Logowanie jednokrotne oparte na protokole SAML: konfiguracja i ograniczenia
W tym artykule dowiesz się, jak skonfigurować aplikację na potrzeby logowania jednokrotnego opartego na protokole SAML przy użyciu identyfikatora Microsoft Entra. W tym artykule opisano mapowanie użytkowników na określone role aplikacji na podstawie reguł i ograniczeń, które należy wziąć pod uwagę podczas mapowania atrybutów. Obejmuje również certyfikaty podpisywania SAML, szyfrowanie tokenów SAML, weryfikację podpisu żądania SAML i niestandardowych dostawców oświadczeń.
Aplikacje korzystające z protokołu SAML 2.0 do uwierzytelniania można skonfigurować pod kątem logowania jednokrotnego opartego na protokole SAML . Za pomocą logowania jednokrotnego opartego na protokole SAML można mapować użytkowników na określone role aplikacji na podstawie reguł zdefiniowanych w oświadczeniach SAML.
Aby skonfigurować aplikację SaaS na potrzeby logowania jednokrotnego opartego na protokole SAML, zobacz Szybki start: konfigurowanie logowania jednokrotnego opartego na protokole SAML.
Wiele aplikacji SaaS zawiera samouczek specyficzny dla aplikacji , który przeprowadzi Cię przez konfigurację logowania jednokrotnego opartego na protokole SAML.
Migracja niektórych aplikacji jest prosta. Aplikacje z bardziej złożonymi wymaganiami, takimi jak oświadczenia niestandardowe, mogą wymagać dodatkowej konfiguracji w identyfikatorze Microsoft Entra i/lub Microsoft Entra Connect Health. Aby uzyskać informacje o obsługiwanych mapowaniach oświadczeń, zobacz How to: Customize claims emitowane w tokenach dla określonej aplikacji w dzierżawie (wersja zapoznawcza).
Podczas mapowania atrybutów należy pamiętać o następujących ograniczeniach:
- Nie wszystkie atrybuty, które można wystawiać w usługach AD FS są wyświetlane w identyfikatorze Microsoft Entra jako atrybuty do emitowania do tokenów SAML, nawet jeśli te atrybuty są synchronizowane. Podczas edytowania atrybutu lista rozwijana Wartość zawiera różne atrybuty dostępne w identyfikatorze Microsoft Entra. Sprawdź konfigurację artykułów Microsoft Entra Connect Sync, aby upewnić się, że wymagany atrybut — na przykład samAccountName — jest synchronizowany z identyfikatorem Microsoft Entra. Atrybuty rozszerzenia umożliwiają emitowanie jakichkolwiek oświadczeń, które nie są częścią standardowego schematu użytkownika w identyfikatorze Microsoft Entra.
- W najbardziej typowych scenariuszach aplikacja wymaga tylko oświadczenia NameID i innych typowych oświadczeń identyfikatora użytkownika. Aby ustalić, czy są wymagane dodatkowe oświadczenia, sprawdź, jakie oświadczenia są wystawiane z usług AD FS.
- Nie wszystkie oświadczenia można wydać, ponieważ niektóre oświadczenia są chronione w identyfikatorze Microsoft Entra.
- Możliwość korzystania z zaszyfrowanych tokenów SAML jest teraz dostępna w wersji zapoznawczej. Zobacz Instrukcje: dostosowywanie oświadczeń wystawionych w tokenie SAML dla aplikacji dla przedsiębiorstw.
Aplikacje oprogramowania jako usługi (SaaS)
Jeśli użytkownicy logują się do aplikacji SaaS, takich jak Salesforce, ServiceNow lub Workday i są zintegrowani z usługami AD FS, używasz federacyjnego logowania dla aplikacji SaaS.
Większość aplikacji SaaS można skonfigurować w identyfikatorze Microsoft Entra. Firma Microsoft ma wiele wstępnie skonfigurowanych połączeń z aplikacjami SaaS w galerii aplikacji Microsoft Entra, co ułatwia przejście. Aplikacje SAML 2.0 można zintegrować z identyfikatorem Microsoft Entra za pośrednictwem galerii aplikacji Microsoft Entra lub jako aplikacji spoza galerii.
Aplikacje korzystające z protokołu OAuth 2.0 lub OpenID Connect mogą być podobnie zintegrowane z identyfikatorem Microsoft Entra jako rejestracjami aplikacji. Aplikacje korzystające ze starszych protokołów mogą używać serwera proxy aplikacji Microsoft Entra do uwierzytelniania przy użyciu identyfikatora Microsoft Entra.
W przypadku problemów z dołączaniem aplikacji SaaS możesz skontaktować się z aliasem pomocy technicznej integracji aplikacji SaaS.
Certyfikaty podpisywania SAML na potrzeby logowania jednokrotnego
Certyfikaty podpisywania są ważną częścią każdego wdrożenia logowania jednokrotnego. Microsoft Entra identyfikator tworzy certyfikaty podpisywania w celu ustanowienia federacyjnego logowania jednokrotnego opartego na protokole SAML do aplikacji SaaS. Po dodaniu aplikacji z galerii lub aplikacji spoza galerii skonfigurujesz dodaną aplikację przy użyciu opcji federacyjnego logowania jednokrotnego. Zobacz Zarządzanie certyfikatami dla federacyjnego logowania jednokrotnego w identyfikatorze Microsoft Entra.
Szyfrowanie tokenu SAML
Zarówno usługi AD FS, jak i identyfikator Microsoft Entra zapewniają szyfrowanie tokenu — możliwość szyfrowania asercji zabezpieczeń SAML, które przechodzą do aplikacji. Asercji są szyfrowane przy użyciu klucza publicznego i odszyfrowywane przez aplikację odbieraną z pasującym kluczem prywatnym. Podczas konfigurowania szyfrowania tokenu należy przekazać pliki certyfikatów X.509 w celu udostępnienia kluczy publicznych.
Aby uzyskać informacje na temat Microsoft Entra szyfrowania tokenu SAML i sposobu jej konfigurowania, zobacz How to: Configure Microsoft Entra SAML token encryption (Jak skonfigurować szyfrowanie tokenów SAML Microsoft Entra).
Uwaga
Szyfrowanie tokenu jest funkcją Microsoft Entra ID P1 lub P2. Aby dowiedzieć się więcej na temat wersji Microsoft Entra, funkcji i cen, zobacz cennik Microsoft Entra.
Weryfikacja podpisu żądania SAML
Ta funkcja weryfikuje podpis podpisanych żądań uwierzytelniania. Aplikacja Administracja włącza i wyłącza wymuszanie podpisanych żądań i przekazuje klucze publiczne, które powinny być używane do weryfikacji. Aby uzyskać więcej informacji, zobacz Jak wymusić podpisane żądania uwierzytelniania SAML.
Dostawcy oświadczeń niestandardowych (wersja zapoznawcza)
Aby przeprowadzić migrację danych ze starszych systemów, takich jak usługi ADFS lub magazyny danych, takie jak LDAP, aplikacje są zależne od określonych danych w tokenach. Możesz użyć niestandardowych dostawców oświadczeń, aby dodać oświadczenia do tokenu. Aby uzyskać więcej informacji, zobacz Omówienie dostawcy oświadczeń niestandardowych.
Aplikacje i konfiguracje, które można przenieść dzisiaj
Aplikacje, które można łatwo przenosić, obejmują obecnie aplikacje SAML 2.0 korzystające ze standardowego zestawu elementów konfiguracji i oświadczeń. Te standardowe elementy to:
- Nazwa główna użytkownika
- Adres e-mail
- Imię
- Nazwisko
- Atrybut alternatywny jako samL NameID, w tym atrybut poczty identyfikatora Microsoft Entra, prefiks poczty, identyfikator pracownika, atrybuty rozszerzenia 1-15 lub lokalny atrybut SamAccountName. Aby uzyskać więcej informacji, zobacz Edytowanie oświadczenia NameIdentifier.
- Oświadczenia niestandardowe.
Poniżej przedstawiono więcej kroków konfiguracji, aby przeprowadzić migrację do identyfikatora Microsoft Entra:
- Niestandardowe reguły autoryzacji lub uwierzytelniania wieloskładnikowego (MFA) w usługach AD FS. Można je skonfigurować przy użyciu funkcji dostępu warunkowego Microsoft Entra.
- Aplikacje z wieloma punktami końcowymi adresu URL odpowiedzi. Można je skonfigurować w identyfikatorze Microsoft Entra przy użyciu programu PowerShell lub interfejsu centrum administracyjnego Microsoft Entra.
- Aplikacje usług federacyjnych w Internecie, takie jak aplikacje programu SharePoint, które wymagają tokenów w wersji 1.1 protokołu SAML. Można je skonfigurować ręcznie przy użyciu programu PowerShell. Możesz również dodać wstępnie całkowity szablon ogólny dla aplikacji SharePoint i SAML 1.1 z galerii. Obsługujemy protokół SAML 2.0.
- Złożone reguły wystawiania oświadczeń przekształcają reguły. Aby uzyskać informacje o obsługiwanych mapowaniach oświadczeń, zobacz:
Aplikacje i konfiguracje nie są obecnie obsługiwane w Microsoft Entra
Obecnie nie można migrować aplikacji wymagających pewnych możliwości.
Możliwości protokołu
Obecnie nie można migrować aplikacji wymagających następujących możliwości protokołu:
- Obsługa wzorca WS-Trust ActAs
- Rozpoznawanie artefaktów języka SAML
Mapuj ustawienia aplikacji z usług AD FS na identyfikator Microsoft Entra
Migracja wymaga oceny sposobu konfigurowania aplikacji lokalnie, a następnie mapowania tej konfiguracji na Microsoft Entra identyfikatora. Usługi AD FS i identyfikator Microsoft Entra działają podobnie, więc pojęcia dotyczące konfigurowania zaufania, logowania i wylogowywanie adresów URL oraz identyfikatorów mają zastosowanie w obu przypadkach. Dokumentuj ustawienia konfiguracji usług AD FS aplikacji, aby można było je łatwo skonfigurować w identyfikatorze Microsoft Entra.
Mapuj ustawienia konfiguracji aplikacji
W poniższej tabeli opisano niektóre z najczęstszych mapowań ustawień między relacją zaufania jednostki uzależnionej usług AD FS do Microsoft Entra aplikacji dla przedsiębiorstw:
- AD FS — znajdź ustawienie w relacji zaufania jednostki uzależnionej usług AD FS dla aplikacji. Kliknij prawym przyciskiem myszy jednostkę uzależnioną i wybierz polecenie Właściwości.
- Microsoft Entra identyfikator — ustawienie jest konfigurowane w centrum administracyjnym Microsoft Entra we właściwościach logowania jednokrotnego każdej aplikacji.
| Ustawienie konfiguracji | AD FS | Jak skonfigurować w identyfikatorze Microsoft Entra | SAML Token |
|---|---|---|---|
| Adres URL logowania do aplikacji Adres URL użytkownika do logowania się do aplikacji w przepływie SAML zainicjowanym przez dostawcę usług (SP). |
Nie dotyczy | Otwórz podstawową konfigurację SAML z logowania opartego na protokole SAML | Nie dotyczy |
| Adres URL odpowiedzi aplikacji Adres URL aplikacji z perspektywy dostawcy tożsamości. Dostawca tożsamości wysyła tutaj użytkownika i token po zalogowaniu się do dostawcy tożsamości. Jest to również nazywane punktem końcowym odbiorcy asercji SAML. |
Wybieranie karty Punkty końcowe | Otwórz podstawową konfigurację PROTOKOŁU SAML z poziomu logowania opartego na protokole SAML | Element docelowy w tokenie SAML. Przykładowa wartość: https://contoso.my.salesforce.com |
| Adres URL wylogowania aplikacji Jest to adres URL, do którego są wysyłane żądania czyszczenia wylogowywania, gdy użytkownik wyloguje się z aplikacji. Dostawca tożsamości wysyła żądanie wylogowania użytkownika ze wszystkich innych aplikacji. |
Wybieranie karty Punkty końcowe | Otwórz podstawową konfigurację PROTOKOŁU SAML z poziomu logowania opartego na protokole SAML | Nie dotyczy |
| Identyfikator aplikacji Jest to identyfikator aplikacji z perspektywy dostawcy tożsamości. Wartość adresu URL logowania jest często używana jako identyfikator (ale nie zawsze). Czasami aplikacja wywołuje ten "identyfikator jednostki". |
Wybierz kartę Identyfikatory | Otwórz podstawową konfigurację PROTOKOŁU SAML z poziomu logowania opartego na protokole SAML | Mapuje na element Audience w tokenie SAML. |
| Metadane federacji aplikacji Jest to lokalizacja metadanych federacji aplikacji. Używana przez dostawcę tożsamości do automatycznego aktualizowania określonych ustawień konfiguracji, takich jak punkty końcowe lub certyfikaty szyfrowania. |
Wybierz kartę Monitorowanie | Nie dotyczy. Microsoft Entra identyfikator nie obsługuje bezpośredniego korzystania z metadanych federacji aplikacji. Metadane federacji można zaimportować ręcznie. | Nie dotyczy |
| Identyfikator użytkownika/Identyfikator nazwy Atrybut używany do unikatowego wskazania tożsamości użytkownika z identyfikatora Microsoft Entra lub usług AD FS do aplikacji. Ten atrybut jest zazwyczaj nazwą UPN lub adresem e-mail użytkownika. |
Reguły oświadczeń. W większości przypadków reguła oświadczeń wystawia oświadczenie z typem kończącym się identyfikatorem NameIdentifier. | Identyfikator można znaleźć w nagłówku Atrybuty użytkownika i oświadczenia. Domyślnie jest używana nazwa UPN | Mapuje na element NameID w tokenie SAML. |
| Inne oświadczenia Przykłady innych informacji o oświadczeniach, które są często wysyłane od dostawcy tożsamości do aplikacji, obejmują imię, nazwisko, adres e-mail i członkostwo w grupie. |
W usługach AD FS są to inne reguły oświadczenia powiązane z jednostką uzależnioną. | Identyfikator można znaleźć w nagłówku Oświadczenia atrybutów & użytkownika. Wybierz pozycję Wyświetl i edytuj wszystkie inne atrybuty użytkownika. | Nie dotyczy |
Ustawienia dostawcy tożsamości mapowania
Skonfiguruj aplikacje tak, aby wskazywały identyfikator Microsoft Entra w porównaniu z usługami AD FS na potrzeby logowania jednokrotnego. W tym miejscu koncentrujemy się na aplikacjach SaaS korzystających z protokołu SAML. Jednak ta koncepcja obejmuje również niestandardowe aplikacje biznesowe.
Uwaga
Wartości konfiguracji identyfikatora Microsoft Entra są zgodne ze wzorcem, w którym identyfikator dzierżawy platformy Azure zastępuje wartość {tenant-id}, a identyfikator aplikacji zastępuje element {application-id}. Te informacje znajdują się w centrum administracyjnym Microsoft Entra w obszarze właściwości identyfikatora > Microsoft Entra:
- Wybierz pozycję Identyfikator katalogu, aby wyświetlić identyfikator dzierżawy.
- Wybierz pozycję Identyfikator aplikacji, aby wyświetlić swój identyfikator aplikacji.
Na wysokim poziomie zamapuj następujące kluczowe elementy konfiguracji aplikacji SaaS na Microsoft Entra identyfikator.
| Element | Wartość konfiguracji |
|---|---|
| Wystawca dostawcy tożsamości | https://sts.windows.net/{tenant-id}/ |
| Adres URL logowania dostawcy tożsamości | https://login.microsoftonline.com/{tenant-id}/saml2 |
| Adres URL wylogowania dostawcy tożsamości | https://login.microsoftonline.com/{tenant-id}/saml2 |
| Lokalizacja metadanych federacji | https://login.windows.net/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml?appid={application-id} |
Mapuj ustawienia logowania jednokrotnego dla aplikacji SaaS
Aplikacje SaaS muszą wiedzieć, gdzie wysyłać żądania uwierzytelniania i jak weryfikować odebrane tokeny. W poniższej tabeli opisano elementy służące do konfigurowania ustawień logowania jednokrotnego w aplikacji oraz ich wartości lub lokalizacje w usługach AD FS i identyfikatorze Microsoft Entra
| Ustawienie konfiguracji | AD FS | Jak skonfigurować w identyfikatorze Microsoft Entra |
|---|---|---|
| Adres URL logowania dostawcy tożsamości Adres URL logowania dostawcy tożsamości z perspektywy aplikacji (gdzie użytkownik jest przekierowywany do logowania). |
Adres URL logowania usług AD FS to nazwa usługi federacyjnej usług AD FS, po której następuje ciąg "/adfs/ls/". Na przykład: |
Zastąp ciąg {tenant-id} identyfikatorem dzierżawy. W przypadku aplikacji korzystających z protokołu SAML-P: https://login.microsoftonline.com/{tenant-id}/saml2 W przypadku aplikacji korzystających z protokołu WS-Federation: https://login.microsoftonline.com/{tenant-id}/wsfed |
| Adres URL wylogowania dostawcy tożsamości Adres URL wylogowania dostawcy tożsamości z perspektywy aplikacji (gdzie użytkownik jest przekierowywany, gdy zdecyduje się wylogować z aplikacji). |
Adres URL wylogowania jest taki sam jak adres URL logowania lub ten sam adres URL z dołączonym ciągiem "wa=wsignout1.0". Na przykład: https://fs.contoso.com/adfs/ls/?wa=wsignout1.0 |
Zastąp ciąg {tenant-id} identyfikatorem dzierżawy. W przypadku aplikacji korzystających z protokołu SAML-P: https://login.microsoftonline.com/{tenant-id}/saml2 W przypadku aplikacji korzystających z protokołu WS-Federation: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 |
| Certyfikat podpisywania tokenu Dostawca tożsamości używa klucza prywatnego certyfikatu do podpisywania wystawionych tokenów. Weryfikuje, że token pochodzi od tego samego dostawcy tożsamości, z którym aplikacja ma skonfigurowaną relację zaufania. |
Certyfikat podpisywania tokenu usług AD FS znajduje się w funkcji zarządzania usługami AD FS w obszarze Certyfikaty. | Znajdź go w centrum administracyjnym Microsoft Entra we właściwościach logowania jednokrotnego aplikacji w obszarze nagłówka Certyfikat podpisywania SAML. W tym miejscu możesz pobrać certyfikat, aby następnie przekazać go do aplikacji. Jeśli aplikacja ma więcej niż jeden certyfikat, wszystkie certyfikaty można znaleźć w pliku XML metadanych federacji. |
| Identyfikator/ "wystawca" Identyfikator dostawcy tożsamości z perspektywy aplikacji (czasami nazywany "identyfikatorem wystawcy"). W tokenie SAML wartość jest wyświetlana jako element Wystawca. |
Identyfikator usług AD FS jest zwykle identyfikator usługi federacyjnej w usłudze AD FS zarządzania w obszarze Edytowanie właściwości usługi > federacyjnej. Na przykład: http://fs.contoso.com/adfs/services/trust |
Zastąp ciąg {tenant-id} identyfikatorem dzierżawy. https://sts.windows.net/{tenant-id}/ |
| Metadane federacji dostawcy tożsamości Lokalizacja publicznie dostępnych metadanych federacji dostawcy tożsamości. (Niektóre aplikacje używają metadanych federacji jako alternatywy sytuacji, w której administrator indywidualnie konfiguruje adresy URL, identyfikator i certyfikat podpisywania tokenu). |
Znajdź adres URL metadanych federacji usług AD FS w obszarze Zarządzanie usługami AD FS w obszarze Typ metadanych > punktów końcowych > usługi>: Metadane federacji. Na przykład: https://fs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml |
Odpowiadająca wartość identyfikatora Microsoft Entra jest zgodna ze wzorcem https://login.microsoftonline.com/{TenantDomainName}/FederationMetadata/2007-06/FederationMetadata.xml. Zastąp ciąg {TenantDomainName} nazwą dzierżawy w formacie "contoso.onmicrosoft.com". Aby uzyskać więcej informacji, zobacz Metadane federacji. |