Mengonfigurasi SSO OIDC untuk galeri dan aplikasi kustom

Artikel ini memperlihatkan kepada Anda cara mengonfigurasi akses menyeluruh (SSO) OpenID Connect (OIDC) di MICROSOFT Entra ID untuk aplikasi galeri dan aplikasi kustom (non-galeri). Dengan SSO OIDC, pengguna Anda dapat masuk ke aplikasi menggunakan kredensial Microsoft Entra mereka, memberikan pengalaman autentikasi yang mulus.

OIDC adalah protokol autentikasi yang dibangun di atas OAuth 2.0 yang memungkinkan autentikasi pengguna yang aman dan akses menyeluruh. Untuk informasi terperinci tentang protokol OIDC, lihat autentikasi OIDC dengan platform identitas Microsoft.

Kami menyarankan Anda menggunakan lingkungan nonproduksi untuk menguji langkah-langkah dalam artikel ini.

Sebelum mengonfigurasi SSO OIDC, sangat membantu untuk memahami konsep inti berikut:

• Pendaftaran aplikasi vs. Aplikasi perusahaan: Pendaftaran aplikasi menentukan identitas dan konfigurasi aplikasi Anda, sementara aplikasi perusahaan mewakili instans aplikasi tersebut di penyewa Anda. Untuk mempelajari selengkapnya, lihat Objek aplikasi dan prinsipal layanan dalam Microsoft Entra ID.
• Izin dan persetujuan: Aplikasi meminta izin untuk mengakses sumber daya, dan pengguna atau administrator memberikan persetujuan. Untuk detail tentang kerangka kerja persetujuan, lihat Izin dan persetujuan di platform identitas Microsoft.
• Aplikasi pengguna ganda: Aplikasi yang dapat digunakan oleh beberapa organisasi. Untuk panduan tentang multi-tenant, lihat Cara: Mengonversi aplikasi Anda menjadi multi-tenant.
• Alur autentikasi: Metode yang berbeda untuk mengautentikasi pengguna, seperti alur Kode Otorisasi dengan PKCE untuk aplikasi satu halaman. Untuk informasi selengkapnya, lihat Alur autentikasi platform identitas Microsoft.
• SSO OIDC: Metode akses menyeluruh yang menggunakan protokol OIDC untuk mengautentikasi pengguna di seluruh aplikasi. Ini memungkinkan pengguna untuk masuk sekali dan mengakses beberapa aplikasi tanpa perlu memasukkan kembali kredensial.

Prasyarat

Untuk mengonfigurasi SSO berbasis OIDC, Anda memerlukan:

• Akun pengguna Microsoft Entra. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
• Salah satu peran berikut:
  • Administrator Aplikasi Cloud
  • Administrator Aplikasi
  • Pemilik principal layanan
• Untuk aplikasi kustom: Detail tentang aplikasi Anda termasuk URI pengalihan dan persyaratan autentikasinya

Mengonfigurasi SSO OIDC untuk aplikasi galeri Microsoft Entra

Aplikasi galeri di Microsoft Entra ID telah dikonfigurasi sebelumnya dengan dukungan OIDC, mempermudah penyiapan melalui proses berbasis persetujuan.

Saat Anda menambahkan aplikasi perusahaan yang menggunakan standar OIDC untuk SSO, Anda memilih tombol Daftar . Tombol berada di panel sisi kanan saat Anda memilih aplikasi dari galeri aplikasi. Saat Anda memilih tombol, Anda menyelesaikan proses pendaftaran untuk aplikasi.

Untuk mengonfigurasi SSO berbasis OIDC untuk aplikasi galeri:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri aplikasi Entra ID>Enterprise>Semua aplikasi.

3. Di panel Semua aplikasi , pilih Aplikasi baru.

4. Panel Telusuri Galeri Microsoft Entra terbuka. Dalam contoh ini, kita menggunakan SmartSheet.

5. Pilih Daftar untuk SmartSheet. Masuk dengan kredensial akun pengguna dari ID Microsoft Entra. Jika Anda sudah memiliki langganan ke aplikasi, maka detail pengguna dan informasi penyewa akan divalidasi. Jika aplikasi tidak dapat memverifikasi pengguna, aplikasi akan mengalihkan Anda untuk mendaftar ke layanan aplikasi.

   

   Setelah memasukkan kredensial masuk, layar persetujuan akan muncul. Layar persetujuan menyediakan informasi tentang aplikasi dan izin yang diperlukan.

6. Pilih Persetujuan atas nama organisasi Anda lalu pilih Terima. Aplikasi ditambahkan ke penyewa Anda dan halaman beranda aplikasi akan muncul.

Hubungi vendor aplikasi untuk mempelajari tentang langkah-langkah konfigurasi tambahan yang diperlukan untuk aplikasi.

Nota

Anda hanya dapat menambahkan satu instans aplikasi galeri. Setelah menambahkan aplikasi dan mencoba memberikan persetujuan lagi, Anda tidak dapat menambahkannya lagi ke penyewa.

Untuk informasi selengkapnya tentang persetujuan pengguna dan admin, lihat Memahami persetujuan pengguna dan admin. Untuk informasi komprehensif tentang kerangka kerja persetujuan, lihat Izin dan persetujuan di platform identitas Microsoft.

Mengonfigurasi SSO OIDC untuk aplikasi kustom (non-galeri)

Untuk aplikasi yang tidak tersedia di galeri Microsoft Entra, Anda perlu mendaftar dan mengonfigurasi aplikasi secara manual. Bagian ini menyediakan panduan langkah demi langkah untuk menyiapkan SSO OIDC dengan aplikasi kustom.

Langkah 1: Daftarkan aplikasi Anda

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
2. Telusuri ke Entra ID>Pendaftaran Aplikasi>Pendaftaran baru.
3. Masukkan Nama untuk aplikasi Anda (misalnya, "Aplikasi Web Kustom Saya").
4. Di bawah Jenis akun yang didukung, pilih opsi yang sesuai:
   • Hanya akun dalam direktori organisasi ini untuk aplikasi tenant tunggal
   • Akun di direktori organisasi apa pun untuk informasi selengkapnya tentang aplikasi multipenyewa, lihat aplikasi multipenyewa
   • Akun di direktori organisasi dan akun Microsoft pribadi apa pun jika Anda ingin mendukung akun kantor/sekolah dan pribadi
5. Untuk URI Pengalihan, pilih jenis platform dan masukkan URI pengalihan aplikasi Anda:
   • Web: Untuk aplikasi web sisi server (misalnya, https://yourdomain.com/auth/callback)
   • Aplikasi satu halaman (SPA): Untuk aplikasi sisi klien menggunakan alur autentikasi modern (misalnya, https://yourdomain.com atau http://localhost:3000 untuk pengembangan)
   • Klien publik/asli: Untuk aplikasi seluler dan desktop
6. Pilih Daftarkan.

Langkah 2: Mengonfigurasi pengaturan autentikasi

1. Di pendaftaran aplikasi Anda, navigasikan ke Autentikasi.

2. Pastikan URI pengalihan Anda dikonfigurasi dengan benar untuk jenis platform Anda.

3. Mengonfigurasi alur autentikasi (penting untuk keamanan):

   Untuk aplikasi Single-Page (SPAs):

   • Pastikan URI pengalihan Anda tercantum di bawah platform aplikasi halaman tunggal. Opsi ini secara otomatis mengonfigurasi alur Kode Otorisasi aman dengan PKCE, yang merupakan pendekatan yang direkomendasikan untuk SPAs
   • JANGAN aktifkan opsi pemberian implisit kecuali diperlukan untuk aplikasi warisan

   Untuk Aplikasi Web:

   • Pastikan URI pengalihan Anda tercantum di bawah platform Web . Opsi ini mengonfigurasi alur Kode Otorisasi standar.

   Peringatan

   Alur pemberian implisit tidak disarankan untuk aplikasi baru karena kerentanan keamanan, termasuk kebocoran token dalam riwayat browser. Microsoft sangat merekomendasikan penggunaan alur Kode Otorisasi dengan PKCE untuk aplikasi satu halaman sebagai gantinya. Hanya aktifkan opsi ini jika Anda memiliki aplikasi warisan yang tidak dapat diperbarui untuk mendukung alur yang lebih aman dan Anda memahami risiko keamanan terkait.

   Untuk informasi selengkapnya tentang alur autentikasi, lihat Alur autentikasi platform identitas Microsoft.

Langkah 3: Mengonfigurasi kredensial klien (untuk aplikasi web)

Jika aplikasi Anda adalah klien rahasia (aplikasi web sisi server yang dapat menyimpan rahasia dengan aman):

1. Navigasikan ke Sertifikat & rahasia.
2. Pilih Rahasia klien baru.
3. Tambahkan deskripsi dan pilih periode kedaluwarsa.
4. Pilih Tambahkan dan salin nilai rahasia segera (nilai tersebut tidak dapat ditampilkan lagi).
5. Simpan rahasia klien dengan aman dalam konfigurasi aplikasi Anda.

Tip

Untuk aplikasi produksi, pertimbangkan untuk menggunakan sertifikat alih-alih rahasia klien untuk keamanan yang ditingkatkan. Lihat Kredensial sertifikat.

Langkah 4: Mengonfigurasi izin API

1. Navigasikan ke izin API.
2. User.Read Izin untuk Microsoft Graph ditambahkan secara bawaan.
3. Untuk autentikasi OIDC, Anda biasanya memerlukan izin yang didelegasikan ini:
   • openid: Diperlukan untuk autentikasi OIDC
   • profil: Untuk mengakses informasi profil pengguna
   • email: Untuk mengakses alamat email pengguna
4. Untuk menambahkan lebih banyak izin:
   • Pilih Tambahkan izin
   • Pilih Microsoft Graph
   • Pilih Izin yang didelegasikan
   • Cari dan pilih izin yang diperlukan (misalnya, openid, profil, email)
   • Pilih Tambahkan izin
5. Jika aplikasi Anda memerlukan izin yang memerlukan persetujuan admin, pilih Berikan persetujuan admin untuk [penyewa Anda].

Untuk pengenalan izin dan persetujuan, lihat Izin dan persetujuan di platform identitas Microsoft.

Langkah 5: Mengonfigurasi klaim opsional (jika diperlukan)

1. Navigasi ke Konfigurasi token.
2. Pilih Tambahkan klaim opsional.
3. Pilih klaim opsional yang ingin Anda tambahkan (misalnya, email, given_name, family_name).
4. Pilih Tambahkan untuk menerapkan perubahan.

Langkah 6: Kumpulkan detail aplikasi

Setelah pendaftaran dan konfigurasi, kumpulkan informasi berikut yang diperlukan untuk aplikasi Anda:

1. Dari halaman Gambaran Umum , perhatikan:
   • ID aplikasi (klien): Pengidentifikasi unik aplikasi Anda
   • ID Direktori (penyewa) : Pengidentifikasi unik penyewa Anda
2. Pilih Titik akhir untuk melihat metadata dan titik akhir OIDC:
   • Dokumen metadata OIDC: https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid_configuration
   • Titik akhir otorisasi: Untuk memulai alur masuk
   • Titik akhir token: Untuk bertukar kode otorisasi untuk token
   • JWKS URI: Untuk validasi tanda tangan token

Detail ini digunakan dalam konfigurasi pustaka OIDC aplikasi Anda.

Langkah 7: Mengonfigurasi kode aplikasi Anda

Gunakan informasi yang dikumpulkan untuk mengonfigurasi pustaka OIDC aplikasi Anda dengan:

• ID Klien: ID Aplikasi (klien) dari langkah 5
• Rahasia Klien: Jika berlaku (untuk aplikasi web)
• URI Pengalihan: URI yang sama dikonfigurasi di langkah 1
• Otoritas/Penerbit: https://login.microsoftonline.com/{tenant}/v2.0/ (ganti {tenant} dengan ID penyewa Anda)
• Cakupan: Biasanya openid profile email untuk autentikasi OIDC dasar

Untuk panduan implementasi tertentu, lihat Alur Kode Otorisasi dengan PKCE untuk aplikasi web.

Langkah 8: Uji konfigurasi SSO OIDC Anda

1. Menggunakan alat online: Anda dapat menguji alur autentikasi dasar menggunakan https://jwt.ms:

   • Buat URL masuk: https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?client_id={client_id}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&nonce={random_value}
   • Ganti {tenant} dan {client_id} dengan nilai Anda
   • Navigasikan ke URL ini di browser untuk menguji alur autentikasi

2. Dalam aplikasi Anda: Integrasikan pustaka OIDC di aplikasi Anda dan uji pengalaman masuk lengkap.

3. Tetapkan pengguna: Buka Aplikasi perusahaan, temukan aplikasi Anda, dan tetapkan pengguna atau grup di bawah Pengguna dan grup.

Pertimbangan aplikasi multipenyewa

Jika aplikasi Anda perlu mendukung pengguna dari beberapa organisasi:

• Mengonfigurasi pendaftaran aplikasi dengan Akun di direktori organisasi mana pun
• Gunakan titik akhir umum: https://login.microsoftonline.com/common/
• Menerapkan validasi penyewa yang tepat dalam logika aplikasi Anda

Untuk panduan terperinci, lihat Cara: Mengonversi aplikasi Anda menjadi multipenyewa.

Pemecahan masalah umum

• URI pengalihan tidak valid: Pastikan URI pengalihan dalam pendaftaran aplikasi Anda sama persis dengan apa yang dikirim aplikasi Anda
• Masalah persetujuan: Periksa apakah persetujuan admin diperlukan untuk izin yang diminta
• Kesalahan validasi token: Pastikan Anda menggunakan URI JWKS yang benar dan memvalidasi tanda tangan token
• Masalah multi-penyewa: Pastikan Anda menggunakan titik akhir yang benar (umum vs. khusus penyewa)

Untuk panduan pemecahan masalah yang komprehensif, lihat Kode kesalahan platform identitas Microsoft.

Konten terkait

• Autentikasi OIDC dengan platform identitas Microsoft
• Alur autentikasi dari platform identitas Microsoft
• Migrasi dari pemberian implisit ke alur kode autentikasi