Akses menyeluruh (SSO) Security Assertion Markup Language (SAML) untuk aplikasi lokal dengan proksi aplikasi
Berikan akses menyeluruh (SSO) ke aplikasi lokal yang diamankan dengan autentikasi Security Assertion Markup Language (SAML). Menyediakan akses jarak jauh ke aplikasi SSO berbasis SAML melalui proksi aplikasi. Dengan akses menyeluruh SAML, Microsoft Entra mengautentikasi ke aplikasi menggunakan akun Microsoft Entra pengguna. Microsoft Entra ID mengkomunikasikan informasi masuk ke aplikasi melalui protokol koneksi. Anda juga dapat memetakan pengguna ke peran aplikasi tertentu berdasarkan aturan yang Anda tentukan dalam klaim SAML Anda. Dengan mengaktifkan proksi aplikasi selain SAML SSO, pengguna Anda memiliki akses eksternal ke aplikasi dan pengalaman SSO yang mulus.
Aplikasi harus dapat menggunakan token SAML yang dikeluarkan oleh ID Microsoft Entra. Konfigurasi ini tidak berlaku untuk aplikasi yang menggunakan IdP lokal. Untuk skenario ini, sebaiknya tinjau Sumber Daya untuk memigrasikan aplikasi ke ID Microsoft Entra.
SAML SSO dengan proksi aplikasi juga berfungsi dengan fitur enkripsi token SAML. Untuk informasi selengkapnya, lihat Mengonfigurasi enkripsi token Microsoft Entra SAML.
Diagram protokol menjelaskan urutan akses menyeluruh untuk alur yang dimulai penyedia layanan (dimulai SP) dan alur yang dimulai oleh penyedia identitas (dimulai IdP). Proksi aplikasi bekerja dengan SSO SAML dengan menyimpan cache permintaan DAN respons SAML ke dan dari aplikasi lokal.
Membuat aplikasi dan menyiapkan SAML SSO
Di pusat admin Microsoft Entra, pilih aplikasi Microsoft Entra ID > Enterprise dan pilih Aplikasi baru.
Masukkan nama tampilan untuk aplikasi baru Anda, pilih Integrasikan aplikasi lain yang tidak Anda temukan di galeri, lalu pilih Buat.
Di halaman Ringkasan aplikasi, pilih Akses menyeluruh.
Pilih SAML sebagai metode akses menyeluruh.
Pertama-tama siapkan SSO SAML agar berfungsi saat berada di jaringan perusahaan, lihat bagian konfigurasi SAML dasar dari Mengonfigurasi akses menyeluruh berbasis SAML untuk mengonfigurasi autentikasi berbasis SAML untuk aplikasi tersebut.
Tambahkan setidaknya satu pengguna ke aplikasi dan pastikan akun pengujian memiliki akses ke aplikasi. Saat tersambung ke jaringan perusahaan, gunakan akun pengujian untuk melihat apakah Anda memiliki akses menyeluruh ke aplikasi.
Catatan
Setelah menyiapkan proksi aplikasi, Anda akan kembali dan memperbarui URL Balasan SAML.
Menerbitkan aplikasi lokal dengan proksi aplikasi
Sebelum Anda menyediakan SSO untuk aplikasi lokal, aktifkan proksi aplikasi dan instal konektor. Pelajari selengkapnya tentang cara menyiapkan lingkungan lokal Anda, menginstal dan mendaftarkan konektor, dan menguji konektor. Setelah Anda menyiapkan konektor, ikuti langkah-langkah ini untuk menerbitkan aplikasi baru Anda dengan proksi aplikasi.
Dengan aplikasi masih terbuka di pusat admin Microsoft Entra, pilih proksi aplikasi. Berikan URL Internal untuk aplikasi. Jika menggunakan domain kustom, Anda juga perlu mengunggah sertifikat TLS/SSL untuk aplikasi Anda.
Catatan
Sebagai praktik terbaik, gunakan domain kustom jika memungkinkan untuk pengalaman pengguna yang dioptimalkan. Pelajari selengkapnya tentang Bekerja dengan domain kustom di proksi aplikasi Microsoft Entra.
Pilih MICROSOFT Entra ID sebagai metode Pra-Autentikasi untuk aplikasi Anda.
Salin URL Eksternal untuk aplikasi. Anda memerlukan URL ini untuk menyelesaikan konfigurasi SAML.
Dengan menggunakan akun pengujian, coba buka aplikasi dengan URL Eksternal untuk memvalidasi bahwa proksi aplikasi disiapkan dengan benar. Jika ada masalah, lihat Memecahkan masalah proksi aplikasi dan pesan kesalahan.
Memperbarui konfigurasi SAML
Dengan aplikasi masih terbuka di pusat admin Microsoft Entra, pilih Akses menyeluruh.
Di halaman Siapkan Akses Menyeluruh dengan SAML , buka judul Konfigurasi SAML Dasar, dan pilih ikon Edit (pensil). Pastikan URL Eksternal yang Anda konfigurasi di proksi aplikasi diisi di bidang Pengidentifikasi, URL Balasan, dan URL Keluar. URL ini diperlukan agar proksi aplikasi berfungsi dengan benar.
Edit URL Balasan yang dikonfigurasi sebelumnya sehingga domainnya dapat dijangkau di internet melalui proksi aplikasi. Misalnya, jika URL Eksternal Anda adalah
https://contosotravel-f128.msappproxy.net
dan URL Balasan asli adalahhttps://contosotravel.com/acs
, Anda perlu memperbarui URL Balasan asli kehttps://contosotravel-f128.msappproxy.net/acs
.Pilih kotak centang di samping URL Balasan yang diperbarui untuk menandainya sebagai default.
Setelah menandai URL Balasan yang diperlukan sebagai default, Anda juga dapat menghapus URL Balasan yang dikonfigurasi sebelumnya yang menggunakan URL internal.
Untuk alur yang dimulai dengan SP, pastikan aplikasi back-end menentukan URL Balasan atau URL Layanan Tuntutan Konsumen yang benar untuk menerima token autentikasi.
Catatan
Jika aplikasi back-end mengharapkan URL Balasan menjadi URL Internal, Anda perlu menggunakan domain kustom untuk mencocokkan URL internal dan eksternal atau menginstal ekstensi masuk Aplikasi Saya aman di perangkat pengguna. Ekstensi ini akan secara otomatis dialihkan ke Layanan proksi aplikasi yang sesuai. Untuk memasang ekstensi, lihat Ekstensi masuk aman Aplikasi Saya.
Menguji aplikasi Anda
Aplikasi Anda aktif dan berjalan. Untuk menguji aplikasi:
- Buka browser dan navigasikan ke URL Eksternal yang Anda buat saat menerbitkan aplikasi.
- Masuk dengan akun pengujian yang Anda tetapkan ke aplikasi. Anda harus dapat memuat aplikasi dan memiliki SSO ke dalam aplikasi.