Udostępnij za pośrednictwem


Jak skonfigurować logowanie jednokrotne do aplikacji opartej na serwerze proxy aplikacji

Logowanie jednokrotne (SSO) umożliwia użytkownikom dostęp do aplikacji bez uwierzytelniania wiele razy. Dzięki temu pojedyncze uwierzytelnianie może wystąpić w chmurze względem identyfikatora Microsoft Entra ID i umożliwia usłudze lub łącznikowi personifikację użytkownika w celu wykonania kolejnych wyzwań związanych z uwierzytelnianiem z aplikacji.

Jak skonfigurować logowanie jednokrotne

Aby skonfigurować logowanie jednokrotne, najpierw upewnij się, że aplikacja została skonfigurowana do uwierzytelniania wstępnego za pomocą identyfikatora Entra firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
  2. Wybierz swoją nazwę użytkownika w prawym górnym rogu. Sprawdź, czy zalogowaliśmy się do katalogu korzystającego z serwera proxy aplikacji. Jeśli chcesz zmienić katalogi, wybierz pozycję Przełącz katalog i wybierz katalog korzystający z serwera proxy aplikacji.
  3. Przejdź do strony Identity>Applications Enterprise Applications>Application Proxy( Serwer proxy aplikacji dla>przedsiębiorstw).

Wyszukaj pole "Wstępne uwierzytelnianie" i upewnij się, że zostało ustawione.

Aby uzyskać więcej informacji na temat metod uwierzytelniania wstępnego, zobacz krok 4 dokumentu publikowania aplikacji.

Metoda wstępnego uwierzytelniania w centrum administracyjnym firmy Microsoft Entra

Konfigurowanie trybów logowania jednokrotnego dla aplikacji proxy aplikacji

Skonfiguruj określony typ logowania jednokrotnego. Metody logowania są klasyfikowane na podstawie typu uwierzytelniania używanego przez aplikację zaplecza. Aplikacje serwera proxy aplikacji obsługują trzy typy logowania:

  • Logowanie oparte na hasłach: logowanie oparte na hasłach może być używane dla dowolnej aplikacji, która używa pól nazwy użytkownika i hasła do logowania. Kroki konfiguracji znajdują się w temacie Konfigurowanie logowania jednokrotnego hasła dla aplikacji z galerii Firmy Microsoft Entra.

  • Zintegrowane uwierzytelnianie systemu Windows: w przypadku aplikacji korzystających ze zintegrowanego uwierzytelniania systemu Windows (IWA) logowanie jednokrotne jest włączone za pośrednictwem ograniczonego delegowania protokołu Kerberos (KCD). Ta metoda umożliwia prywatnym łącznikom sieciowym uprawnienie w usłudze Active Directory do personifikacji użytkowników oraz wysyłanie i odbieranie tokenów w ich imieniu. Szczegółowe informacje na temat konfigurowania usługi KCD można znaleźć w dokumentacji logowania jednokrotnego w usłudze KCD.

  • Logowanie oparte na nagłówkach: logowanie oparte na nagłówkach służy do zapewniania możliwości logowania jednokrotnego przy użyciu nagłówków HTTP. Aby dowiedzieć się więcej, zobacz Logowanie jednokrotne oparte na nagłówku.

  • Logowanie jednokrotne SAML: przy użyciu logowania jednokrotnego SAML firma Microsoft Entra uwierzytelnia się w aplikacji przy użyciu konta Microsoft Entra użytkownika. Usługa Microsoft Entra ID przekazuje informacje dotyczące logowania do aplikacji za pośrednictwem protokołu połączenia. Za pomocą logowania jednokrotnego opartego na protokole SAML można mapować użytkowników na określone role aplikacji na podstawie reguł zdefiniowanych w oświadczeniach SAML. Aby uzyskać informacje na temat konfigurowania logowania jednokrotnego SAML, zobacz SAML for single sign-on with application proxy (SamL for single sign-on with application proxy).

Każdą z tych opcji można znaleźć, przechodząc do aplikacji w obszarze Aplikacje dla przedsiębiorstw i otwierając stronę logowania jednokrotnego w menu po lewej stronie. Jeśli aplikacja została utworzona w starym portalu, wszystkie te opcje mogą nie być widoczne.

Na tej stronie zostanie również wyświetlona jeszcze jedna opcja Logowania: Połączone logowanie. Serwer proxy aplikacji obsługuje tę opcję. Jednak ta opcja nie dodaje logowania jednokrotnego do aplikacji. Oznacza to, że aplikacja może już mieć zaimplementowane logowanie jednokrotne przy użyciu innej usługi, takiej jak Active Directory Federation Services.

Ta opcja umożliwia administratorowi utworzenie linku do aplikacji, do której użytkownicy najpierw uzyskują dostęp podczas uzyskiwania dostępu do aplikacji. Na przykład aplikacja skonfigurowana do uwierzytelniania użytkowników przy użyciu usług Active Directory Federation Services 2.0 może użyć opcji "Połączone logowanie", aby utworzyć link do niej na stronie Moje aplikacje.

Następne kroki