Udostępnij za pośrednictwem

Włączanie logowania jednokrotnego dla aplikacji dla przedsiębiorstw przy użyciu usługi STS jednostki uzależnionej

W tym artykule użyjesz centrum administracyjnego firmy Microsoft Entra, aby włączyć logowanie jednokrotne dla aplikacji dla przedsiębiorstw, która jest zależna od usługi tokenu zabezpieczającego jednostki uzależnionej (STS). Jednostka uzależniona STS obsługuje język SAML (Security Assertion Markup Language) i można ją zintegrować z firmą Microsoft Entra jako aplikacją dla przedsiębiorstw. Po skonfigurowaniu logowania jednokrotnego użytkownicy mogą logować się do aplikacji przy użyciu poświadczeń firmy Microsoft Entra.

Diagram przedstawiający relację zaufania między aplikacją, usługą STS strony zaufanej a Microsoft Entra ID jako dostawcą tożsamości.

Jeśli aplikacja zostanie zintegrowana bezpośrednio z Microsoft Entra na potrzeby logowania jednokrotnego i nie wymaga usługi tokenu zabezpieczeń usługi zależnej (STS), zobacz artykuł Włącz logowanie jednokrotne dla aplikacji dla przedsiębiorstw.

Zalecamy przetestowanie kroków opisanych w tym artykule przy użyciu środowiska nieprodukcyjnego przed skonfigurowaniem aplikacji w dzierżawie produkcyjnej.

Wymagania wstępne

Do skonfigurowania logowania jednokrotnego potrzebne są następujące elementy:

  • Jednostki uzależnionej STS, takiej jak Active Directory Federation Services (AD FS) lub PingFederate, z punktami końcowymi HTTPS
    1. Będziesz potrzebować identyfikatora jednostki (entity ID) dostawcy usług STS. Musi to być unikatowe dla wszystkich Stron Polegających STS i aplikacji skonfigurowanych w dzierżawcy Microsoft Entra. Nie można mieć dwóch aplikacji w jednej dzierżawie Microsoft Entra z tym samym identyfikatorem podmiotu. Jeśli na przykład usługi Active Directory Federation Services (AD FS) są partnera STS, identyfikator może być adresem URL w postaci http://{hostname.domain}/adfs/services/trust.
    2. Potrzebujesz również adresu URL usługi odbioru asercji lub adresu URL odpowiedzi dla jednostki uzależnionej od STS. Ten adres URL musi być HTTPS adresem URL umożliwiającym bezpieczne przesyłanie tokenów SAML z firmy Microsoft Entra do usługi STS jednostki uzależnionej w ramach logowania jednokrotnego do aplikacji. Na przykład, jeśli usługi AD FS są jednostką polegającą STS, adres URL może mieć postać https://{hostname.domain}/adfs/ls/.
  • Aplikacja, która została już zintegrowana z usługą STS tej jednostki uzależnionej
  • Jedna z następujących ról w usłudze Microsoft Entra: Administrator aplikacji w chmurze, Administrator aplikacji
  • Użytkownik testowy w firmie Microsoft Entra, który może zalogować się do aplikacji

Uwaga / Notatka

W tym samouczku przyjęto założenie, że istnieje jedna dzierżawa firmy Microsoft Entra, jedna jednostka uzależniona STS i jedna aplikacja połączona z usługą STS jednostki uzależnionej. W tym samouczku przedstawiono, jak skonfigurować Microsoft Entra, aby używać identyfikatora jednostki dostarczonego przez STS dostawcy zaufania do określenia odpowiedniej aplikacji korporacyjnej i wysłania tokenu SAML w odpowiedzi. Jeśli masz więcej niż jedną aplikację połączoną z pojedynczą jednostką uzależnioną STS, firma Microsoft Entra nie będzie mogła odróżnić tych dwóch aplikacji podczas wystawiania tokenów SAML. Konfigurowanie różnych identyfikatorów jednostek wykracza poza zakres tego samouczka.

Tworzenie aplikacji w usłudze Microsoft Entra

Najpierw utwórz aplikację korporacyjną w Microsoft Entra, która umożliwia Microsoft Entra generowanie tokenów SAML dla zaufanej strony STS, aby udostępnić je aplikacji.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Wszystkie aplikacje.
  3. Jeśli masz już skonfigurowaną aplikację reprezentującą zaufaną stronę STS, wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, wybierz aplikację z wyników wyszukiwania i przejdź do następnej sekcji.
  4. Wybierz pozycję Nowa aplikacja.
  5. Wybierz pozycję Utwórz własną aplikację.
  6. Wpisz nazwę nowej aplikacji w polu nazwa wejściowa, wybierz pozycję Integruj dowolną inną aplikację, której nie można znaleźć w galerii (bez galerii), a następnie wybierz pozycję Utwórz.

Konfigurowanie logowania jednokrotnego w aplikacji

  1. W sekcji Zarządzanie w menu po lewej stronie wybierz pozycję Logowanie jednokrotne , aby otworzyć okienko Logowanie jednokrotne do edycji.

  2. Wybierz opcję SAML, aby otworzyć stronę konfiguracji SSO.

  3. W polu Podstawowa konfiguracja protokołu SAML wybierz pozycję Edytuj. Przed wprowadzeniem dalszych zmian konfiguracji protokołu SAML należy ustawić identyfikator i adres URL odpowiedzi. Zrzut ekranu przedstawiający wymaganą podstawową konfigurację protokołu SAML na potrzeby logowania jednokrotnego dla aplikacji dla przedsiębiorstw.

  4. Na stronie Podstawowa konfiguracja protokołu SAML w obszarze Identyfikator (identyfikator jednostki), jeśli nie ma identyfikatora na liście, wybierz pozycję Dodaj identyfikator. Wprowadź identyfikator aplikacji, który został udostępniony przez usługę STS strony zależnej. Na przykład identyfikator może być adresem URL formularza http://{hostname.domain}/adfs/services/trust.

  5. Na stronie Podstawowa konfiguracja protokołu SAML w obszarze Adres URL odpowiedzi (adres URL usługi Assertion Consumer Service) wybierz pozycję Dodaj adres URL odpowiedzi. Wpisz adres URL HTTPS jednostki uzależnionej STS Assertion Consumer Service. Na przykład adres URL może mieć postać https://{hostname.domain}/adfs/ls/.

  6. Opcjonalnie skonfiguruj adresy URL logowania, stan przekazywania lub adresy URL wylogowania, jeśli jest to wymagane przez usługę STS strony uzależnionej.

  7. Wybierz pozycję Zapisz.

Pobieranie metadanych i certyfikatów z firmy Microsoft Entra

Usługa STS jednostki uzależnionej może wymagać metadanych federacji od firmy Microsoft Entra jako dostawcy tożsamości w celu ukończenia konfiguracji. Metadane federacji i skojarzone certyfikaty są udostępniane w sekcji Certyfikaty SAML na stronie Podstawowa konfiguracja protokołu SAML . Aby uzyskać więcej informacji, zobacz metadane federacji.

Zrzut ekranu przedstawiający opcje pobierania certyfikatów podpisywania SAML i metadanych federacji dla aplikacji dla przedsiębiorstw.

  • Jeśli STS partnera relacji może pobrać metadane federacji z internetowego punktu końcowego, skopiuj wartość przy adresie URL metadanych federacji aplikacji.
  • Jeśli usługa STS jednostki uzależnionej wymaga lokalnego pliku XML zawierającego metadane federacji, wybierz pozycję Pobierz obok pozycji Plik XML metadanych federacji.
  • Jeśli usługa STS jednostki uzależnionej wymaga certyfikatu dostawcy tożsamości, wybierz pozycję Pobierz obok certyfikatu (Base64) lub certyfikatu (nieprzetworzonego).
  • Jeśli usługa STS jednostki uzależnionej nie obsługuje metadanych federacji, skopiuj adres URL logowania i identyfikator MIcrosoft Entra , aby skonfigurować usługę STS jednostki uzależnionej. Zrzut ekranu pokazujący URL logowania Microsoft Entra i identyfikator dla aplikacji biznesowej.

Konfigurowanie oświadczeń wystawionych przez firmę Microsoft Entra

Domyślnie tylko kilka atrybutów użytkowników firmy Microsoft Entra jest uwzględnianych w tokenie SAML, które Microsoft Entra wysyła do strony zależnej STS. Możesz dodać dodatkowe oświadczenia, których wymagają aplikacje, i zmienić atrybut podany w identyfikatorze nazwy SAML. Aby uzyskać więcej informacji na temat oświadczeń standardowych, zobacz dokumentację oświadczeń tokenu SAML.

  1. W polu Atrybuty i oświadczenia wybierz pozycję Edytuj.
  2. Aby zmienić atrybut Entra ID, który jest wysyłany jako wartość identyfikatora nazwy, wybierz wiersz Unikatowy identyfikator użytkownika (Name ID). Możesz zmienić atrybut źródłowy na inny wbudowany atrybut lub atrybut rozszerzenia firmy Microsoft Entra. Następnie wybierz pozycję Zapisz.
  3. Aby zmienić atrybut Entra ID, który jest wysyłany jako wartość roszczenia już skonfigurowanego, wybierz wiersz w sekcji Dodatkowe oświadczenia.
  4. Aby dodać nowe oświadczenie, wybierz pozycję Dodaj nowe oświadczenie.
  5. Po zakończeniu wybierz pozycję Logowanie oparte na protokole SAML , aby zamknąć ten ekran.

Konfigurowanie, kto może zalogować się do aplikacji

Podczas testowania konfiguracji należy przypisać wyznaczonego użytkownika testowego do aplikacji w firmie Microsoft Entra, aby sprawdzić, czy użytkownik może zalogować się do aplikacji za pośrednictwem firmy Microsoft Entra i jednostki uzależnionej STS.

  1. W sekcji Zarządzanie w menu po lewej stronie wybierz pozycję Właściwości.
  2. Upewnij się, że wartość Włączone dla użytkowników do logowania ma wartość Tak.
  3. Upewnij się, że wartość wymaganego przypisania ma wartość Tak.
  4. Jeśli wprowadzisz jakiekolwiek zmiany, wybierz pozycję Zapisz.
  5. W sekcji Zarządzanie w menu po lewej stronie wybierz pozycję Użytkownicy i grupy.
  6. Wybierz pozycję Dodaj użytkownika/grupę.
  7. Wybierz pozycję Brak.
  8. W polu wyszukiwania wpisz nazwę użytkownika testowego, a następnie wybierz użytkownika i wybierz pozycję Wybierz.
  9. Wybierz pozycję Przypisz , aby przypisać użytkownika do domyślnej roli użytkownika aplikacji.
  10. W sekcji Zabezpieczenia menu po lewej stronie wybierz pozycję Dostęp warunkowy.
  11. Wybierz pozycję Co jeśli.
  12. Wybierz pozycję Brak wybranego użytkownika lub jednostki usługi, wybierz pozycję Nie wybrano użytkownika i wybierz użytkownika wcześniej przypisanego do aplikacji.
  13. Wybierz pozycję Dowolna aplikacja w chmurze i wybierz aplikację dla przedsiębiorstw.
  14. Wybierz pozycję Co jeśli. Sprawdź, czy wszystkie zasady, które będą stosowane, zezwalają użytkownikowi na logowanie się do aplikacji.

Skonfiguruj Microsoft Entra jako dostawcę tożsamości w zaufanej jednostce STS

Następnie zaimportuj metadane federacji do usługi STS jednostki uzależnionej. Poniższe kroki są pokazane przy użyciu usług AD FS, ale zamiast tego można użyć innej jednostki uzależnionej STS.

  1. Na liście zaufania dostawcy oświadczeń zaufanej jednostki STS wybierz pozycję Dodaj zaufanie dostawcy oświadczeń, a następnie wybierz pozycję Rozpocznij.
  2. W zależności od tego, czy pobrano metadane federacji z firmy Microsoft Entra, wybierz pozycję Importuj dane dotyczące dostawcy oświadczeń opublikowanego w trybie online lub w sieci lokalnej lub Importuj dane dotyczące dostawcy oświadczeń z pliku.
  3. Konieczne może być również dostarczenie certyfikatu Microsoft Entra do punktu STS strony zaufanej.
  4. Po zakończeniu konfiguracji firmy Microsoft Entra jako dostawcy tożsamości upewnij się, że:
    • Identyfikator dostawcy oświadczeń ma postać identyfikatora URI https://sts.windows.net/{tenantid}.
    • Jeśli używasz globalnej usługi Microsoft Entra ID, punkty końcowe logowania jednokrotnego SAML są w formie identyfikatora URI https://login.microsoftonline.com/{tenantid}/saml2. Aby zapoznać się z chmurami krajowymi, zobacz Uwierzytelnianie Microsoft Entra i chmury krajowe.
    • Certyfikat firmy Microsoft Entra jest rozpoznawany przez usługę STS strony ufającej.
    • Nie skonfigurowano szyfrowania.
    • Oświadczenia skonfigurowane w usłudze Microsoft Entra są dostępne do mapowania reguł dotyczących oświadczeń w usłudze STS podmiotu zależnego. Jeśli później dodano dodatkowe oświadczenia, może być również konieczne ich dodanie do konfiguracji dostawcy tożsamości w STS strony zaufanej.

Konfigurowanie reguł oświadczeń w usłudze STS strony zależnej

Gdy oświadczenia, które firma Microsoft Entra wyśle jako dostawca tożsamości, są znane zaufanej stronie STS, musisz mapować lub przekształcać te oświadczenia w oświadczenia wymagane przez aplikację. Poniższe kroki są pokazane przy użyciu usług AD FS, ale zamiast tego można użyć innej jednostki uzależnionej STS.

  1. Na liście zaufania dostawcy oświadczeń usługi STS jednostki uzależnionej wybierz zaufanie dostawcy oświadczeń dla firmy Microsoft Entra, a następnie wybierz pozycję Edytuj reguły oświadczeń.
  2. Dla każdego oświadczenia dostarczonego przez firmę Microsoft Entra i wymaganego przez aplikację wybierz pozycję Dodaj regułę. W każdej regule wybierz opcję Przekaż lub Filtruj przychodzące roszczenie lub Przekształć przychodzące roszczenie zgodnie z wymaganiami aplikacji.

Testowanie logowania jednokrotnego do aplikacji

Po skonfigurowaniu aplikacji w firmie Microsoft Entra i jednostki uzależnionej STS użytkownicy mogą się do niej zalogować, uwierzytelniając się w usłudze Microsoft Entra i mając token dostarczony przez firmę Microsoft Entra przekształcony przez jednostki uzależnionej STS w formularz i oświadczenia wymagane przez aplikację.

W tym samouczku przedstawiono testowanie procesu logowania przy użyciu aplikacji internetowej, która implementuje wzorzec jednokrotnego logowania inicjowany przez stronę zależną. Aby uzyskać więcej informacji, zobacz Protokół SAML logowania jednokrotnego.

Diagram przedstawiający przekierowania przeglądarki internetowej między aplikacją, usługą STS jednostki uzależnionej i identyfikatorem Entra firmy Microsoft jako dostawcą tożsamości.

  1. W prywatnej sesji przeglądania przeglądarki internetowej połącz się z aplikacją i zainicjuj proces logowania. Aplikacja przekierowuje przeglądarkę internetową do usługi STS jednostki uzależnionej, a jednostka uzależniona STS określa dostawców tożsamości, którzy mogą zapewnić odpowiednie oświadczenia.
  2. W systemie STS strony polegającej, jeśli zostanie wyświetlony monit, wybierz ten dostawcę tożsamości Microsoft Entra. Usługa STS jednostki uzależnionej przekierowuje przeglądarkę internetową do punktu końcowego logowania firmy Microsoft Entra, https://login.microsoftonline.com jeśli korzysta z usługi globalnej Microsoft Entra ID.
  3. Zaloguj się do Microsoft Entra przy użyciu tożsamości użytkownika testowego, wcześniej skonfigurowanego w kroku konfigurowania, kto może się zalogować do aplikacji. Microsoft Entra następnie lokalizuje aplikację dla przedsiębiorstw na podstawie identyfikatora jednostki i przekierowuje przeglądarkę internetową do punktu końcowego URL odpowiedzi STS usługodawcy zależnego, a przeglądarka internetowa przenosi token SAML.
  4. Jednostka uzależniona STS sprawdza, czy token SAML został wystawiony przez firmę Microsoft Entra, a następnie wyodrębnia i przekształca oświadczenia z tokenu SAML i przekierowuje przeglądarkę internetową do aplikacji. Upewnij się, że aplikacja otrzymała wymagane oświadczenia od firmy Microsoft Entra za pośrednictwem tego procesu.

Kompletna konfiguracja

  1. Po przetestowaniu początkowej konfiguracji logowania należy upewnić się, że STS zaufanej strony pozostaje aktualny, ponieważ do Microsoft Entra dodawane są nowe certyfikaty. Niektóre jednostki uzależnionej STS mogą mieć wbudowany proces monitorowania metadanych federacji dostawcy tożsamości.
  2. W tym samouczku przedstawiono, jak skonfigurować jednokrotne logowanie. Usługa STS jednostki uzależnionej może również obsługiwać wylogowanie jednokrotne SAML. Aby uzyskać więcej informacji na temat tej możliwości, zobacz Single Sign-Out SAML Protocol (Protokół SAML single Sign-Out).
  3. Możesz usunąć przypisanie użytkownika testowego do aplikacji. Możesz użyć innych funkcji, takich jak grupy dynamiczne lub zarządzanie upoważnieniami, aby przypisać użytkowników do aplikacji. Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie i przypisywanie konta użytkownika.

Dalsze kroki