Bagikan melalui

Menggunakan Penyedia Identitas (IdP) SAML 2.0 untuk Akses Menyeluruh

  • Artikel

Dokumen ini berisi informasi tentang penggunaan IdP berbasis profil SP-Lite yang mematuhi SAML 2.0 sebagai IdP/Layanan Token Keamanan (STS) pilihan. Skenario ini berguna jika Anda sudah memiliki direktori pengguna dan penyimpanan sandi lokal yang dapat diakses menggunakan SAML 2.0. Direktori pengguna yang ada ini dapat digunakan untuk masuk ke Microsoft 365 dan sumber daya aman ID Microsoft Entra lainnya. Profil SAML 2.0 SP-Lite didasarkan pada standar identitas federasi Security Assertion Markup Language (SAML) yang banyak digunakan untuk menyediakan kerangka kerja sistem masuk dan pertukaran atribut.

Catatan

Untuk daftar Idp pihak ke-3 yang telah diuji untuk digunakan dengan ID Microsoft Entra, lihat daftar kompatibilitas federasi Microsoft Entra

Microsoft mendukung pengalaman masuk ini sebagai integrasi layanan cloud Microsoft, seperti Microsoft 365, dengan IdP berbasis profil SAML 2.0 yang dikonfigurasi dengan benar. Penyedia identitas SAML 2.0 adalah produk pihak ketiga dan oleh karena itu Microsoft tidak memberikan dukungan untuk penyebaran, konfigurasi, pemecahan masalah praktik terbaik mengenai mereka. Setelah dikonfigurasi dengan benar, integrasi dengan IdP SAML 2.0 dapat diuji untuk konfigurasi yang tepat dengan menggunakan Alat Penganalisis Konektivitas Microsoft, yang dijelaskan lebih detail di bawah ini. Untuk informasi selengkapnya tentang IdP berbasis profil SAML 2.0 SP-Lite, tanyakan organisasi yang menyediakannya.

Penting

Hanya set klien terbatas yang tersedia dalam skenario masuk ini dengan IdP SAML 2.0, ini termasuk:

  • Klien berbasis web seperti Outlook Web Access dan SharePoint Online
  • Klien kaya email yang menggunakan autentikasi dasar dan metode akses Exchange yang didukung seperti IMAP, POP, Sinkronisasi Aktif, MAPI, dan sebagainya. (titik akhir Protokol Klien yang Ditingkatkan harus disebarkan), termasuk:
    • Microsoft Outlook 2010/Outlook 2013/Outlook 2016, Apple iPhone (berbagai versi iOS)
    • Berbagai Perangkat Google Android
    • Windows Phone 7, Windows Phone 7.8, dan Windows Phone 8.0
    • Klien Email Windows 8 dan Klien Email Windows 8.1
    • Klien Email Windows 10

Semua klien lain tidak tersedia dalam skenario masuk ini dengan Penyedia Identitas SAML 2.0 Anda. Misalnya, klien desktop Lync 2010 tidak dapat masuk ke layanan dengan Penyedia Identitas SAML 2.0 Anda yang dikonfigurasi untuk akses menyeluruh.

Persyaratan protokol Microsoft Entra SAML 2.0

Dokumen ini berisi persyaratan terperinci tentang protokol dan pemformatan pesan yang harus diterapkan idP SAML 2.0 Anda untuk bergabung dengan ID Microsoft Entra untuk mengaktifkan masuk ke satu atau beberapa layanan cloud Microsoft (seperti Microsoft 365). Pihak yang mengandalkan SAML 2.0 (SP-STS) untuk layanan cloud Microsoft yang digunakan dalam skenario ini adalah ID Microsoft Entra.

Disarankan agar Anda memastikan pesan output idP SAML 2.0 Anda mirip dengan jejak sampel yang disediakan. Selain itu, gunakan nilai atribut tertentu dari metadata Microsoft Entra yang disediakan jika memungkinkan. Setelah puas dengan pesan output, Anda dapat menguji dengan Microsoft Koneksi ivity Analyzer seperti yang dijelaskan di bawah ini.

Metadata Microsoft Entra dapat diunduh dari URL ini: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Untuk pelanggan di Tiongkok yang menggunakan instans Microsoft 365 khusus Tiongkok, titik akhir federasi berikut harus digunakan: https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml.

Persyaratan protokol SAML

Bagian ini merinci bagaimana pasangan pesan permintaan dan respons disatukan untuk membantu Anda memformat pesan dengan benar.

ID Microsoft Entra dapat dikonfigurasi untuk bekerja dengan penyedia identitas yang menggunakan profil SAML 2.0 SP Lite dengan beberapa persyaratan khusus seperti yang tercantum di bawah ini. Dengan menggunakan contoh pesan permintaan dan respons SAML bersama dengan pengujian otomatis dan manual, Anda dapat bekerja untuk mencapai interoperabilitas dengan ID Microsoft Entra.

Persyaratan blok tanda tangan

Dalam pesan Respons SAML, node Tanda Tangan berisi informasi tentang tanda tangan digital untuk pesan itu sendiri. Blok tanda tangan memiliki persyaratan berikut:

  1. Node pernyataan itu sendiri harus ditandatangani
  2. Algoritma RSA-sha1 harus digunakan sebagai DigestMethod. Algoritma tanda tangan digital lainnya tidak diterima. <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1"/>
  3. Anda juga dapat menandatangani dokumen XML.
  4. Algoritma Transformasi harus cocok dengan nilai dalam sampel berikut: <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature"/> <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#"/>
  5. Algoritma SignatureMethod harus cocok dengan sampel berikut: <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

Catatan

Untuk meningkatkan algoritma SHA-1 keamanan tidak digunakan lagi. Pastikan untuk menggunakan algoritma yang lebih aman seperti SHA-256. Informasi lebih lanjut dapat ditemukan.

Pengikatan yang didukung

Pengikatan adalah parameter komunikasi terkait transportasi yang diperlukan. Persyaratan berikut berlaku untuk pengikatan

  1. HTTPS adalah transportasi yang diperlukan.
  2. MICROSOFT Entra ID memerlukan HTTP POST untuk pengiriman token selama masuk.
  3. MICROSOFT Entra ID menggunakan HTTP POST untuk permintaan autentikasi ke penyedia identitas dan PENGALIHAN untuk pesan keluar ke penyedia identitas.

Atribut yang diperlukan

Tabel ini menunjukkan persyaratan untuk atribut tertentu dalam pesan SAML 2.0.

Atribut Deskripsi
NameID Nilai pernyataan ini harus sama dengan ImmutableID pengguna Microsoft Entra. Bisa sampai 64 karakter alfa numerik. Setiap karakter aman non-html harus dikodekan, misalnya karakter “+” ditampilkan sebagai “.2B”.
IDPEmail Nama Prinsipal Pengguna (UPN) tercantum dalam respons SAML sebagai elemen dengan nama IDPEmail UserPrincipalName (UPN) pengguna di Microsoft Entra ID/ Microsoft 365. UPN dalam format alamat email. Nilai UPN di Windows Microsoft 365 (ID Microsoft Entra).
Penerbit Diperlukan untuk menjadi URI IdP. Jangan gunakan kembali Penerbit dari pesan sampel. Jika Anda memiliki beberapa domain tingkat atas di penyewa Microsoft Entra Anda, Penerbit harus cocok dengan pengaturan URI yang ditentukan yang dikonfigurasi per domain.

Penting

MICROSOFT Entra ID saat ini mendukung URI Format NameID berikut untuk SAML 2.0:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.

Sampel pesan permintaan dan respons SAML

Pasangan pesan permintaan dan respons ditampilkan untuk pertukaran pesan masuk. Berikut ini adalah contoh pesan permintaan yang dikirim dari ID Microsoft Entra ke penyedia identitas SAML 2.0 sampel. Sampel IdP SAML 2.0 adalah Layanan Federasi Direktori Aktif (AD FS) yang dikonfigurasi untuk menggunakan protokol SAML-P. Pengujian interoperabilitas juga telah dilengkapi dengan IdP SAML 2.0 lainnya.

<samlp:AuthnRequest ID="_1e089e5c-a976-4881-af74-3b92c89e7e2c" Version="2.0" IssueInstant="2024-03-12T14:00:18.450Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Jika isSignedAuthenticationRequestRequired diaktifkan seperti yang dijelaskan dalam internaldomainfederation-update, maka permintaan akan terlihat seperti contoh ini:

  <samlp:AuthnRequest ID="_1868c6f2-1fdd-40b9-818f-b4b44efb92c5" Version="2.0" IssueInstant="2024-03-11T16:51:17.120Z" Destination="https://fs.contoso.com/adfs/ls/" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><Signature xmlns="http://www.w3.org/2000/09/xmldsig#"><SignedInfo><CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><Reference URI="#_1868c6f2-1fdd-40b9-818f-b4b44efb92c5"><Transforms><Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></Transforms><DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><DigestValue>aB1cD2eF3gH4iJ5kL6-mN7oP8qR=</DigestValue></Reference></SignedInfo><SignatureValue>cD2eF3gH4iJ5k...L6mN7-oP8qR9sT==</SignatureValue><KeyInfo><ds:X509Data xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:X509SKI>eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</ds:X509SKI></ds:X509Data><ds:KeyName xmlns:ds="http://www.w3.org/2000/09/xmldsig#">MicrosoftOnline</ds:KeyName></KeyInfo></Signature><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Berikut ini adalah contoh pesan respons yang dikirim dari sampel idP yang mematuhi SAML 2.0 ke MICROSOFT Entra ID / Microsoft 365.

    <samlp:Response ID="_592c022f-e85e-4d23-b55b-9141c95cd2a5" Version="2.0" IssueInstant="2014-01-31T15:36:31.357Z" Destination="https://login.microsoftonline.com/login.srf" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
    </samlp:Status>
    <Assertion ID="_7e3c1bcd-f180-4f78-83e1-7680920793aa" IssueInstant="2014-01-31T15:36:31.279Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
      <ds:SignedInfo>
        <ds:CanonicalizationMethod Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
        <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <ds:Reference URI="#_7e3c1bcd-f180-4f78-83e1-7680920793aa">
          <ds:Transforms>
            <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature" />
            <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
          </ds:Transforms>
          <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1" />
          <ds:DigestValue>CBn/aB1cD2eF3gH4iJ5kL6-mN7oP8qR=</ds:DigestValue>
        </ds:Reference>
      </ds:SignedInfo>
      <ds:SignatureValue>cD2eF3gH4iJ5kL6mN7-oP8qR9sT==</ds:SignatureValue>
      <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</ds:X509Certificate>
        </ds:X509Data>
      </KeyInfo>
    </ds:Signature>
    <Subject>
      <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">ABCDEG1234567890</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" NotOnOrAfter="2014-01-31T15:41:31.357Z" Recipient="https://login.microsoftonline.com/login.srf" />
      </SubjectConfirmation>
    </Subject>
    <Conditions NotBefore="2014-01-31T15:36:31.263Z" NotOnOrAfter="2014-01-31T16:36:31.263Z">
      <AudienceRestriction>
        <Audience>urn:federation:MicrosoftOnline</Audience>
      </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
      <Attribute Name="IDPEmail">
        <AttributeValue>administrator@contoso.com</AttributeValue>
      </Attribute>
    </AttributeStatement>
    <AuthnStatement AuthnInstant="2014-01-31T15:36:30.200Z" SessionIndex="_7e3c1bcd-f180-4f78-83e1-7680920793aa">
      <AuthnContext>
        <AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnContextClassRef>
      </AuthnContext>
    </AuthnStatement>
    </Assertion>
    </samlp:Response>

Mengonfigurasi IdP yang mematuhi SAML 2.0 Anda

Bagian ini berisi panduan tentang cara mengonfigurasi idP SAML 2.0 Anda untuk bergabung dengan ID Microsoft Entra untuk mengaktifkan akses menyeluruh ke satu atau beberapa layanan cloud Microsoft (seperti Microsoft 365) menggunakan protokol SAML 2.0. Pihak yang mengandalkan SAML 2.0 untuk layanan cloud Microsoft yang digunakan dalam skenario ini adalah ID Microsoft Entra.

Menambahkan metadata Microsoft Entra

IdP SAML 2.0 Anda perlu mematuhi informasi tentang pihak yang mengandalkan ID Microsoft Entra. MICROSOFT Entra ID menerbitkan metadata di https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml.

Disarankan agar Anda selalu mengimpor metadata Microsoft Entra terbaru saat mengonfigurasi idP SAML 2.0 Anda.

Catatan

ID Microsoft Entra tidak membaca metadata dari IdP.

Menambahkan ID Microsoft Entra sebagai pihak yang mengandalkan

Anda harus mengaktifkan komunikasi antara idP SAML 2.0 dan ID Microsoft Entra Anda. Konfigurasi ini tergantung pada penyedia identitas spesifik Anda dan Anda harus merujuk ke dokumentasi untuk itu. Anda biasanya akan mengatur ID pihak yang mengandalkan ke sama dengan entityID dari metadata Microsoft Entra.

Catatan

Verifikasi jam di server IdP SAML 2.0 Anda disinkronkan ke sumber waktu yang akurat. Waktu jam yang tidak akurat dapat menyebabkan proses masuk federasi gagal.

Menginstal PowerShell untuk masuk dengan idP SAML 2.0

Setelah Mengonfigurasi idP SAML 2.0 untuk digunakan dengan masuk Microsoft Entra, langkah selanjutnya adalah mengunduh dan menginstal modul Microsoft Graph PowerShell . Setelah diinstal, Anda akan menggunakan cmdlet ini untuk mengonfigurasi domain Microsoft Entra Anda sebagai domain federasi.

Modul Microsoft Graph PowerShell adalah unduhan untuk mengelola data organisasi Anda di ID Microsoft Entra. Modul ini menginstal satu set cmdlet ke PowerShell; Anda menjalankan cmdlet tersebut untuk menyiapkan akses akses menyeluruh ke ID Microsoft Entra dan pada gilirannya ke semua layanan cloud tempat Anda berlangganan. Untuk instruksi tentang cara mengunduh dan menginstal cmdlet, lihat Menginstal Microsoft Graph PowerShell SDK.

Menyiapkan kepercayaan antara idP SAML Anda dan ID Microsoft Entra

Sebelum mengonfigurasi federasi pada domain Microsoft Entra, domain tersebut harus memiliki domain kustom yang dikonfigurasi. Anda tidak dapat menggabungkan domain default yang disediakan oleh Microsoft. Domain default dari Microsoft berakhir dengan onmicrosoft.com. Anda akan menjalankan serangkaian cmdlet PowerShell untuk menambahkan atau mengonversi domain untuk akses menyeluruh.

Setiap domain Microsoft Entra yang ingin Anda federasi menggunakan idP SAML 2.0 Anda harus ditambahkan sebagai domain akses menyeluruh atau dikonversi menjadi domain akses menyeluruh dari domain standar. Menambahkan atau mengonversi domain menyiapkan kepercayaan antara idP SAML 2.0 dan ID Microsoft Entra Anda.

Prosedur berikut ini memandu Anda mengonversi domain standar yang ada ke domain federasi menggunakan SAML 2.0 SP-Lite.

Catatan

Domain Anda mungkin mengalami pemadaman yang memengaruhi pengguna hingga 2 jam setelah Anda mengambil langkah ini.

Mengonfigurasi domain di Microsoft Entra Directory untuk federasi

  1. Koneksi ke Microsoft Entra Directory Anda sebagai administrator penyewa:

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"

  2. Konfigurasikan domain Microsoft 365 yang Anda inginkan untuk menggunakan federasi dengan SAML 2.0:

    $Domain = "contoso.com"  
$LogOnUrl = "https://WS2012R2-0.contoso.com/passiveLogon" 
$LogOffUrl = "https://WS2012R2-0.contoso.com/passiveLogOff" 
$ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" 
$MyUri = "urn:uri:MySamlp2IDP"
$idptokensigningcert = [System.Security.Cryptography.X509Certificates.X509Certificate2]("C:\temp\contosoidptokensign.cer")  
$MySigningCert = [system.convert]::tobase64string($idptokensigningcert.rawdata) 
$Protocol = "saml"

New-MgDomainFederationConfiguration `
  -DomainId $Domain `
  -ActiveSignInUri $ecpUrl `
  -IssuerUri $MyUri `
  -PassiveSignInUri $LogOnUrl `
  -PreferredAuthenticationProtocol $Protocol `
  -SignOutUri $LogOffUrl `
  -SigningCertificate $MySigningCert

  3. Anda bisa mendapatkan string yang dikodekan base64 sertifikat penandatanganan dari file metadata IDP Anda. Contoh lokasi ini disediakan di bawah ini tetapi dapat sedikit berbeda berdasarkan implementasi Anda.

    <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <KeyDescriptor use="signing">
    <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
     <X509Data>
       <X509Certificate> eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</X509Certificate>
      </X509Data>
    </KeyInfo>
  </KeyDescriptor>
</IDPSSODescriptor>

Untuk informasi selengkapnya, lihat New-MgDomainFederationConfiguration.

Catatan

Anda harus menggunakan $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" hanya jika Anda menyiapkan ekstensi ECP untuk IdP Anda. Klien Exchange Online, tidak termasuk Outlook Web Application (OWA), mengandalkan titik akhir aktif berbasis POST. Jika SAML 2.0 STS Anda menerapkan titik akhir aktif yang mirip dengan penerapan ECP Shibboleth dari titik akhir aktif, klien kaya ini dapat berinteraksi dengan layanan Exchange Online.

Setelah federasi dikonfigurasi, Anda dapat beralih kembali ke "non-federasi" (atau "dikelola"), namun perubahan ini membutuhkan waktu hingga dua jam untuk diselesaikan dan memerlukan penetapan kata sandi acak baru untuk masuk berbasis cloud ke setiap pengguna. Beralih kembali ke “terkelola” mungkin diperlukan dalam beberapa skenario untuk mereset kesalahan di pengaturan Anda. Untuk informasi selengkapnya tentang konversi Domain, lihat Remove-MgDomainFederationConfiguration.

Memprovisikan prinsipal pengguna ke MICROSOFT Entra ID / Microsoft 365

Sebelum dapat mengautentikasi pengguna ke Microsoft 365, Anda harus menyediakan ID Microsoft Entra dengan prinsipal pengguna yang sesuai dengan pernyataan dalam klaim SAML 2.0. Jika prinsipal pengguna ini tidak diketahui oleh ID Microsoft Entra terlebih dahulu, maka mereka tidak dapat digunakan untuk masuk federasi. Microsoft Entra Koneksi atau PowerShell dapat digunakan untuk memprovisikan prinsipal pengguna.

Microsoft Entra Koneksi dapat digunakan untuk memprovisikan prinsipal ke domain Anda di Microsoft Entra Directory Anda dari Active Directory lokal. Untuk informasi selengkapnya, lihat Mengintegrasikan direktori lokal Anda dengan ID Microsoft Entra.

PowerShell juga dapat digunakan untuk mengotomatiskan penambahan pengguna baru ke ID Microsoft Entra dan untuk menyinkronkan perubahan dari direktori lokal. Untuk menggunakan cmdlet PowerShell, Anda harus mengunduh modul Microsoft Graph PowerShell .

Prosedur ini menunjukkan cara menambahkan satu pengguna ke MICROSOFT Entra ID.

  1. Koneksi ke Microsoft Entra Directory Anda sebagai administrator penyewa dengan menggunakan Koneksi-MgGraph.

  2. Membuat prinsipal pengguna baru:

    $Password =  -join ((48..57) + (97..122) | Get-Random -Count 12 | % {[char]$_})
$PasswordProfile = @{ Password = "$Password" }

New-MgUser `
  -UserPrincipalName "elwoodf1@contoso.com" `
  -DisplayName "Elwood Folk" `
  -GivenName "Elwood" `
  -Surname "Folk" `
  -AccountEnabled `
  -MailNickName 'ElwoodFolk' `
  -OnPremisesImmutableId ABCDEFG1234567890 `
  -OtherMails "Elwood.Folk@contoso.com" `
  -PasswordProfile $PasswordProfile `
  -UsageLocation "US"

Untuk informasi selengkapnya, lihat New-MgUser.

Catatan

Nilai "UserPrincipalName" harus cocok dengan nilai yang akan Anda kirim untuk "IDPEmail" dalam klaim SAML 2.0 Anda dan nilai "OnPremisesImmutableId" harus cocok dengan nilai yang dikirim dalam pernyataan "NameID" Anda.

Memverifikasi akses menyeluruh dengan IDP SAML 2.0 Anda

Sebagai admin, sebelum Anda memverifikasi dan mengelola akses menyeluruh (juga disebut federasi identitas), tinjau informasi dan lakukan langkah-langkah dalam artikel berikut untuk menyiapkan akses menyeluruh dengan IdP berbasis SAML 2.0 SP-Lite Anda:

  1. Anda telah meninjau Persyaratan Protokol Microsoft Entra SAML 2.0
  2. Anda telah mengonfigurasi IdP SAML 2.0 Anda
  3. Menginstal PowerShell untuk akses menyeluruh (SSO) dengan IdP SAML 2.0
  4. Menyiapkan kepercayaan antara IdP SAML 2.0 dan ID Microsoft Entra
  5. Menyediakan prinsipal pengguna uji yang diketahui ke ID Microsoft Entra (Microsoft 365) melalui PowerShell atau Microsoft Entra Koneksi.
  6. Konfigurasikan sinkronisasi direktori menggunakan Microsoft Entra Koneksi.

Setelah menyiapkan SSO dengan IdP berbasis SAML 2.0 SP-Lite, Anda harus memverifikasi bahwa SSO berfungsi dengan benar. Untuk informasi selengkapnya tentang menguji SSO berbasis SAML, lihat Menguji akses menyeluruh berbasis SAML.

Catatan

Jika Anda mengonversi domain, bukan menambahkannya, mungkin diperlukan waktu hingga 24 jam untuk menyiapkan akses menyeluruh. Sebelum memverifikasi akses menyeluruh, Anda harus menyelesaikan penyiapan sinkronisasi Direktori Aktif, menyinkronkan direktori Anda, dan mengaktifkan pengguna yang disinkronkan.

Memverifikasi secara manual bahwa akses menyeluruh telah disiapkan dengan benar

Verifikasi manual menyediakan lebih banyak langkah yang dapat Anda ambil untuk memastikan bahwa IdP SAML 2.0 Anda berfungsi dengan baik dalam banyak skenario. Untuk memverifikasi bahwa akses menyeluruh disiapkan dengan benar, selesaikan langkah-langkah berikut:

  1. Di komputer yang bergabung dengan domain, masuk ke layanan cloud Anda menggunakan nama masuk yang sama yang Anda gunakan untuk info masuk perusahaan.
  2. Pilih di dalam kotak kata sandi. Jika akses menyeluruh disiapkan, kotak kata sandi bernaung, dan Anda akan melihat pesan berikut: "Anda sekarang diharuskan masuk di <perusahaan> Anda."
  3. Pilih tautan Masuk di <perusahaan> Anda. Jika Anda dapat masuk, akses menyeluruh akan disiapkan.

Langkah berikutnya