Megosztás a következőn keresztül:

SAML 2.0 identitásszolgáltató használata egyszeri bejelentkezéshez

  • Cikk

Ez a dokumentum az SAML 2.0-nak megfelelő SP-Lite profilalapú identitásszolgáltató elsődleges biztonsági jogkivonat-szolgáltatásként (STS) /identitásszolgáltatóként való használatáról tartalmaz információkat. Ez a forgatókönyv akkor hasznos, ha már rendelkezik egy helyszíni felhasználói címtárral és jelszótárolóval, amely az SAML 2.0 használatával érhető el. Ez a meglévő felhasználói címtár a Microsoft 365-be és más Microsoft Entra ID által védett erőforrásokra való bejelentkezéshez használható. Az SAML 2.0 SP-Lite profil a széles körben használt Security Assertion Markup Language (SAML) összevont identitásszabványon alapul a bejelentkezési és attribútumcsere-keretrendszer biztosításához.

Feljegyzés

A Microsoft Entra ID-val való használatra tesztelt külső azonosítók listáját a Microsoft Entra összevonási kompatibilitási listája tartalmazza

A Microsoft támogatja ezt a bejelentkezési felületet, mivel egy Microsoft-felhőszolgáltatás, például a Microsoft 365 integrálása a megfelelően konfigurált SAML 2.0 profilalapú identitásszolgáltatóval. Az SAML 2.0 identitásszolgáltatók külső gyártók termékei, ezért a Microsoft nem támogatja az üzembe helyezést, a konfigurációt és a velük kapcsolatos ajánlott hibaelhárítási eljárásokat. A megfelelő konfigurálást követően az SAML 2.0 identitásszolgáltatóval való integráció a Microsoft Csatlakozás ivity Analyzer eszközével tesztelhető, amelyről az alábbiakban részletesebben olvashat. Az SAML 2.0 SP-Lite profilalapú identitásszolgáltatóval kapcsolatos további információkért forduljon az azt szolgáltató szervezethez.

Fontos

Ebben a bejelentkezési forgatókönyvben csak korlátozott számú ügyfél érhető el SAML 2.0-s identitásszolgáltatókkal, ez a következőket foglalja magában:

  • Webalapú ügyfelek, például az Outlook Web Access és a SharePoint Online
  • Az alapszintű hitelesítést és egy támogatott Exchange-hozzáférési módszert használó, e-mailben gazdag ügyfelek, például IMAP, POP, Active Sync, MAPI stb. (az emelt szintű ügyfélprotokoll végpontját üzembe kell helyezni), beleértve a következőket:
    • Microsoft Outlook 2010/Outlook 2013/Outlook 2016, Apple i Telefon (különböző iOS-verziók)
    • Különböző Google Android-eszközök
    • Windows Phone-telefon 7, Windows Phone-telefon 7,8 és Windows Phone-telefon 8,0
    • Windows 8 Mail-ügyfél és Windows 8.1 Levelezőügyfél
    • Windows 10 Mail-ügyfél

Ebben a bejelentkezési forgatókönyvben nem minden ügyfél érhető el az SAML 2.0 identitásszolgáltatónál. Az asztali Lync 2010-ügyfél például nem tud bejelentkezni a szolgáltatásba az egyszeri bejelentkezéshez konfigurált SAML 2.0 identitásszolgáltatóval.

A Microsoft Entra SAML 2.0 protokollkövetelményei

Ez a dokumentum részletes követelményeket tartalmaz arra a protokollra és üzenetformázásra vonatkozóan, amelyet az SAML 2.0 identitásszolgáltatójának implementálnia kell a Microsoft Entra-azonosítóval való összevonáshoz egy vagy több Microsoft-felhőszolgáltatásba (például a Microsoft 365-be) való bejelentkezés engedélyezéséhez. Az ebben a forgatókönyvben használt Microsoft-felhőszolgáltatás SAML 2.0 függő entitása (SP-STS) a Microsoft Entra ID.

Javasoljuk, hogy az SAML 2.0 identitásszolgáltató kimeneti üzenetei a lehető legnagyobb mértékben hasonlíthassanak a megadott mintakövetésekhez. Emellett a megadott Microsoft Entra-metaadatok adott attribútumértékeit is használhatja, ha lehetséges. Ha elégedett a kimeneti üzeneteivel, tesztelheti a Microsoft Csatlakozás ivity Analyzerrel az alábbiak szerint.

A Microsoft Entra metaadatai a következő URL-címről tölthetők le: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. A Microsoft 365 Kína-specifikus példányát használó kínai ügyfelek esetében a következő összevonási végpontot kell használni: https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml.

SAML protokollkövetelmények

Ez a szakasz részletesen ismerteti a kérés- és válaszüzenet-párok összeállítását, hogy segítsen az üzenetek helyes formázásában.

A Microsoft Entra-azonosító konfigurálható úgy, hogy az SAML 2.0 SP Lite-profilt használó identitásszolgáltatókkal működjön együtt az alábbiakban felsorolt követelményekkel. A minta SAML-kérések és válaszüzenetek, valamint az automatizált és manuális tesztelés segítségével együttműködhet a Microsoft Entra ID-val.

Aláírásblokkra vonatkozó követelmények

Az SAML-válasz üzenetben az Aláírás csomópont az üzenet digitális aláírásával kapcsolatos információkat tartalmaz. Az aláírási blokkra a következő követelmények vonatkoznak:

  1. Magának az érvényesítési csomópontnak alá kell írnia
  2. Az RSA-sha1 algoritmust DigestMethodként kell használni. Más digitális aláírási algoritmusok nem fogadhatók el. <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1"/>
  3. Az XML-dokumentumot is aláírhatja.
  4. Az átalakító algoritmusnak meg kell egyeznie az alábbi mintában szereplő értékekkel: <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature"/> <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#"/>
  5. A SignatureMethod algoritmusnak meg kell egyeznie a következő mintával: <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

Feljegyzés

A biztonsági SHA-1 algoritmus elavult. Győződjön meg arról, hogy az SHA-256-hoz hasonló biztonságosabb algoritmust használ. További információt talál.

Támogatott kötések

A kötések a szállítással kapcsolatos kommunikációs paraméterek, amelyekre szükség van. A kötésekre a következő követelmények vonatkoznak:

  1. A HTTPS a szükséges átvitel.
  2. A Microsoft Entra-azonosítóhoz HTTP POST szükséges a tokenek bejelentkezés közbeni beküldéséhez.
  3. A Microsoft Entra ID HTTP POST-t használ az identitásszolgáltatónak küldött hitelesítési kéréshez, a kijelentkező üzenet átirányítása pedig az identitásszolgáltatónak.

Szükséges attribútumok

Ez a táblázat az SAML 2.0 üzenet adott attribútumainak követelményeit mutatja be.

Attribútum Leírás
NévAZONOSÍTÓ Ennek az állításnak az értékének meg kell egyeznie a Microsoft Entra-felhasználó ImmutableID azonosítójával. Legfeljebb 64 alfa numerikus karakter lehet. A nem html formátumú biztonságos karaktereket kódolni kell, például a "+" karakter ".2B" karakterként jelenik meg.
IDPEmail A felhasználónév (UPN) az SAML-válaszban az IDPEmail A felhasználó UserPrincipalName (UPN) nevű elemeként szerepel a Microsoft Entra ID/Microsoft 365-ben. Az UPN e-mail-címformátumban van. UPN-érték a Windows Microsoft 365-ben (Microsoft Entra ID).
Issuer Az identitásszolgáltató URI-jának kell lennie. Ne használja újra a kiállítót a mintaüzenetekből. Ha a Microsoft Entra-bérlőkben több legfelső szintű tartomány található, a kiállítónak meg kell egyeznie a tartományonként konfigurált megadott URI-beállítással.

Fontos

A Microsoft Entra ID jelenleg a következő NameID Formátum URI-t támogatja az SAML 2.0:urn:oázis:names:tc:SAML:2.0:nameid-format:persistent.

MINTA SAML-kérések és válaszüzenetek

Megjelenik egy kérés- és válaszüzenetpár a bejelentkezési üzenetcseréhez. Az alábbiakban egy mintakérési üzenetet küldünk a Microsoft Entra ID-ból egy minta SAML 2.0 identitásszolgáltatónak. Az SAML 2.0-identitásszolgáltató mintája Active Directory összevonási szolgáltatások (AD FS) (AD FS) SAML-P protokoll használatára van konfigurálva. Az együttműködési tesztelés más SAML 2.0 identitásszolgáltatókkal is befejeződött.

<samlp:AuthnRequest ID="_1e089e5c-a976-4881-af74-3b92c89e7e2c" Version="2.0" IssueInstant="2024-03-12T14:00:18.450Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Ha az isSignedAuthenticationRequestRequired engedélyezve van az internaldomainfederation-update ismertetése szerint, akkor a kérés a következő példához hasonlóan fog kinézni:

  <samlp:AuthnRequest ID="_1868c6f2-1fdd-40b9-818f-b4b44efb92c5" Version="2.0" IssueInstant="2024-03-11T16:51:17.120Z" Destination="https://fs.contoso.com/adfs/ls/" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><Signature xmlns="http://www.w3.org/2000/09/xmldsig#"><SignedInfo><CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><Reference URI="#_1868c6f2-1fdd-40b9-818f-b4b44efb92c5"><Transforms><Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></Transforms><DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><DigestValue>aB1cD2eF3gH4iJ5kL6-mN7oP8qR=</DigestValue></Reference></SignedInfo><SignatureValue>cD2eF3gH4iJ5k...L6mN7-oP8qR9sT==</SignatureValue><KeyInfo><ds:X509Data xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:X509SKI>eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</ds:X509SKI></ds:X509Data><ds:KeyName xmlns:ds="http://www.w3.org/2000/09/xmldsig#">MicrosoftOnline</ds:KeyName></KeyInfo></Signature><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Az alábbiakban egy minta válaszüzenetet küldünk a minta SAML 2.0-s identitásszolgáltatójától a Microsoft Entra ID/Microsoft 365 azonosítónak.

    <samlp:Response ID="_592c022f-e85e-4d23-b55b-9141c95cd2a5" Version="2.0" IssueInstant="2014-01-31T15:36:31.357Z" Destination="https://login.microsoftonline.com/login.srf" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
    </samlp:Status>
    <Assertion ID="_7e3c1bcd-f180-4f78-83e1-7680920793aa" IssueInstant="2014-01-31T15:36:31.279Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
      <ds:SignedInfo>
        <ds:CanonicalizationMethod Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
        <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <ds:Reference URI="#_7e3c1bcd-f180-4f78-83e1-7680920793aa">
          <ds:Transforms>
            <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature" />
            <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
          </ds:Transforms>
          <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1" />
          <ds:DigestValue>CBn/aB1cD2eF3gH4iJ5kL6-mN7oP8qR=</ds:DigestValue>
        </ds:Reference>
      </ds:SignedInfo>
      <ds:SignatureValue>cD2eF3gH4iJ5kL6mN7-oP8qR9sT==</ds:SignatureValue>
      <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</ds:X509Certificate>
        </ds:X509Data>
      </KeyInfo>
    </ds:Signature>
    <Subject>
      <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">ABCDEG1234567890</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" NotOnOrAfter="2014-01-31T15:41:31.357Z" Recipient="https://login.microsoftonline.com/login.srf" />
      </SubjectConfirmation>
    </Subject>
    <Conditions NotBefore="2014-01-31T15:36:31.263Z" NotOnOrAfter="2014-01-31T16:36:31.263Z">
      <AudienceRestriction>
        <Audience>urn:federation:MicrosoftOnline</Audience>
      </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
      <Attribute Name="IDPEmail">
        <AttributeValue>administrator@contoso.com</AttributeValue>
      </Attribute>
    </AttributeStatement>
    <AuthnStatement AuthnInstant="2014-01-31T15:36:30.200Z" SessionIndex="_7e3c1bcd-f180-4f78-83e1-7680920793aa">
      <AuthnContext>
        <AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnContextClassRef>
      </AuthnContext>
    </AuthnStatement>
    </Assertion>
    </samlp:Response>

AZ SAML 2.0-kompatibilis identitásszolgáltató konfigurálása

Ez a szakasz útmutatást tartalmaz arra vonatkozóan, hogyan konfigurálhatja az SAML 2.0 identitásszolgáltatóját úgy, hogy a Microsoft Entra-azonosítóval összevontan engedélyezze az egyszeri bejelentkezést egy vagy több Microsoft-felhőszolgáltatáshoz (például a Microsoft 365-höz) az SAML 2.0 protokoll használatával. Az ebben a forgatókönyvben használt Microsoft felhőszolgáltatás SAML 2.0 függő entitása a Microsoft Entra-azonosító.

Microsoft Entra-metaadatok hozzáadása

Az SAML 2.0 identitásszolgáltatójának be kell tartania a Microsoft Entra ID függő entitással kapcsolatos információkat. A Microsoft Entra ID a metaadatokat a címen https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xmlteszi közzé.

Az SAML 2.0 identitásszolgáltató konfigurálásakor ajánlott mindig a legújabb Microsoft Entra-metaadatokat importálni.

Feljegyzés

A Microsoft Entra ID nem olvassa be a metaadatokat az identitásszolgáltatótól.

Microsoft Entra-azonosító hozzáadása függő entitásként

Engedélyeznie kell az SAML 2.0 identitásszolgáltató és a Microsoft Entra-azonosító közötti kommunikációt. Ez a konfiguráció az adott identitásszolgáltatótól függ, és tekintse meg a dokumentációt. A függő entitás azonosítóját általában a Microsoft Entra metaadataiból származó entitásazonosítóval megegyezőre állítja be.

Feljegyzés

Ellenőrizze, hogy az SAML 2.0 identitásszolgáltatói kiszolgálón lévő óra szinkronizálva van-e egy pontos időforrással. A pontatlan óraidő miatt az összevont bejelentkezések meghiúsulhatnak.

A PowerShell telepítése az SAML 2.0 identitásszolgáltatóval való bejelentkezéshez

Miután konfigurálta az SAML 2.0 identitásszolgáltatót a Microsoft Entra-bejelentkezéshez való használatra, a következő lépés a Microsoft Graph PowerShell modul letöltése és telepítése. A telepítés után ezekkel a parancsmagokkal konfigurálhatja a Microsoft Entra-tartományokat összevont tartományokként.

A Microsoft Graph PowerShell-modul a szervezeti adatok Microsoft Entra ID-ban való kezelésére szolgáló letöltés. Ez a modul parancsmagokat telepít a PowerShellbe; ezeket a parancsmagokat a Microsoft Entra-azonosítóhoz való egyszeri bejelentkezési hozzáférés beállításához, valamint az összes előfizetett felhőszolgáltatáshoz futtatja. A parancsmagok letöltésével és telepítésével kapcsolatos utasításokért lásd a Microsoft Graph PowerShell SDK telepítését ismertető cikket.

Megbízhatóság beállítása az SAML-identitásszolgáltató és a Microsoft Entra-azonosító között

Mielőtt konfigurálja az összevonást egy Microsoft Entra-tartományon, egyéni tartományt kell konfigurálnia. A Microsoft által biztosított alapértelmezett tartományt nem lehet összevonni. A Microsoft alapértelmezett tartománya a következővel onmicrosoft.comvégződik: . PowerShell-parancsmagok sorozatát fogja futtatni az egyszeri bejelentkezés tartományainak hozzáadásához vagy konvertálásához.

Az SAML 2.0 identitásszolgáltatóval egyesíteni kívánt Microsoft Entra-tartományokat vagy egyetlen bejelentkezési tartományként kell hozzáadni, vagy egy szabványos tartományból származó egyszeri bejelentkezési tartománysá kell alakítani. Tartomány hozzáadása vagy konvertálása megbízhatóságot állít be az SAML 2.0 identitásszolgáltató és a Microsoft Entra-azonosító között.

Az alábbi eljárás végigvezeti egy meglévő standard tartomány összevont tartománysá alakításán az SAML 2.0 SP-Lite használatával.

Feljegyzés

A tartománya a lépés elvégzése után akár 2 órával is hatással lehet a felhasználókra.

Tartomány konfigurálása a Microsoft Entra Directoryban összevonáshoz

  1. Csatlakozás a Microsoft Entra Directoryba bérlői rendszergazdaként:

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"

  2. Konfigurálja a kívánt Microsoft 365-tartományt úgy, hogy az összevonást az SAML 2.0-val használja:

    $Domain = "contoso.com"  
$LogOnUrl = "https://WS2012R2-0.contoso.com/passiveLogon" 
$LogOffUrl = "https://WS2012R2-0.contoso.com/passiveLogOff" 
$ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" 
$MyUri = "urn:uri:MySamlp2IDP"
$idptokensigningcert = [System.Security.Cryptography.X509Certificates.X509Certificate2]("C:\temp\contosoidptokensign.cer")  
$MySigningCert = [system.convert]::tobase64string($idptokensigningcert.rawdata) 
$Protocol = "saml"

New-MgDomainFederationConfiguration `
  -DomainId $Domain `
  -ActiveSignInUri $ecpUrl `
  -IssuerUri $MyUri `
  -PassiveSignInUri $LogOnUrl `
  -PreferredAuthenticationProtocol $Protocol `
  -SignOutUri $LogOffUrl `
  -SigningCertificate $MySigningCert

  3. Az aláíró tanúsítvány base64 kódolású sztringje lekérhető az IDP-metaadatfájlból. Erre a helyre alább talál egy példát, de a megvalósítástól függően kissé eltérhet.

    <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <KeyDescriptor use="signing">
    <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
     <X509Data>
       <X509Certificate> eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</X509Certificate>
      </X509Data>
    </KeyInfo>
  </KeyDescriptor>
</IDPSSODescriptor>

További információ: New-MgDomainFederationConfiguration.

Feljegyzés

Csak akkor kell használnia $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" , ha ecP-bővítményt állít be az identitásszolgáltatójához. Az Exchange Online-ügyfelek az Outlook Web Application (OWA) kivételével egy POST-alapú aktív végpontra támaszkodnak. Ha az SAML 2.0 STS egy aktív végpont Shibboleth ECP-implementációjához hasonló aktív végpontot implementál, akkor ezek a gazdag ügyfelek használhatják az Exchange Online szolgáltatást.

Az összevonás konfigurálása után visszaválthat a "nem összevont" (vagy "felügyelt") állapotra, de ez a módosítás akár két órát is igénybe vehet, és minden felhasználóhoz új véletlenszerű jelszavakat kell hozzárendelnie a felhőalapú bejelentkezéshez. Bizonyos esetekben szükség lehet a "felügyelt" állapotra való visszaváltásra a beállítások hibáinak visszaállításához. A tartománykonvertálással kapcsolatos további információkért lásd: Remove-MgDomainFederationConfiguration.

Felhasználói tagok kiépítése a Microsoft Entra-azonosítóhoz / Microsoft 365

Ahhoz, hogy hitelesíteni tudja a felhasználókat a Microsoft 365-ben, ki kell állítania a Microsoft Entra-azonosítót az SAML 2.0-jogcímben szereplő állításnak megfelelő felhasználói tagokkal. Ha ezek a felhasználói tagok nem ismerik előre a Microsoft Entra-azonosítót, akkor nem használhatók összevont bejelentkezéshez. A Microsoft Entra Csatlakozás vagy a PowerShell használható felhasználói tagok kiépítésére.

A Microsoft Entra Csatlakozás használatával a Microsoft Entra Directoryban lévő tartománynevek kiépíthetők a helyi Active Directory. További információ: Helyszíni címtárak integrálása a Microsoft Entra ID-val.

A PowerShell az új felhasználók Microsoft Entra-azonosítóhoz való hozzáadásának automatizálására és a helyszíni címtár módosításainak szinkronizálására is használható. A PowerShell-parancsmagok használatához le kell töltenie a Microsoft Graph PowerShell-modult .

Ez az eljárás bemutatja, hogyan adhat hozzá egyetlen felhasználót a Microsoft Entra-azonosítóhoz.

  1. Csatlakozás a Microsoft Entra Directoryba bérlői rendszergazdaként a Csatlakozás-MgGraph használatával.

  2. Hozzon létre egy új egyszerű felhasználót:

    $Password =  -join ((48..57) + (97..122) | Get-Random -Count 12 | % {[char]$_})
$PasswordProfile = @{ Password = "$Password" }

New-MgUser `
  -UserPrincipalName "elwoodf1@contoso.com" `
  -DisplayName "Elwood Folk" `
  -GivenName "Elwood" `
  -Surname "Folk" `
  -AccountEnabled `
  -MailNickName 'ElwoodFolk' `
  -OnPremisesImmutableId ABCDEFG1234567890 `
  -OtherMails "Elwood.Folk@contoso.com" `
  -PasswordProfile $PasswordProfile `
  -UsageLocation "US"

További információ: New-MgUser.

Feljegyzés

A "UserPrincipalName" értéknek meg kell egyeznie azzal az értékkel, amelyet az SAML 2.0 jogcímben az "IDPEmail" címre küld, és az "OnPremisesImmutableId" értéknek meg kell egyeznie a "NameID" állításban elküldött értékkel.

Egyszeri bejelentkezés ellenőrzése az SAML 2.0-s identitásszolgáltatójával

Rendszergazdaként az egyszeri bejelentkezés (más néven identitás-összevonás) ellenőrzése és kezelése előtt tekintse át az információkat, és hajtsa végre az alábbi cikkekben szereplő lépéseket az egyszeri bejelentkezés SAML 2.0 SP-Lite alapú identitásszolgáltatóval való beállításához:

  1. Ön áttekintette a Microsoft Entra SAML 2.0 protokollra vonatkozó követelményeit
  2. Konfigurálta az SAML 2.0 identitásszolgáltatót
  3. A PowerShell telepítése egyszeri bejelentkezéshez (SSO) az SAML 2.0 identitásszolgáltatóval
  4. Megbízhatóság beállítása az SAML 2.0 identitásszolgáltató és a Microsoft Entra ID között
  5. Kiépített egy ismert tesztfelhasználói tagot a Microsoft Entra ID-hez (Microsoft 365) a PowerShell vagy a Microsoft Entra Csatlakozás használatával.
  6. Címtár-szinkronizálás konfigurálása a Microsoft Entra Csatlakozás használatával.

Miután beállította az egyszeri bejelentkezést az SAML 2.0 SP-Lite alapú identitásszolgáltatóval, ellenőriznie kell, hogy megfelelően működik-e. További információ az SAML-alapú egyszeri bejelentkezés teszteléséről: SAML-alapú egyszeri bejelentkezés tesztelése.

Feljegyzés

Ha tartományt konvertált a hozzáadás helyett, az egyszeri bejelentkezés beállítása akár 24 órát is igénybe vehet. Az egyszeri bejelentkezés ellenőrzése előtt be kell fejeznie az Active Directory-szinkronizálás beállítását, szinkronizálnia kell a címtárakat, és aktiválnia kell a szinkronizált felhasználókat.

Manuálisan ellenőrizze, hogy az egyszeri bejelentkezés megfelelően lett-e beállítva

A manuális ellenőrzés további lépéseket tesz annak érdekében, hogy az SAML 2.0 identitásszolgáltatója számos esetben megfelelően működjön. Az egyszeri bejelentkezés helyes beállításának ellenőrzéséhez hajtsa végre az alábbi lépéseket:

  1. Tartományhoz csatlakoztatott számítógépen jelentkezzen be a felhőszolgáltatásba ugyanazzal a bejelentkezési névvel, amelyet a vállalati hitelesítő adataihoz használ.
  2. Válassza ki a jelszómezőt. Ha az egyszeri bejelentkezés be van állítva, a jelszómező árnyékolásra kerül, és a következő üzenet jelenik meg: "Most már be kell jelentkeznie a vállalatánál<>".
  3. Válassza ki a bejelentkezést a vállalati> hivatkozáson<. Ha be tud jelentkezni, akkor az egyszeri bejelentkezés be van állítva.

Következő lépések