muset zajistit, aby služba STS spoléhající strany zůstala aktuální, jelikož do Microsoft Entra jsou přidávány nové certifikáty. Některé služby zabezpečení předávající strany můžou mít integrovaný proces pro monitorování federačních metadat zprostředkovatele identity.
  2. Tento kurz znázorňuje konfiguraci jednotného přihlašování. STS služby spoléhající strany může také podporovat jednotné odhlašování SAML. Další informace o této funkci naleznete v tématu Jednotný Sign-Out SAML protokol.
  3. Přiřazení testovacího uživatele k aplikaci můžete odebrat. K přiřazení uživatelů k aplikaci můžete použít další funkce, jako jsou dynamické skupiny nebo správa nároků. Další informace najdete v tématu Rychlý start: Vytvoření a přiřazení uživatelského účtu.

Další kroky