Единый вход для локальных приложений с прокси-сервером приложения (SAML)
Предоставьте единый вход локальным приложениям, защищенным с помощью проверки подлинности языка разметки утверждений безопасности (SAML). Предоставление удаленного доступа к приложениям единого входа на основе SAML с помощью прокси приложения. С помощью единого входа SAML Microsoft Entra проходит проверку подлинности в приложении с помощью учетной записи Microsoft Entra пользователя. Microsoft Entra ID передает приложению данные для входа через протокол соединения. Вы можете сопоставлять пользователей с конкретными ролями приложений согласно правилам, определенным в утверждениях SAML. В дополнение к единому входу в SAML прокси приложения пользователи имеют внешний доступ к приложению и простой единый вход.
Приложения должны иметь возможность использовать токены SAML, выданные идентификатором Microsoft Entra. Такая конфигурация неприменима к приложениям, которые используют локальный поставщик удостоверений. В этих сценариях рекомендуется просмотреть ресурсы для переноса приложений в идентификатор Microsoft Entra.
Единый вход SAML с прокси приложениями также работает с функцией шифрования токенов SAML. Дополнительные сведения см. в разделе "Настройка шифрования токенов SAML Microsoft Entra".
Схемы протоколов описывают последовательность единого входа для потока, инициированного поставщиком услуг (sp-инициированной) и потока, инициированного поставщиком удостоверений (idP-инициированный). Прокси приложения работает с единым входом SAML путем кэширования запроса SAML и ответа на нее из локального приложения.
Создание приложения и настройка единого входа на основе SAML
В Центре администрирования Microsoft Entra выберите приложения Microsoft Entra ID > Enterprise и выберите новое приложение.
Введите отображаемое имя для нового приложения, установите флажок Интеграция с любыми другими приложениями, которых нет в коллекции и щелкните Создать.
На странице Обзор для приложения выберите Единый вход.
Выберите SAML в качестве метода единого входа.
Сначала настройте работу единого входа на основе SAML в корпоративной сети, используя простую конфигурацию SAML из статьи Настройка единого входа на основе SAML.
Добавьте хотя бы одного пользователя в приложение и убедитесь, что тестовая учетная запись имеет доступ к приложению. Подключитесь к корпоративной сети и воспользуйтесь тестовой учетной записью, чтобы проверить единый вход в приложение.
Примечание.
После настройки прокси приложения вы вернетесь и обновите URL-адрес ответа SAML.
Публикация локального приложения с помощью прокси приложения
Перед предоставлением единого входа для локальных приложений включите прокси приложения и установите соединитель. Дополнительные сведения о подготовке локальной среды, установке и регистрации соединителя и тестировании соединителя. После настройки соединителя выполните следующие действия, чтобы опубликовать новое приложение с помощью прокси приложения.
Если приложение по-прежнему открыто в Центре администрирования Microsoft Entra, выберите прокси приложения. Укажите внутренний URL-адрес для приложения. Если вы используете личный домен, необходимо также передать сертификат TLS/SSL для приложения.
Примечание.
Мы рекомендуем везде, где возможно, использовать личные домены для оптимизации взаимодействия с пользователем. Узнайте больше о работе с пользовательскими доменами в прокси приложения Microsoft Entra.
Выберите идентификатор Microsoft Entra в качестве метода предварительной проверки подлинности для приложения.
Скопируйте Внешний URL-адрес для приложения. Этот URL-адрес необходим для завершения конфигурации SAML.
С помощью тестовой учетной записи попробуйте открыть приложение с внешним URL-адресом, чтобы убедиться, что прокси приложения настроен правильно. Если возникли проблемы, см. статью "Устранение неполадок прокси приложения" и сообщений об ошибках.
Обновление конфигурации SAML
Если приложение по-прежнему открыто в Центре администрирования Microsoft Entra, выберите единый вход.
На странице "Настройка единого входа с помощью SAML" перейдите к заголовку "Базовая конфигурация SAML" и выберите значок "Изменить" (карандаш). Убедитесь, что внешний URL-адрес, настроенный в прокси-сервере приложения, заполняется полями идентификатора, URL-адреса ответа и URL-адреса выхода. Эти URL-адреса необходимы для правильной работы прокси приложения.
Измените URL-адрес ответа, настроенный ранее, чтобы его домен был доступен в Интернете через прокси приложения. Например, если внешний URL-адрес и
https://contosotravel-f128.msappproxy.netисходный URL-адрес ответа былhttps://contosotravel.com/acs, необходимо обновить исходный URL-адрес ответа наhttps://contosotravel-f128.msappproxy.net/acs.Установите флажок рядом с обновленным полем URL-адрес ответа, чтобы это значение использовалось по умолчанию.
Выбрав нужный URL-адрес ответа как значение по умолчанию, вы можете удалить ранее настроенный URL-адрес ответа с внутренним URL-адресом.
Для потока, инициированного поставщиком услуг, проверьте правильность значения URL-адреса ответа или URL-адреса службы обработчика утверждений в серверном приложении, которые нужны для получения маркера аутентификации.
Примечание.
Если серверное приложение ожидает, что URL-адрес ответа будет внутренним URL-адресом, необходимо либо использовать пользовательские домены, чтобы иметь соответствующие внутренние и внешние URL-адреса, либо установить расширение Мои приложения безопасного входа на устройствах пользователей. Это расширение автоматически перенаправляется в соответствующую службу прокси приложения. Сведения об установке расширения см. в статье о расширении защищенного входа в "Мои приложения".
Тестирование приложения
Приложение работает и работает. Чтобы проверить приложение:
- Введите в адресную строку браузера значение внешнего URL-адреса, которое вы создали при публикации приложения.
- Войдите с помощью тестовой учетной записи, назначенной приложению. Теперь вы сможете загрузить приложение и использовать единый вход в него.