Mi az a Microsoft egyszeri bejelentkezési megoldás Linuxhoz?

A Linux microsoftos egyszeri bejelentkezését (SSO) a Microsoft Identity Broker működteti, amely egy szoftverösszetevő, amely integrálja a Linux-eszközöket a Microsoft Entra ID-val. Ez a megoldás lehetővé teszi a felhasználók számára, hogy egyszer hitelesítsék magukat a Microsoft Entra-azonosítójuk hitelesítő adataival, és több alkalmazáshoz és erőforráshoz férnek hozzá ismétlődő hitelesítési kérések nélkül. A szolgáltatás leegyszerűsíti a bejelentkezési folyamatot a felhasználók számára, és csökkenti a rendszergazdák jelszókezelési többletterhelését.

Features

Ez a funkció lehetővé teszi a Linux asztali ügyfelek felhasználói számára, hogy regisztrálják eszközeiket a Microsoft Entra-azonosítóval, regisztráljanak az Intune-felügyeletbe, és megfeleljenek az eszközalapú feltételes hozzáférési szabályzatoknak a vállalati erőforrások elérésekor.

  • A Microsoft Entra ID regisztrációját és Linux-asztali számítógépek regisztrációját biztosítja
  • SSO-képességeket biztosít natív és webes alkalmazásokhoz (például Azure CLI, Microsoft Edge, Teams PWA) a Microsoft 365 és az Azure által védett erőforrások eléréséhez
  • Egyszeri bejelentkezést biztosít a Microsoft Entra-fiókokhoz olyan alkalmazásokhoz, amelyek az MSAL for .NET-hez vagy a Pythonhoz készült MSAL-t használják, lehetővé téve az ügyfelek számára, hogy a Microsoft Authentication Library (MSAL) használatával integrálják az egyszeri bejelentkezést az egyéni alkalmazásokba
  • Feltételes hozzáférési szabályzatok engedélyezése a webalkalmazások Microsoft Edge-en keresztüli védelméhez
  • Az Intune szabványos megfelelőségi szabályzatainak engedélyezése
  • Engedélyezi a Bash-szkriptek támogatását az egyéni megfelelőségi szabályzatokhoz

A Teams webalkalmazás és a Linuxhoz készült progresszív webalkalmazás (PWA) a Microsoft Intune-on keresztül alkalmazott feltételes hozzáférési konfigurációt használja, hogy a Linux-felhasználók hozzáférhessenek a Teamshez a Microsoft Edge használatával.

Előfeltételek

Támogatott operációs rendszerek

A Linuxhoz készült Microsoft egyszeri bejelentkezés a következő operációs rendszereken támogatott (fizikai vagy Hyper-V x86/64 processzorral rendelkező gépeken):

  • Ubuntu Desktop 26.04 LTS (hosszú távú támogatás)
  • Ubuntu Desktop 24.04 LTS (hosszú távú támogatás)
  • Red Hat Enterprise Linux 9 (hosszú távú támogatás)
  • Red Hat Enterprise Linux 10 (hosszú távú támogatás)

Rendszerkövetelmények

  • Internetkapcsolat csomagtelepítéshez és Microsoft Entra ID-kommunikációhoz
  • Rendszergazdai jogosultságok a telepítéshez
  • Asztali környezet (GNOME, KDE vagy hasonló)

A Microsoft Entra azonosítóra vonatkozó követelményei

  • Microsoft Entra ID-bérlő
  • Microsoft Entra-azonosítóval szinkronizált vagy létrehozott felhasználói fiókok
  • A feltételes hozzáférési szabályzatok megfelelő licencelése (ha van)

Egyszeri bejelentkezés (SSO) használata

Az alábbi animáció a Linuxon közvetített folyamatok bejelentkezési felületét mutatja be.

Jelszóhitelesítés használata Linuxon az alábbi animációban látható módon.

A PrMFA linuxos bejelentkezési élményének bemutatója.

Megjegyzés:

microsoft-identity-broker A 3.0.x és a korábbi verziók jelenleg nem támogatják a FIPS-megfelelőséget.

Installation

A linuxos Microsoft egyszeri bejelentkezés alkalmazáscsomag a https://packages.microsoft.com/ címen érhető el. A Linux-szoftvercsomagok Microsoft termékekhez való használatáról, telepítéséről és konfigurálásáról további információt a Microsoft Termékek Linux szoftveradattárában talál.

Egy példaszkript, amely telepíti a Microsoft Single Sign-On alkalmazást és annak függőségeit Linuxhoz és az Intune alkalmazáshoz az eszközére, elérhető a GitHub-on. A telepítés előtt alaposan tekintse át az utasításokat.

Futtassa a következő parancsokat egy parancssorban a Microsoft egyszeri bejelentkezésének (microsoft-identity-broker) és az eszköz függőségeinek manuális telepítéséhez.

  1. Telepítse a Curlt.

    sudo apt install curl gpg

  2. Telepítse a Microsoft csomagaláíró kulcsát.

    # Ubuntu 26.04+ repos are signed with a newer Microsoft GPG key
if dpkg --compare-versions "$RELEASE" ge "26.04"; then
    MS_GPG_KEY_URL="https://packages.microsoft.com/keys/microsoft-2025.asc"
else
    MS_GPG_KEY_URL="https://packages.microsoft.com/keys/microsoft.asc"
fi

# Import Microsoft GPG key (always refresh to pick up key rotations)
curl -fsSL "$MS_GPG_KEY_URL" | gpg --dearmor > "$HOME/microsoft.gpg"
sudo install -o root -g root -m 644 "$HOME/microsoft.gpg" /usr/share/keyrings/
rm -f "$HOME/microsoft.gpg"

  3. Adja hozzá és frissítse a Microsoft Linux-adattárat a rendszeradattár listájára.

    sudo sh -c 'echo "deb [arch=amd64 signed-by=/usr/share/keyrings/microsoft.gpg] https://packages.microsoft.com/ubuntu/$(lsb_release -rs)/prod $(lsb_release -cs) main" >> /etc/apt/sources.list.d/microsoft-ubuntu-$(lsb_release -cs)-prod.list'
sudo apt update

  4. Telepítse a Microsoft egyszeri bejelentkezési (microsoft-identity-broker) alkalmazását.

    sudo apt install microsoft-identity-broker

  5. Indítsa újra az eszközt.

A Microsoft Identity Broker frissítése

Futtassa az alábbi parancsokat a Microsoft Identity Broker manuális frissítéséhez.

  1. Frissítse a csomagtárat és a metaadatokat.

    sudo apt update

  2. Frissítse a Microsoft Identity Broker csomagot.

    sudo apt upgrade microsoft-identity-broker

A Microsoft Identity Broker eltávolítása

Futtassa az alábbi parancsokat a Microsoft Identity Broker eltávolításához és a helyi konfigurációs adatok eltávolításához.

  1. Távolítsa el a Microsoft Identity Brokert a rendszerből.

    sudo apt remove microsoft-identity-broker

  2. Távolítsa el a helyi konfigurációs adatokat.

    sudo apt purge intune-portal
sudo apt purge microsoft-identity-broker

Figyelmeztetés

Vegye figyelembe, hogy a Microsoft Identity Broker eltávolítása nem törli automatikusan az eszköz regisztrációját a Microsoft Entra-azonosítóból, és nem törli az eszköz regisztrációját az Intune felügyeletéből. Az eszközregisztráció eltávolításához használhatja a dsregcmd eszközt , vagy eltávolíthatja az eszközt a Microsoft Entra ID portálról.

Eszköz regisztrációja törlése a dsregc használatával

A 2.5.x microsoft-identity-brokerkiadásával egy új, az dsreg eszköznek nevezett segédprogrammal kezeltük az eszköz regisztrációját a Microsoft Entra-azonosítóval.

Az eszköz Microsoft Entra azonosítóból való törléséhez az dsreg eszköz használatával futtassa a következő parancsot a terminálban, és cserélje le a <tenant-guid> helyére a Microsoft Entra azonosító bérlői GUID-jét:

sudo dsreg --tenant-id <tenant-guid> --unregister

Ha a rendszer rossz állapotba kerül, és meg szeretné tisztítani az összes helyi regisztrációs adatot és kulcsanyagot, használhatja ezt a --cleanup lehetőséget az dsreg eszközzel. Ez a segédprogram-mód olyan esetekben hasznos, amikor gondoskodni szeretne arról, hogy a Microsoft Identity Broker összes helyi nyomkövetése el legyen távolítva az eszközről, például az eszköz hibaelhárítása vagy előkészítése során egy új felhasználó számára.

A dsreg eszközzel történő regisztrálás és bármely kulcsanyag eltávolításához futtassa a következő parancsot a terminálban:

# Clean broker state including certificates (requires sudo)
sudo dsreg --cleanup

Figyelmeztetés

A --cleanup beállítás visszavonhatatlan, és eltávolítja az összes kulcsfontosságú anyagot az eszközről. Óvatosan használja.

Phish-Resistant MFA (PRMFA) engedélyezése Linux-eszközökön

A microsoft-identity-broker verziójától 2.0.2 kezdve az Phish-Resistant MFA (PRMFA) támogatott Linux-eszközökön a következőkkel:

  • Smartcard
  • Tanúsítványalapú hitelesítés (CBA)
  • USB-jogkivonatok, amelyek PIV/Smartcard-kisalkalmazást tartalmaznak

Az intelligenskártya-integráció csak a következő disztribúciókban támogatott:

  • Ubuntu Desktop 24.04 LTS (hosszú távú támogatás)
  • Ubuntu Desktop 22.04 LTS (hosszú távú támogatás)
  • Red Hat Enterprise Linux 10 (hosszú távú támogatás)

A tanúsítványalapú ügyfélhitelesítés a Secure Sockets Layer (TLS/SSL) protokollon keresztül történik. Ebben a folyamatban az ügyfél aláír egy véletlenszerűen létrehozott adatblokkot a titkos kulcsával, majd továbbítja a tanúsítványt és az aláírt adatokat a kiszolgálónak. A kiszolgáló a hozzáférés megadása előtt ellenőrzi az aláírást, és ellenőrzi a tanúsítványt.

A Certificate-Based-hitelesítés (CBA) konfigurálásának legegyszerűbb módja egy olyan PKI-megoldás használata, amely felhasználói tanúsítványokat ad ki Linux-eszközökre. Ezek a tanúsítványok ezután használhatók a Microsoft Entra-azonosítón való hitelesítéshez. Ahhoz, hogy a Linux konfigurálja ezeket a tanúsítványokat hitelesítésre, általában be kell állítania a megfelelő tanúsítványtárolókat, és gondoskodnia kell arról, hogy a rendszer hitelesítési mechanizmusai konfigurálva legyenek a tanúsítványok használatára.

Intelligens kártya hitelesítése

Az intelligenskártya-hitelesítés kibővíti a tanúsítványalapú módszereket egy felhasználói tanúsítványokat tároló fizikai jogkivonat bevezetésével. Amikor a kártyát beszúrja egy olvasóba, a rendszer lekéri a tanúsítványokat, és végrehajtja az ellenőrzést.

A SmartCard támogatásának konfigurálása magában foglalja a szükséges kódtárak és modulok beállítását a tanúsítványalapú hitelesítés fizikai jogkivonatokkal való engedélyezéséhez. Különböző SmartCard-megoldások érhetők el, például a YubiKey, amelyek különböző Linux-disztribúciókkal integrálhatók. A két támogatott platformra vonatkozó utasításokért tekintse meg a terjesztési dokumentációt:

Példa intelligenskártya-konfigurációra

Az alábbi lépések egy referenciapéldát konfigurálnak a YubiKey/Edge hídintegráció használatára, de más intelligenskártya-szolgáltatók is hasonlóan konfigurálhatók. Ez csak egy példakonfiguráció, és a konfiguráció szolgáltatónként változhat. Konkrét konfigurációs utasításokért tekintse meg az intelligenskártya-szolgáltató dokumentációját.

  1. Intelligenskártya-illesztőprogramok és YubiKey-támogatás telepítése:

    sudo apt install pcscd yubikey-manager

  2. A YubiKey/Edge Bridge összetevőinek telepítése:

    sudo apt install opensc libnss3-tools openssl

  3. A Hálózati biztonsági szolgáltatás (NSS) adatbázisának konfigurálása az aktuális felhasználóhoz:

    mkdir -p $HOME/.pki/nssdb
chmod 700 $HOME/.pki
chmod 700 $HOME/.pki/nssdb
modutil -force -create -dbdir sql:$HOME/.pki/nssdb
modutil -force -dbdir sql:$HOME/.pki/nssdb -add 'SC Module' -libfile /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so

Kapcsolódó tartalom

További információkért tekintse meg az Intune alábbi dokumentációját:

  • Last updated on