Aktivieren des einmaligen SAML-Anmeldens für eine Unternehmensanwendung

In diesem Artikel verwenden Sie Microsoft Entra Admin Center, um das einmalige Anmelden (Single Sign-On, SSO) für eine Unternehmensanwendung zu aktivieren, die Sie Ihrem Microsoft Entra-Mandanten hinzugefügt haben. Nachdem Sie das einmalige Anmelden konfiguriert haben, können sich Ihre Benutzer*innen mit ihren Microsoft Entra-Anmeldeinformationen anmelden.

Microsoft Entra ID enthält einen Katalog mit Tausenden von vorab integrierten Anwendungen, die das einmalige Anmelden nutzen. In diesem Artikel wird eine Unternehmensanwendung namens Microsoft Entra SAML Toolkit 1 als Beispiel verwendet, aber die Konzepte gelten für die meisten vorkonfigurierten Unternehmensanwendungen im Microsoft Entra-Anwendungskatalog.

Wenn Ihre Anwendung nicht direkt in Microsoft Entra für einmaliges Anmelden integriert wird, und stattdessen Token von einem Sicherheitstokendienst (Security Token Service, STS) der vertrauenden Seite bereitgestellt werden, lesen Sie den Artikel Aktivieren des einmaligen Anmeldens für eine Unternehmensanwendung mit einem Sicherheitstokendienst der vertrauenden Seite.

Wir empfehlen, zum Testen der Schritte in diesem Artikel keine Produktionsumgebung zu verwenden.

Voraussetzungen

Zum Konfigurieren des einmaligen Anmeldens benötigen Sie Folgendes:

• Ein Microsoft Entra-Benutzerkonto. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen: Cloudanwendungsadministrator, Anwendungsadministrator oder Besitzer des Dienstprinzipals.
• Abschluss der Schritte in der Schnellstartanleitung: Erstellen und Zuweisen eines Benutzerkontos.

Einmaliges Anmelden aktivieren

So aktivieren Sie einmaliges Anmelden für eine Anwendung:

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>alle Anwendungen.

3. Geben Sie den Namen einer vorhandenen Anwendung in das Suchfeld ein, und wählen Sie die Anwendung in den Ergebnissen aus. Beispiel: Microsoft Entra SAML Toolkit 1.

4. Wählen Sie im Abschnitt "Verwalten" des linken Menüs " Einmaliges Anmelden " aus, um den Bereich " Einmaliges Anmelden " zur Bearbeitung zu öffnen.

5. Wählen Sie SAML aus, um die SSO-Konfigurationsseite zu öffnen. Nach dem Konfigurieren der Anwendung können sich Benutzer*innen mit ihren Anmeldeinformationen des Microsoft Entra-Mandanten bei ihr anmelden.

6. Der Prozess zum Konfigurieren einer Anwendung für die Verwendung von Microsoft Entra ID für SAML-basiertes SSO variiert je nach Anwendung. Verwenden Sie für eine der Unternehmensanwendungen im Katalog den Link zum Konfigurationshandbuch , um Informationen zu den Schritten zu finden, die zum Konfigurieren der Anwendung erforderlich sind. Die Schritte für das Microsoft Entra SAML Toolkit 1 sind in diesem Artikel aufgeführt.

   

7. Notieren Sie im Abschnitt "Einrichten von Microsoft Entra SAML Toolkit 1 " die Werte der Anmelde-URL, der Microsoft Entra-ID und der Anmelde-URL , die später verwendet werden sollen.

Konfigurieren des einmaligen Anmeldens im Mandanten

Sie fügen Werte für die Anmelde- und Antwort-URL hinzu und laden ein Zertifikat herunter, um mit der Konfiguration des einmaligen Anmeldens in Microsoft Entra ID zu beginnen.

So konfigurieren Sie das einmalige Anmelden in Microsoft Entra ID:

1. Wählen Sie im Microsoft Entra Admin Center im Abschnitt "Grundlegende SAML-Konfiguration" im Bereich "Single Sign-On mit SAML einrichten" die Option "Bearbeiten" aus.
2. Geben Sie für Antwort-URL (Assertion Consumer Service URL) folgendes https://samltoolkit.azurewebsites.net/SAML/Consume ein.
3. Geben Sie unter Anmelde-URL die URL https://samltoolkit.azurewebsites.net/ ein. Der Bezeichner (Entitäts-ID) ist in der Regel eine URL, die für die Anwendung spezifisch ist, mit der Sie eine Integration ausführen. Für die Microsoft Entra SAML Toolkit 1-Anwendung in diesem Beispiel wird der Wert automatisch generiert, sobald Sie die Werte für die Anmelde-URL und die Antwort-URL eingegeben haben. Befolgen Sie die spezifische Anleitung zur Konfiguration der Anwendung, mit der Sie die Integration vornehmen, um den richtigen Wert zu ermitteln.
4. Wählen Sie "Speichern" aus.
5. Wählen Sie im Abschnitt "SAML-Zertifikate " die Option " Zertifikat herunterladen(Roh )" aus, um das SAML-Signaturzertifikat herunterzuladen und zu speichern, damit es später verwendet werden kann.

Konfigurieren des einmaligen Anmeldens in der Anwendung

Bei Verwendung des einmaligen Anmeldens in der Anwendung müssen Sie das Benutzerkonto bei der Anwendung registrieren und die zuvor notierten SAML-Konfigurationswerte hinzufügen.

Registrieren des Benutzerkontos

So registrieren Sie ein Benutzerkonto bei der Anwendung:

1. Öffnen Sie ein neues Browserfenster, und navigieren Sie zur Anmelde-URL für die Anwendung. Für die Microsoft Entra SAML Toolkit-Anwendung lautet https://samltoolkit.azurewebsites.netdie Adresse .

2. Wählen Sie " Registrieren" in der oberen rechten Ecke der Seite aus.

3. Geben Sie für E-Mail die E-Mail-Adresse des Benutzers ein, der auf die Anwendung zugreifen kann. Stellen Sie sicher, dass das Benutzerkonto der Anwendung bereits zugewiesen ist.

4. Geben Sie ein Kennwort ein, und bestätigen Sie es.

5. Wählen Sie "Registrieren" aus.

Konfigurieren von SAML-Einstellungen

So konfigurieren Sie die SAML-Einstellungen für die Anwendung:

1. Melden Sie sich auf der Anmeldeseite der Anwendung mit den Anmeldeinformationen des Benutzerkontos an, das Sie der Anwendung bereits zugewiesen haben, wählen Sie in der oberen linken Ecke der Seite SAML-Konfiguration aus.
2. Wählen Sie "Erstellen" in der Mitte der Seite aus.
3. Geben Sie für anmelde-URL, Microsoft Entra Identifier und Logout-URL die Werte ein, die Sie zuvor aufgezeichnet haben.
4. Wählen Sie "Datei auswählen ", um das Zertifikat hochzuladen, das Sie zuvor heruntergeladen haben.
5. Wählen Sie "Erstellen" aus.
6. Kopieren Sie die Werte der SP Initiated Login URL und der Assertion Consumer Service (ACS)-URL, die später verwendet werden sollen.

Aktualisieren der Werte für einmaliges Anmelden

Verwenden Sie die Werte, die Sie für die vom SP initiierte Anmelde-URL und die Assertion Consumer Service (ACS)-URL aufgezeichnet haben, um die Single Sign-On-Werte in Ihrem Mandanten zu aktualisieren.

So aktualisieren Sie die Werte für einmaliges Anmelden:

1. Wählen Sie im Microsoft Entra Admin Center im Abschnitt "Grundlegende SAML-Konfiguration" im Bereich "Einmaliges Anmelden einrichten" die Option "Bearbeiten" aus.
2. Geben Sie für die Antwort-URL (Assertion Consumer Service URL) den URL-Wert des Assertion Consumer Service (ACS) ein, den Sie zuvor aufgezeichnet haben.
3. Geben Sie bei der Anmelde-URL den SP-initiierte Anmelde-URL-Wert ein, den Sie zuvor aufgezeichnet haben.
4. Wählen Sie "Speichern" aus.

Testen des einmaligen Anmeldens

Sie können die Konfiguration für einmaliges Anmelden im Bereich " Einmaliges Anmelden einrichten " testen.

So testen Sie einmaliges Anmelden:

1. Wählen Sie im Abschnitt " Einmaliges Anmelden mit Microsoft Entra SAML Toolkit 1 " im Bereich "Einmaliges Anmelden mit SAML einrichten " die Option "Testen" aus.
2. Melden Sie sich bei der Anwendung mit den Microsoft Entra-Anmeldeinformationen des Benutzerkontos an, das Sie der Anwendung zugewiesen haben.

Nächste Schritte

• Verwalten des Self-Service-Zugriffs
• Konfigurieren der Benutzergenehmigung
• Erteilen einer mandantenweiten Administratoreinwilligung.