SAML 2.0 identitásszolgáltató használata egyszeri bejelentkezéshez
Ez a dokumentum az SAML 2.0-nak megfelelő SP-Lite profilalapú identitásszolgáltató elsődleges biztonsági jogkivonat-szolgáltatásként (STS) /identitásszolgáltatóként való használatáról tartalmaz információkat. Ez a forgatókönyv akkor hasznos, ha már rendelkezik egy helyszíni felhasználói címtárral és jelszótárolóval, amely az SAML 2.0 használatával érhető el. Ez a meglévő felhasználói címtár a Microsoft 365-be és más Microsoft Entra ID által védett erőforrásokra való bejelentkezéshez használható. Az SAML 2.0 SP-Lite profil a széles körben használt Security Assertion Markup Language (SAML) összevont identitásszabványon alapul a bejelentkezési és attribútumcsere-keretrendszer biztosításához.
Feljegyzés
A Microsoft Entra ID-val való használatra tesztelt külső azonosítók listáját a Microsoft Entra összevonási kompatibilitási listája tartalmazza
A Microsoft támogatja ezt a bejelentkezési felületet, mivel egy Microsoft-felhőszolgáltatás, például a Microsoft 365 integrálása a megfelelően konfigurált SAML 2.0 profilalapú identitásszolgáltatóval. Az SAML 2.0 identitásszolgáltatók külső gyártók termékei, ezért a Microsoft nem támogatja az üzembe helyezést, a konfigurációt és a velük kapcsolatos ajánlott hibaelhárítási eljárásokat. A megfelelő konfigurálást követően az SAML 2.0 identitásszolgáltatóval való integráció a Microsoft Csatlakozás ivity Analyzer eszközével tesztelhető, amelyről az alábbiakban részletesebben olvashat. Az SAML 2.0 SP-Lite profilalapú identitásszolgáltatóval kapcsolatos további információkért forduljon az azt szolgáltató szervezethez.
Fontos
Ebben a bejelentkezési forgatókönyvben csak korlátozott számú ügyfél érhető el SAML 2.0-s identitásszolgáltatókkal, ez a következőket foglalja magában:
- Webalapú ügyfelek, például az Outlook Web Access és a SharePoint Online
- Az alapszintű hitelesítést és egy támogatott Exchange-hozzáférési módszert használó, e-mailben gazdag ügyfelek, például IMAP, POP, Active Sync, MAPI stb. (az emelt szintű ügyfélprotokoll végpontját üzembe kell helyezni), beleértve a következőket:
- Microsoft Outlook 2010/Outlook 2013/Outlook 2016, Apple i Telefon (különböző iOS-verziók)
- Különböző Google Android-eszközök
- Windows Phone-telefon 7, Windows Phone-telefon 7,8 és Windows Phone-telefon 8,0
- Windows 8 Mail-ügyfél és Windows 8.1 Levelezőügyfél
- Windows 10 Mail-ügyfél
Ebben a bejelentkezési forgatókönyvben nem minden ügyfél érhető el az SAML 2.0 identitásszolgáltatónál. Az asztali Lync 2010-ügyfél például nem tud bejelentkezni a szolgáltatásba az egyszeri bejelentkezéshez konfigurált SAML 2.0 identitásszolgáltatóval.
A Microsoft Entra SAML 2.0 protokollkövetelményei
Ez a dokumentum részletes követelményeket tartalmaz arra a protokollra és üzenetformázásra vonatkozóan, amelyet az SAML 2.0 identitásszolgáltatójának implementálnia kell a Microsoft Entra-azonosítóval való összevonáshoz egy vagy több Microsoft-felhőszolgáltatásba (például a Microsoft 365-be) való bejelentkezés engedélyezéséhez. Az ebben a forgatókönyvben használt Microsoft-felhőszolgáltatás SAML 2.0 függő entitása (SP-STS) a Microsoft Entra ID.
Javasoljuk, hogy az SAML 2.0 identitásszolgáltató kimeneti üzenetei a lehető legnagyobb mértékben hasonlíthassanak a megadott mintakövetésekhez. Emellett a megadott Microsoft Entra-metaadatok adott attribútumértékeit is használhatja, ha lehetséges. Ha elégedett a kimeneti üzeneteivel, tesztelheti a Microsoft Csatlakozás ivity Analyzerrel az alábbiak szerint.
A Microsoft Entra metaadatai a következő URL-címről tölthetők le: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. A Microsoft 365 Kína-specifikus példányát használó kínai ügyfelek esetében a következő összevonási végpontot kell használni: https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml.
SAML protokollkövetelmények
Ez a szakasz részletesen ismerteti a kérés- és válaszüzenet-párok összeállítását, hogy segítsen az üzenetek helyes formázásában.
A Microsoft Entra-azonosító konfigurálható úgy, hogy az SAML 2.0 SP Lite-profilt használó identitásszolgáltatókkal működjön együtt az alábbiakban felsorolt követelményekkel. A minta SAML-kérések és válaszüzenetek, valamint az automatizált és manuális tesztelés segítségével együttműködhet a Microsoft Entra ID-val.
Aláírásblokkra vonatkozó követelmények
Az SAML-válasz üzenetben az Aláírás csomópont az üzenet digitális aláírásával kapcsolatos információkat tartalmaz. Az aláírási blokkra a következő követelmények vonatkoznak:
- Magának az érvényesítési csomópontnak alá kell írnia
- Az RSA-sha1 algoritmust DigestMethodként kell használni. Más digitális aláírási algoritmusok nem fogadhatók el.
<ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1"/>
- Az XML-dokumentumot is aláírhatja.
- Az átalakító algoritmusnak meg kell egyeznie az alábbi mintában szereplő értékekkel:
<ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature"/> <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#"/>
- A SignatureMethod algoritmusnak meg kell egyeznie a következő mintával:
<ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
Feljegyzés
A biztonsági SHA-1 algoritmus elavult. Győződjön meg arról, hogy az SHA-256-hoz hasonló biztonságosabb algoritmust használ. További információt talál.
Támogatott kötések
A kötések a szállítással kapcsolatos kommunikációs paraméterek, amelyekre szükség van. A kötésekre a következő követelmények vonatkoznak:
- A HTTPS a szükséges átvitel.
- A Microsoft Entra-azonosítóhoz HTTP POST szükséges a tokenek bejelentkezés közbeni beküldéséhez.
- A Microsoft Entra ID HTTP POST-t használ az identitásszolgáltatónak küldött hitelesítési kéréshez, a kijelentkező üzenet átirányítása pedig az identitásszolgáltatónak.
Szükséges attribútumok
Ez a táblázat az SAML 2.0 üzenet adott attribútumainak követelményeit mutatja be.
Attribútum | Leírás |
---|---|
NévAZONOSÍTÓ | Ennek az állításnak az értékének meg kell egyeznie a Microsoft Entra-felhasználó ImmutableID azonosítójával. Legfeljebb 64 alfa numerikus karakter lehet. A nem html formátumú biztonságos karaktereket kódolni kell, például a "+" karakter ".2B" karakterként jelenik meg. |
IDPEmail | A felhasználónév (UPN) az SAML-válaszban az IDPEmail A felhasználó UserPrincipalName (UPN) nevű elemeként szerepel a Microsoft Entra ID/Microsoft 365-ben. Az UPN e-mail-címformátumban van. UPN-érték a Windows Microsoft 365-ben (Microsoft Entra ID). |
Issuer | Az identitásszolgáltató URI-jának kell lennie. Ne használja újra a kiállítót a mintaüzenetekből. Ha a Microsoft Entra-bérlőkben több legfelső szintű tartomány található, a kiállítónak meg kell egyeznie a tartományonként konfigurált megadott URI-beállítással. |
Fontos
A Microsoft Entra ID jelenleg a következő NameID Formátum URI-t támogatja az SAML 2.0:urn:oázis:names:tc:SAML:2.0:nameid-format:persistent.
MINTA SAML-kérések és válaszüzenetek
Megjelenik egy kérés- és válaszüzenetpár a bejelentkezési üzenetcseréhez. Az alábbiakban egy mintakérési üzenetet küldünk a Microsoft Entra ID-ból egy minta SAML 2.0 identitásszolgáltatónak. Az SAML 2.0-identitásszolgáltató mintája Active Directory összevonási szolgáltatások (AD FS) (AD FS) SAML-P protokoll használatára van konfigurálva. Az együttműködési tesztelés más SAML 2.0 identitásszolgáltatókkal is befejeződött.
<samlp:AuthnRequest ID="_1e089e5c-a976-4881-af74-3b92c89e7e2c" Version="2.0" IssueInstant="2024-03-12T14:00:18.450Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>
Ha az isSignedAuthenticationRequestRequired engedélyezve van az internaldomainfederation-update ismertetése szerint, akkor a kérés a következő példához hasonlóan fog kinézni:
<samlp:AuthnRequest ID="_1868c6f2-1fdd-40b9-818f-b4b44efb92c5" Version="2.0" IssueInstant="2024-03-11T16:51:17.120Z" Destination="https://fs.contoso.com/adfs/ls/" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><Signature xmlns="http://www.w3.org/2000/09/xmldsig#"><SignedInfo><CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><Reference URI="#_1868c6f2-1fdd-40b9-818f-b4b44efb92c5"><Transforms><Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></Transforms><DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><DigestValue>aB1cD2eF3gH4iJ5kL6-mN7oP8qR=</DigestValue></Reference></SignedInfo><SignatureValue>cD2eF3gH4iJ5k...L6mN7-oP8qR9sT==</SignatureValue><KeyInfo><ds:X509Data xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:X509SKI>eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</ds:X509SKI></ds:X509Data><ds:KeyName xmlns:ds="http://www.w3.org/2000/09/xmldsig#">MicrosoftOnline</ds:KeyName></KeyInfo></Signature><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>
Az alábbiakban egy minta válaszüzenetet küldünk a minta SAML 2.0-s identitásszolgáltatójától a Microsoft Entra ID/Microsoft 365 azonosítónak.
<samlp:Response ID="_592c022f-e85e-4d23-b55b-9141c95cd2a5" Version="2.0" IssueInstant="2014-01-31T15:36:31.357Z" Destination="https://login.microsoftonline.com/login.srf" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
</samlp:Status>
<Assertion ID="_7e3c1bcd-f180-4f78-83e1-7680920793aa" IssueInstant="2014-01-31T15:36:31.279Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
<Issuer>http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
<ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
<ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<ds:Reference URI="#_7e3c1bcd-f180-4f78-83e1-7680920793aa">
<ds:Transforms>
<ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature" />
<ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
</ds:Transforms>
<ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1" />
<ds:DigestValue>CBn/aB1cD2eF3gH4iJ5kL6-mN7oP8qR=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>cD2eF3gH4iJ5kL6mN7-oP8qR9sT==</ds:SignatureValue>
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</ds:X509Certificate>
</ds:X509Data>
</KeyInfo>
</ds:Signature>
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">ABCDEG1234567890</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" NotOnOrAfter="2014-01-31T15:41:31.357Z" Recipient="https://login.microsoftonline.com/login.srf" />
</SubjectConfirmation>
</Subject>
<Conditions NotBefore="2014-01-31T15:36:31.263Z" NotOnOrAfter="2014-01-31T16:36:31.263Z">
<AudienceRestriction>
<Audience>urn:federation:MicrosoftOnline</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="IDPEmail">
<AttributeValue>administrator@contoso.com</AttributeValue>
</Attribute>
</AttributeStatement>
<AuthnStatement AuthnInstant="2014-01-31T15:36:30.200Z" SessionIndex="_7e3c1bcd-f180-4f78-83e1-7680920793aa">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
</Assertion>
</samlp:Response>
AZ SAML 2.0-kompatibilis identitásszolgáltató konfigurálása
Ez a szakasz útmutatást tartalmaz arra vonatkozóan, hogyan konfigurálhatja az SAML 2.0 identitásszolgáltatóját úgy, hogy a Microsoft Entra-azonosítóval összevontan engedélyezze az egyszeri bejelentkezést egy vagy több Microsoft-felhőszolgáltatáshoz (például a Microsoft 365-höz) az SAML 2.0 protokoll használatával. Az ebben a forgatókönyvben használt Microsoft felhőszolgáltatás SAML 2.0 függő entitása a Microsoft Entra-azonosító.
Microsoft Entra-metaadatok hozzáadása
Az SAML 2.0 identitásszolgáltatójának be kell tartania a Microsoft Entra ID függő entitással kapcsolatos információkat. A Microsoft Entra ID a metaadatokat a címen https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xmlteszi közzé.
Az SAML 2.0 identitásszolgáltató konfigurálásakor ajánlott mindig a legújabb Microsoft Entra-metaadatokat importálni.
Feljegyzés
A Microsoft Entra ID nem olvassa be a metaadatokat az identitásszolgáltatótól.
Microsoft Entra-azonosító hozzáadása függő entitásként
Engedélyeznie kell az SAML 2.0 identitásszolgáltató és a Microsoft Entra-azonosító közötti kommunikációt. Ez a konfiguráció az adott identitásszolgáltatótól függ, és tekintse meg a dokumentációt. A függő entitás azonosítóját általában a Microsoft Entra metaadataiból származó entitásazonosítóval megegyezőre állítja be.
Feljegyzés
Ellenőrizze, hogy az SAML 2.0 identitásszolgáltatói kiszolgálón lévő óra szinkronizálva van-e egy pontos időforrással. A pontatlan óraidő miatt az összevont bejelentkezések meghiúsulhatnak.
A PowerShell telepítése az SAML 2.0 identitásszolgáltatóval való bejelentkezéshez
Miután konfigurálta az SAML 2.0 identitásszolgáltatót a Microsoft Entra-bejelentkezéshez való használatra, a következő lépés a Microsoft Graph PowerShell modul letöltése és telepítése. A telepítés után ezekkel a parancsmagokkal konfigurálhatja a Microsoft Entra-tartományokat összevont tartományokként.
A Microsoft Graph PowerShell-modul a szervezeti adatok Microsoft Entra ID-ban való kezelésére szolgáló letöltés. Ez a modul parancsmagokat telepít a PowerShellbe; ezeket a parancsmagokat a Microsoft Entra-azonosítóhoz való egyszeri bejelentkezési hozzáférés beállításához, valamint az összes előfizetett felhőszolgáltatáshoz futtatja. A parancsmagok letöltésével és telepítésével kapcsolatos utasításokért lásd a Microsoft Graph PowerShell SDK telepítését ismertető cikket.
Megbízhatóság beállítása az SAML-identitásszolgáltató és a Microsoft Entra-azonosító között
Mielőtt konfigurálja az összevonást egy Microsoft Entra-tartományon, egyéni tartományt kell konfigurálnia. A Microsoft által biztosított alapértelmezett tartományt nem lehet összevonni. A Microsoft alapértelmezett tartománya a következővel onmicrosoft.com
végződik: .
PowerShell-parancsmagok sorozatát fogja futtatni az egyszeri bejelentkezés tartományainak hozzáadásához vagy konvertálásához.
Az SAML 2.0 identitásszolgáltatóval egyesíteni kívánt Microsoft Entra-tartományokat vagy egyetlen bejelentkezési tartományként kell hozzáadni, vagy egy szabványos tartományból származó egyszeri bejelentkezési tartománysá kell alakítani. Tartomány hozzáadása vagy konvertálása megbízhatóságot állít be az SAML 2.0 identitásszolgáltató és a Microsoft Entra-azonosító között.
Az alábbi eljárás végigvezeti egy meglévő standard tartomány összevont tartománysá alakításán az SAML 2.0 SP-Lite használatával.
Feljegyzés
A tartománya a lépés elvégzése után akár 2 órával is hatással lehet a felhasználókra.
Tartomány konfigurálása a Microsoft Entra Directoryban összevonáshoz
Csatlakozás a Microsoft Entra Directoryba bérlői rendszergazdaként:
Connect-MgGraph -Scopes "Domain.ReadWrite.All"
Konfigurálja a kívánt Microsoft 365-tartományt úgy, hogy az összevonást az SAML 2.0-val használja:
$Domain = "contoso.com" $LogOnUrl = "https://WS2012R2-0.contoso.com/passiveLogon" $LogOffUrl = "https://WS2012R2-0.contoso.com/passiveLogOff" $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" $MyUri = "urn:uri:MySamlp2IDP" $idptokensigningcert = [System.Security.Cryptography.X509Certificates.X509Certificate2]("C:\temp\contosoidptokensign.cer") $MySigningCert = [system.convert]::tobase64string($idptokensigningcert.rawdata) $Protocol = "saml" New-MgDomainFederationConfiguration ` -DomainId $Domain ` -ActiveSignInUri $ecpUrl ` -IssuerUri $MyUri ` -PassiveSignInUri $LogOnUrl ` -PreferredAuthenticationProtocol $Protocol ` -SignOutUri $LogOffUrl ` -SigningCertificate $MySigningCert
Az aláíró tanúsítvány base64 kódolású sztringje lekérhető az IDP-metaadatfájlból. Erre a helyre alább talál egy példát, de a megvalósítástól függően kissé eltérhet.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <KeyDescriptor use="signing"> <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#"> <X509Data> <X509Certificate> eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</X509Certificate> </X509Data> </KeyInfo> </KeyDescriptor> </IDPSSODescriptor>
További információ: New-MgDomainFederationConfiguration.
Feljegyzés
Csak akkor kell használnia $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS"
, ha ecP-bővítményt állít be az identitásszolgáltatójához. Az Exchange Online-ügyfelek az Outlook Web Application (OWA) kivételével egy POST-alapú aktív végpontra támaszkodnak. Ha az SAML 2.0 STS egy aktív végpont Shibboleth ECP-implementációjához hasonló aktív végpontot implementál, akkor ezek a gazdag ügyfelek használhatják az Exchange Online szolgáltatást.
Az összevonás konfigurálása után visszaválthat a "nem összevont" (vagy "felügyelt") állapotra, de ez a módosítás akár két órát is igénybe vehet, és minden felhasználóhoz új véletlenszerű jelszavakat kell hozzárendelnie a felhőalapú bejelentkezéshez. Bizonyos esetekben szükség lehet a "felügyelt" állapotra való visszaváltásra a beállítások hibáinak visszaállításához. A tartománykonvertálással kapcsolatos további információkért lásd: Remove-MgDomainFederationConfiguration.
Felhasználói tagok kiépítése a Microsoft Entra-azonosítóhoz / Microsoft 365
Ahhoz, hogy hitelesíteni tudja a felhasználókat a Microsoft 365-ben, ki kell állítania a Microsoft Entra-azonosítót az SAML 2.0-jogcímben szereplő állításnak megfelelő felhasználói tagokkal. Ha ezek a felhasználói tagok nem ismerik előre a Microsoft Entra-azonosítót, akkor nem használhatók összevont bejelentkezéshez. A Microsoft Entra Csatlakozás vagy a PowerShell használható felhasználói tagok kiépítésére.
A Microsoft Entra Csatlakozás használatával a Microsoft Entra Directoryban lévő tartománynevek kiépíthetők a helyi Active Directory. További információ: Helyszíni címtárak integrálása a Microsoft Entra ID-val.
A PowerShell az új felhasználók Microsoft Entra-azonosítóhoz való hozzáadásának automatizálására és a helyszíni címtár módosításainak szinkronizálására is használható. A PowerShell-parancsmagok használatához le kell töltenie a Microsoft Graph PowerShell-modult .
Ez az eljárás bemutatja, hogyan adhat hozzá egyetlen felhasználót a Microsoft Entra-azonosítóhoz.
Csatlakozás a Microsoft Entra Directoryba bérlői rendszergazdaként a Csatlakozás-MgGraph használatával.
Hozzon létre egy új egyszerű felhasználót:
$Password = -join ((48..57) + (97..122) | Get-Random -Count 12 | % {[char]$_}) $PasswordProfile = @{ Password = "$Password" } New-MgUser ` -UserPrincipalName "elwoodf1@contoso.com" ` -DisplayName "Elwood Folk" ` -GivenName "Elwood" ` -Surname "Folk" ` -AccountEnabled ` -MailNickName 'ElwoodFolk' ` -OnPremisesImmutableId ABCDEFG1234567890 ` -OtherMails "Elwood.Folk@contoso.com" ` -PasswordProfile $PasswordProfile ` -UsageLocation "US"
További információ: New-MgUser.
Feljegyzés
A "UserPrincipalName" értéknek meg kell egyeznie azzal az értékkel, amelyet az SAML 2.0 jogcímben az "IDPEmail" címre küld, és az "OnPremisesImmutableId" értéknek meg kell egyeznie a "NameID" állításban elküldött értékkel.
Egyszeri bejelentkezés ellenőrzése az SAML 2.0-s identitásszolgáltatójával
Rendszergazdaként az egyszeri bejelentkezés (más néven identitás-összevonás) ellenőrzése és kezelése előtt tekintse át az információkat, és hajtsa végre az alábbi cikkekben szereplő lépéseket az egyszeri bejelentkezés SAML 2.0 SP-Lite alapú identitásszolgáltatóval való beállításához:
- Ön áttekintette a Microsoft Entra SAML 2.0 protokollra vonatkozó követelményeit
- Konfigurálta az SAML 2.0 identitásszolgáltatót
- A PowerShell telepítése egyszeri bejelentkezéshez (SSO) az SAML 2.0 identitásszolgáltatóval
- Megbízhatóság beállítása az SAML 2.0 identitásszolgáltató és a Microsoft Entra ID között
- Kiépített egy ismert tesztfelhasználói tagot a Microsoft Entra ID-hez (Microsoft 365) a PowerShell vagy a Microsoft Entra Csatlakozás használatával.
- Címtár-szinkronizálás konfigurálása a Microsoft Entra Csatlakozás használatával.
Miután beállította az egyszeri bejelentkezést az SAML 2.0 SP-Lite alapú identitásszolgáltatóval, ellenőriznie kell, hogy megfelelően működik-e. További információ az SAML-alapú egyszeri bejelentkezés teszteléséről: SAML-alapú egyszeri bejelentkezés tesztelése.
Feljegyzés
Ha tartományt konvertált a hozzáadás helyett, az egyszeri bejelentkezés beállítása akár 24 órát is igénybe vehet. Az egyszeri bejelentkezés ellenőrzése előtt be kell fejeznie az Active Directory-szinkronizálás beállítását, szinkronizálnia kell a címtárakat, és aktiválnia kell a szinkronizált felhasználókat.
Manuálisan ellenőrizze, hogy az egyszeri bejelentkezés megfelelően lett-e beállítva
A manuális ellenőrzés további lépéseket tesz annak érdekében, hogy az SAML 2.0 identitásszolgáltatója számos esetben megfelelően működjön. Az egyszeri bejelentkezés helyes beállításának ellenőrzéséhez hajtsa végre az alábbi lépéseket:
- Tartományhoz csatlakoztatott számítógépen jelentkezzen be a felhőszolgáltatásba ugyanazzal a bejelentkezési névvel, amelyet a vállalati hitelesítő adataihoz használ.
- Válassza ki a jelszómezőt. Ha az egyszeri bejelentkezés be van állítva, a jelszómező árnyékolásra kerül, és a következő üzenet jelenik meg: "Most már be kell jelentkeznie a vállalatánál<>".
- Válassza ki a bejelentkezést a vállalati> hivatkozáson<. Ha be tud jelentkezni, akkor az egyszeri bejelentkezés be van állítva.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: