Eenmalige aanmelding inschakelen voor een bedrijfstoepassing met een STS van een relying party

In dit artikel gebruikt u het Microsoft Entra-beheercentrum om eenmalige aanmelding (SSO) in te schakelen voor een bedrijfstoepassing die afhankelijk is van een STS (Security Token Service of Relying Party). De STS van de relying party ondersteunt de Security Assertion Markup Language (SAML) en kan worden geïntegreerd met Microsoft Entra als een bedrijfstoepassing. Nadat u SSO hebt geconfigureerd, kunnen uw gebruikers zich aanmelden bij de toepassing met behulp van hun Microsoft Entra-referenties.

Als uw toepassing rechtstreeks kan worden geïntegreerd met Microsoft Entra voor eenmalige aanmelding en geen Security Token Service (STS) van een relying party vereist, raadpleegt u het artikel Eenmalige aanmelding inschakelen voor een bedrijfstoepassing.

We raden u aan een niet-productieomgeving te gebruiken om de stappen in dit artikel te testen voordat u een toepassing in een productietenant configureert.

Prerequisites

Als u eenmalige aanmelding wilt configureren, hebt u het volgende nodig:

• Een STS van een relying party, zoals Active Directory Federation Services (AD FS) of PingFederate, met HTTPS-eindpunten
  1. U hebt de entiteits-id (entiteits-id) van de STS van de relying party nodig. Dit moet uniek zijn voor alle STS en toepassingen van een relying party die zijn geconfigureerd in een Microsoft Entra-tenant. Er kunnen geen twee toepassingen in één Microsoft Entra-tenant zijn met dezelfde entiteits-id. Als Active Directory Federation Services (AD FS) bijvoorbeeld de STS van de relying party is, kan de id een URL van het formulier http://{hostname.domain}/adfs/services/trustzijn.
  2. U hebt ook de assertion consumer service-URL of antwoord-URL van de STS van de relying party nodig. Deze URL moet een HTTPS URL zijn voor het veilig overbrengen van SAML-tokens van Microsoft Entra naar de STS van de relying party als onderdeel van eenmalige aanmelding bij een toepassing. Als AD FS bijvoorbeeld de STS van de relying party is, kan de URL de vorm https://{hostname.domain}/adfs/ls/hebben .
• Een applicatie die al is geïntegreerd met die relying party STS
• Een van de volgende rollen in Microsoft Entra: Cloud Application Administrator, Application Administrator
• Een testgebruiker in Microsoft Entra die zich kan aanmelden bij de toepassing

Note

In deze zelfstudie wordt ervan uitgegaan dat er één Microsoft Entra-tenant, één STS van de relying party en één toepassing is die is verbonden met de STS van de relying party. In deze zelfstudie wordt beschreven hoe u Microsoft Entra kunt configureren voor het gebruik van de entiteits-id die door de relying party STS is verstrekt om de juiste bedrijfstoepassing te bepalen en een SAML-token in een antwoord te verzenden. Als u meer dan één toepassing had die was verbonden met één STS van een relying party, zou Microsoft Entra geen onderscheid kunnen maken tussen deze twee toepassingen bij het uitgeven van SAML-tokens. Het configureren van verschillende entiteits-id's valt buiten het bestek van deze zelfstudie.

Een toepassing maken in Microsoft Entra

Maak eerst een bedrijfstoepassing in Microsoft Entra, waarmee Microsoft Entra SAML-tokens kan genereren die de relying party STS aan de toepassing kan leveren.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.
2. Browse to Entra ID>Enterprise apps>All applications.
3. Als u al een toepassing hebt geconfigureerd die de STS van de relying party vertegenwoordigt, voert u de naam van de bestaande toepassing in het zoekvak in, selecteert u de toepassing in de zoekresultaten en gaat u verder in de volgende sectie.
4. Select New application.
5. Selecteer Uw eigen toepassing maken.
6. Typ de naam van de nieuwe toepassing in het vak voor de invoernaam, selecteer Integratie van elke andere toepassing die u niet in de galerie vindt (Niet-galerij) en selecteer Maken.

Eenmalige aanmelding configureren in de toepassing

1. In the Manage section of the left menu, select Single sign-on to open the Single sign-on pane for editing.

2. Select SAML to open the SSO configuration page.

3. Selecteer in het vak Basis SAML-configuratiede optie Bewerken. De ID en antwoord-URL moeten worden ingesteld voordat verdere wijzigingen in de SAML-configuratie kunnen worden aangebracht.

4. Selecteer op de pagina Basis-SAML-configuratie onder ID (entiteits-ID) de optie ID toevoegen als er geen ID wordt vermeld. Typ de id voor de toepassing zoals verstrekt door de relying party STS. De ID kan bijvoorbeeld een URL van het formulier http://{hostname.domain}/adfs/services/trustzijn.

5. Selecteer op de pagina Basis-SAML-configuratie onder Antwoord-URL (Assertion Consumer Service-URL)de optie Antwoord-URL toevoegen. Typ de HTTPS-URL van de relying party STS Assertion Consumer Service. De URL kan bijvoorbeeld de vorm https://{hostname.domain}/adfs/ls/hebben .

6. Optionally, configure the sign on, relay state, or logout URLs, if required by the relying party STS.

7. Select Save.

Metagegevens en certificaten downloaden van Microsoft Entra

Uw STS van de afhankelijke partij vereist mogelijk de federatiemetagegevens van Microsoft Entra als de identiteitsprovider om de configuratie te voltooien. The federation metadata and associated certificates are provided in the SAML Certificates section of the Basic SAML configuration page. For more information, see federation metadata.

• Als STS van uw relying party federatiemetagegevens kan downloaden van een interneteindpunt, kopieert u de waarde naast de URL van de metagegevens van de app-federatie.
• If your relying party STS requires a local XML file containing the federation metadata, then select Download next to Federation Metadata XML.
• If your relying party STS requires the certificate of the identity provider, then select Download next to either the Certificate (Base64) or Certificate (Raw).
• If your relying party STS does not support federation metadata, then copy the Login URL and MIcrosoft Entra Identifier to configure your relying party STS.

Claims configureren die zijn uitgegeven door Microsoft Entra

Standaard zijn slechts enkele kenmerken van Microsoft Entra-gebruikers opgenomen in het SAML-token dat Microsoft Entra naar de STS van de relying party stuurt. U kunt aanvullende claims toevoegen die voor uw apps nodig zijn en het kenmerk wijzigen dat wordt opgegeven in de SAML-naam-ID. Zie Naslaginformatie voor SAML-tokenclaims voor meer informatie over standaardclaims.

1. Selecteer in het vak Kenmerken en claimsde optie Bewerken.
2. Als u wilt wijzigen welk kenmerk Entra-id wordt verzonden als de waarde van de naam-id, selecteert u de rij Unieke gebruikers-id (naam-id). U kunt het bronkenmerk wijzigen in een ander Microsoft Entra ingebouwd of extensiekenmerk. Then select Save.
3. To change which Entra ID attribute is sent as the value of a claim already configured, select the row in the Additional claims section.
4. Als u een nieuwe claim wilt toevoegen, selecteert u Nieuwe claim toevoegen.
5. When complete, select SAML-based Sign-on to close this screen.

Configureren wie zich kan aanmelden bij de toepassing

Wanneer u de configuratie test, moet u een aangewezen testgebruiker toewijzen aan de toepassing in Microsoft Entra, om te controleren of de gebruiker zich kan aanmelden bij de toepassing via Microsoft Entra en de relying party STS.

1. In the Manage section of the left menu, select Properties.
2. Zorg ervoor dat de waarde ingeschakeld voor gebruikers om zich aan te melden is ingesteld op Ja.
3. Ensure that the value of Assignment required is set to Yes.
4. If you made any changes, select Save.
5. In the Manage section of the left menu, select Users and groups.
6. Select Add user/group.
7. Select None selected.
8. In the search box, type the name of the test user, then pick the user and select Select.
9. Select Assign to assign the user to the default User role of the application.
10. In the Security section of the left menu, select Conditional Access.
11. Select What if.
12. Selecteer Geen gebruiker of service-principal geselecteerd, selecteer Geen gebruiker geselecteerd en selecteer de gebruiker die eerder aan de toepassing is toegewezen.
13. Selecteer Een cloud-app en selecteer de bedrijfstoepassing.
14. Select What if. Controleer of beleidsregels die van toepassing zijn, de gebruiker toestaan zich aan te melden bij de toepassing.

Microsoft Entra configureren als een identiteitsprovider in uw STS van de relying party

Importeer vervolgens de metagegevens van de federatie in de STS van uw relying party. De volgende stappen worden weergegeven met AD FS, maar in plaats daarvan kan een andere relying party STS worden gebruikt.

1. Selecteer in de lijst met vertrouwensrelaties van de claimprovider van uw relying party de optie Vertrouwen claimprovider toevoegen en selecteer Start.
2. Afhankelijk van of u de metagegevens van de federatie hebt gedownload van Microsoft Entra, selecteert u Gegevens importeren over de claimprovider die online of op een lokaal netwerk is gepubliceerd, of Gegevens over de claimprovider importeren uit een bestand.
3. Mogelijk moet u ook het certificaat van Microsoft Entra verstrekken aan de relying party STS.
4. Wanneer uw configuratie van Microsoft Entra als identiteitsprovider is voltooid, bevestigt u het volgende:
   • De ID van de claimprovider is een URI van het formulier https://sts.windows.net/{tenantid}.
   • Als u de wereldwijde service Microsoft Entra ID gebruikt, zijn de eindpunten voor SAML eenmalige aanmelding de URI van het formulier https://login.microsoftonline.com/{tenantid}/saml2. Zie Microsoft Entra-verificatie en nationale clouds voor nationale clouds.
   • Een certificaat van Microsoft Entra wordt erkend door de relying party STS.
   • Er is geen versleuteling geconfigureerd.
   • De claims die in Microsoft Entra zijn geconfigureerd, worden vermeld als beschikbaar voor toewijzingen van claimregels in de STS van uw relying party. Als u vervolgens extra claims hebt toegevoegd, moet u deze mogelijk ook toevoegen aan de configuratie van de id-provider in uw STS van de relying party.

Claimregels configureren in de STS van uw relying party

Zodra de claims die Microsoft Entra verzendt als de identiteitsprovider bekend zijn bij de relying party STS, moet u deze claims toewijzen of omzetten in de claims die vereist zijn voor uw toepassing. De volgende stappen worden weergegeven met AD FS, maar in plaats daarvan kan een andere relying party STS worden gebruikt.

1. Selecteer in de vertrouwenslijst van de claimprovider van uw relying party STS de vertrouwensregel van de claimprovider voor Microsoft Entra en selecteer Claimregels bewerken.
2. For each claim provided by Microsoft Entra and required by your application, select Add Rule. Selecteer in elke regel Doorgeven of Een binnenkomende claim filteren, of Een binnenkomende claim transformeren, op basis van de vereisten van uw toepassing.

Test de eenmalige aanmelding voor uw toepassing

Nadat de toepassing is geconfigureerd in Microsoft Entra en uw STS van de relying party, kunnen gebruikers zich hierbij aanmelden door zich te verifiëren bij Microsoft Entra en een token van Microsoft Entra door uw relying party STS te laten omzetten in de vorm en claims die vereist zijn voor uw applicatie.

In deze zelfstudie wordt geïllustreerd hoe de aanmeldingsstroom wordt getest met behulp van een webtoepassing die het door de relying party geïnitieerde patroon voor eenmalige aanmelding implementeert. Zie Het SAML-protocol voor eenmalige aanmelding voor meer informatie.

1. Maak in een privébrowsersessie verbinding met de applicatie en start het inlogproces. De toepassing leidt de webbrowser om naar de STS van de relying party en de STS van de relying party bepaalt de identiteitsproviders die de juiste claims kunnen indienen.
2. Selecteer in de STS van de relying party de Microsoft Entra-identiteitsprovider als daarom wordt gevraagd. De STS van de relying party leidt de webbrowser om naar het Microsoft Entra-aanmeldingseindpunt https://login.microsoftonline.com als u de wereldwijde service Microsoft Entra-id gebruikt.
3. Meld u aan bij Microsoft Entra met de identiteit van de testgebruiker, die eerder is geconfigureerd in de stap Configureren wie zich kan aanmelden bij de toepassing. Microsoft Entra zoekt vervolgens de bedrijfstoepassing op basis van de entiteits-id en leidt de webbrowser om naar het STS-antwoord-URL-eindpunt van de relying party, waarbij de webbrowser het SAML-token transporteert.
4. De relying party STS valideert of het SAML-token is uitgegeven door Microsoft Entra, extraheert en transformeert vervolgens de claims van het SAML-token en leidt de webbrowser om naar de toepassing. Controleer of uw toepassing de vereiste claims van Microsoft Entra heeft ontvangen via dit proces.

Complete configuration

1. Nadat u de eerste aanmeldingsconfiguratie hebt getest, moet u ervoor zorgen dat uw relying party STS up-to-date blijft wanneer er nieuwe certificaten worden toegevoegd aan Microsoft Entra. Sommige relying party STS hebben mogelijk een ingebouwd proces voor het bewaken van de federatiemetagegevens van de id-provider.
2. In deze zelfstudie wordt het configureren van eenmalige aanmelding geïllustreerd. De STS van uw relying party biedt mogelijk ook ondersteuning voor SAML single sign-out. Zie Single Sign-Out SAML-protocol voor meer informatie over deze mogelijkheid.
3. U kunt de toewijzing van de testgebruiker aan de toepassing verwijderen. U kunt andere functies gebruiken, zoals dynamische groepen of rechtenbeheer, om gebruikers aan de toepassing toe te wijzen. Zie quickstart: Een gebruikersaccount maken en toewijzen voor meer informatie.

Next steps

• Wat is toepassingsbeheer in Microsoft Entra ID?
• Toegang voor toepassingen in uw omgeving beheren
• Verhoog de veerkracht van authenticatie voor federatieve applicaties die worden geïmplementeerd op sites met gebruikers op dezelfde locatie