Единый вход на основе SAML: конфигурация и ограничения
Из этой статьи вы узнаете, как настроить приложение для единого входа на основе SAML с помощью идентификатора Microsoft Entra ID. В этой статье описывается сопоставление пользователей с определенными ролями приложения на основе правил и ограничений, которые следует учитывать при сопоставлении атрибутов. Он также охватывает сертификаты подписи SAML, шифрование токенов SAML, проверку подписи запроса SAML и пользовательские поставщики утверждений.
Приложения, использующие SAML 2.0 для проверки подлинности, можно настроить для единого входа (SSO) на основе SAML. Если используется единый вход на основе SAML, вы можете сопоставлять пользователей с конкретными ролями приложений согласно правилам, определенным в утверждениях SAML.
Сведения о том, как настроить в приложении SaaS единый вход на основе SAML, см. в статье Краткое руководство. Настройка единого входа на основе SAML.
Многие приложения SaaS имеют руководства по конкретным приложениям, в которых описывается настройка единого входа на основе SAML.
Некоторые приложения можно переместить без проблем. Приложения с более сложными требованиями, например пользовательские утверждения, могут потребовать дополнительной настройки в идентификаторе Microsoft Entra ID и (или) Microsoft Entra Connect Health. Сведения о поддерживаемых сопоставлениях утверждений см. в разделе Практическое руководство. Настройка утверждений, добавляемых в токены для определенных служб в клиенте (предварительная версия).
При сопоставлении атрибутов учитывайте следующие ограничения.
- Не все атрибуты, которые могут быть выданы в AD FS, отображаются в идентификаторе Microsoft Entra в качестве атрибутов для выдачи маркеров SAML, даже если эти атрибуты синхронизированы. При изменении атрибута раскрывающийся список "Значение " отображает различные атрибуты, доступные в идентификаторе Microsoft Entra. Проверьте конфигурацию статей синхронизации Microsoft Entra Connect, чтобы убедиться, что обязательный атрибут ( например, samAccountName) синхронизируется с идентификатором Microsoft Entra. Атрибуты расширения можно использовать для выдачи каких-либо утверждений, которые не входят в стандартную схему пользователя в идентификаторе Microsoft Entra.
- В большинстве случаев приложению требуются только утверждение NameId и другие распространенные утверждения идентификатора пользователя. Чтобы определить, требуются ли дополнительные утверждения, проверьте, какие утверждения вы выдаете из AD FS.
- Не все утверждения могут быть выданы, так как некоторые утверждения защищены в идентификаторе Microsoft Entra.
- В предварительной версии теперь доступна возможность использования зашифрованных токенов SAML. См. раздел Практическое руководство по настройке утверждений, выпущенных в токене SAML для корпоративных приложений.
Приложение SaaS (программное обеспечение как услуга)
Если пользователи входят в приложения SaaS, такие как Salesforce, ServiceNow или Workday, и выполнена интеграция AD FS, значит, вы используете федеративную проверку подлинности приложений SaaS.
Большинство приложений SaaS можно настроить в идентификаторе Microsoft Entra. Корпорация Майкрософт имеет множество предварительно настроенных подключений к приложениям SaaS в коллекции приложений Microsoft Entra, что упрощает переход. Приложения SAML 2.0 можно интегрировать с Идентификатором Microsoft Entra через коллекцию приложений Microsoft Entra или как приложения, отличные от коллекции.
Приложения, использующие OAuth 2.0 или OpenID Connect, могут быть также интегрированы с идентификатором Microsoft Entra как регистрация приложений. Приложения, использующие устаревшие протоколы, могут использовать прокси приложения Microsoft Entra для проверки подлинности с помощью идентификатора Microsoft Entra.
При возникновении проблем с подключением приложений SaaS можно обратиться в службу поддержки интеграции приложений SaaS.
Сертификат подписи SAML для единого входа
Сертификаты для подписи являются важной частью любого развертывания единого входа. Идентификатор Microsoft Entra создает сертификаты подписи, чтобы установить федеративный единый вход на основе SAML для приложений SaaS. После добавления приложения из коллекции или приложения не из коллекции необходимо настроить его с помощью федеративного единого входа. См. раздел Управление сертификатами для федеративного единого входа в Microsoft Entra ID.
Шифрование маркеров SAML
И AD FS, и идентификатор Microsoft Entra предоставляют шифрование маркеров — возможность шифровать утверждения безопасности SAML, которые отправляются в приложения. Утверждения шифруются с помощью открытого ключа и расшифровываются получающим приложением с помощью соответствующего закрытого ключа. При настройке шифрования маркеров необходимо отправить файлы сертификатов X.509 для предоставления открытых ключей.
Сведения о шифровании токенов SAML в Microsoft Entra SAML и его настройке см. в разделе "Практическое руководство. Настройка шифрования токенов SAML в Microsoft Entra SAML".
Примечание.
Шифрование токенов — это функция Microsoft Entra ID P1 или P2. Дополнительные сведения о выпусках, функциях и ценах Microsoft Entra см. в разделе о ценах на Microsoft Entra.
Проверка подписи запроса SAML
Эта функция проверяет подпись подписанных запросов проверки подлинности. Администратор приложений включает и отключает принудительное применение подписанных запросов и отправляет открытые ключи, которые должны использоваться для проверки. Дополнительные сведения см. в статье о применении подписанных запросов проверки подлинности SAML.
Пользовательские поставщики утверждений (предварительная версия)
Чтобы перенести данные из устаревших систем, таких как ADFS, или хранилища данных, такие как LDAP, приложения зависят от определенных данных в маркерах. Вы можете использовать настраиваемые поставщики утверждений для добавления утверждений в токен. Дополнительные сведения см. в обзоре поставщика настраиваемых утверждений.
Приложения и конфигурации, которые можно переместить сегодня
На сегодняшний день можно легко переместить приложения SAML 2.0, использующие стандартный набор элементов и утверждений конфигурации. Стандартные элементы включают следующие.
- Имя субъекта-пользователя
- Адрес электронной почты
- Имя
- Фамилия
- Альтернативный атрибут в качестве SAML NameID, включая атрибут почты Microsoft Entra ID, префикс почты, идентификатор сотрудника, атрибут расширения 1-15 или локальный атрибут SamAccountName . Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений в Azure Active Directory.
- Пользовательские утверждения.
Для перехода на идентификатор Microsoft Entra необходимо выполнить дополнительные действия по настройке.
- Пользовательские правила авторизации или многофакторной проверки подлинности в AD FS. Вы настраиваете их с помощью функции условного доступа Microsoft Entra.
- Приложения с несколькими конечными точками URL-адреса ответа. Вы настраиваете их в идентификаторе Microsoft Entra с помощью PowerShell или интерфейса Центра администрирования Microsoft Entra.
- Приложения WS-Federation, например приложения SharePoint, которым требуются токены SAML версии 1.1. Их нужно настроить вручную с помощью PowerShell. Вы также можете добавить предварительно подготовленный универсальный шаблон для приложений SharePoint и SAML 1.1 из коллекции. Мы поддерживаем протокол SAML 2.0.
- Сложные правила преобразования выдачи утверждений. Сведения о поддерживаемых сопоставлениях утверждений см. в следующих статье:
Приложения и конфигурации, которые сейчас не поддерживаются в Microsoft Entra
Миграция приложений, которым требуются определенные возможности, пока недоступна.
Возможности протокола
Миграция приложений, которым требуются следующие возможности протокола, пока недоступна.
- Поддержка шаблона WS-Trust ActAs.
- Разрешение артефактов SAML.
Сопоставление параметров приложения из AD FS с идентификатором Microsoft Entra
Миграция требует оценки настройки приложения в локальной среде, а затем сопоставления конфигурации с идентификатором Microsoft Entra. Идентификатор AD FS и Microsoft Entra работают так же, что и основные понятия настройки доверия, URL-адресов входа и выхода, а также идентификаторы применяются в обоих случаях. Задокументируйте параметры конфигурации AD FS приложений, чтобы их можно было легко настроить в идентификаторе Microsoft Entra.
Параметры конфигурации для сопоставления приложения
В следующей таблице описывается некоторые из наиболее распространенных сопоставлений параметров между доверием проверяющей стороны AD FS к приложению Microsoft Entra Enterprise:
- AD FS — найдите параметр в списке отношений доверия с проверяющей стороной AD FS для приложения. Щелкните правой кнопкой мыши проверяющую сторону и выберите пункт "Свойства".
- Идентификатор Microsoft Entra— параметр настраивается в Центре администрирования Microsoft Entra в свойствах единого входа каждого приложения.
| Параметр конфигурации | AD FS | Настройка в идентификаторе Microsoft Entra | Токен SAML |
|---|---|---|---|
| URL-адрес для входа в приложение URL-адрес для входа пользователя в приложение в потоке SAML, инициированном поставщиком служб (SP). |
Н/П | Откройте базовую конфигурацию SAML из входа в систему на основе SAML | Н/П |
| URL-адрес ответа приложения URL-адрес приложения с точки зрения поставщика удостоверений (IdP). IdP отправляет сюда пользователя и маркер после того, как пользователь выполнил вход в IdP. Это также называется конечной точкой потребителя утверждения SAML. |
Перейдите на вкладку Конечные точки | Откройте базовую конфигурацию SAML из входа в систему на основе SAML | Элемент назначения в маркере SAML. Пример значения: https://contoso.my.salesforce.com. |
| URL-адрес выхода приложения Это URL-адрес, на который отправляются запросы очистки выхода, когда пользователь выходит из приложения. IdP также отправляет запрос на выход пользователя из всех других приложений. |
Перейдите на вкладку Конечные точки | Откройте базовую конфигурацию SAML из входа в систему на основе SAML | Н/П |
| Идентификатор приложения Это идентификатор приложения с точки зрения IdP. Значение URL-адреса входа часто (но не всегда) используется для идентификатора. Иногда приложение вызывает этот идентификатор сущности. |
Перейдите на вкладку Идентификаторы | Откройте базовую конфигурацию SAML из входа в систему на основе SAML | Соответствует элементу Audience (Аудитория) в маркере SAML. |
| Метаданные федерации приложения Представляет собой расположение метаданных федерации приложения. Поставщик удостоверений использует его для автоматического обновления определенных настроек конфигурации, например конечных точек или сертификатов шифрования. |
Перейдите на вкладку Наблюдение | Недоступно Идентификатор Microsoft Entra не поддерживает использование метаданных федерации приложений напрямую. Метаданные федерации можно импортировать вручную. | Н/П |
| Идентификатор пользователя или имени Атрибут, используемый для уникального указания удостоверения пользователя из идентификатора Microsoft Entra ID или AD FS в приложение. Обычно этот атрибут содержит имя участника-пользователя или адрес электронной почты пользователя. |
Правила утверждений. В большинстве случаев правило утверждений выдает утверждение с типом, который оканчивается на идентификатор_имени. | Идентификатор можно найти под заголовком Утверждения и атрибуты пользователя. По умолчанию используется имя участника-пользователя. | Соответствует элементу NameID в маркере SAML. |
| Другие утверждения Примеры других сведений об утверждениях, которые обычно отправляются из IdP в приложение, включают имя, фамилию, адрес электронной почты и членство в группе. |
В AD FS этот элемент может представлять собой другие правила утверждения проверяющей стороны. | Идентификатор можно найти под заголовком Утверждения и атрибуты пользователя. Выберите Просмотр и измените все другие атрибуты пользователя. | Н/П |
Сопоставление параметров поставщика удостоверений (IdP)
Настройте приложения для указания идентификатора Microsoft Entra и AD FS для единого входа. Здесь мы сосредоточимся на приложениях SaaS, использующих протокол SAML. Однако эта концепция также распространяется и на пользовательские бизнес-приложения.
Примечание.
Значения конфигурации для идентификатора Microsoft Entra соответствуют шаблону, в котором идентификатор клиента Azure заменяет {tenant-id} , а идентификатор приложения заменяет {application-id}. Эти сведения находятся в Центре администрирования Microsoft Entra в разделе "Свойства идентификатора > Microsoft Entra":
- Выберите идентификатор каталога, чтобы просмотреть идентификатор клиента.
- Выберите идентификатор приложения, чтобы просмотреть идентификатор приложения.
На высоком уровне сопоставьте следующие ключевые элементы конфигурации приложений SaaS с идентификатором Microsoft Entra.
| Элемент | Значение конфигурации |
|---|---|
| Издатель поставщика удостоверений | https://sts.windows.net/{tenant-id}/ |
| URL-адрес входа поставщика удостоверений | https://login.microsoftonline.com/{tenant-id}/saml2 |
| URL-адрес выхода поставщика удостоверений | https://login.microsoftonline.com/{tenant-id}/saml2 |
| Расположение метаданных федерации | https://login.windows.net/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml?appid={application-id} |
Сопоставление параметров единого входа для приложений SaaS
Приложению SaaS необходимо знать, куда отправлять запросы на проверку подлинности, а также способы проверки полученных маркеров. В следующей таблице описываются элементы для настройки параметров единого входа в приложении, а также их значения или расположения в AD FS и Идентификаторе Microsoft Entra.
| Параметр конфигурации | AD FS | Настройка в идентификаторе Microsoft Entra |
|---|---|---|
| URL-адрес входа IdP URL-адрес входа поставщика удостоверений с точки зрения приложения (где пользователь перенаправляется для входа). |
URL-адрес для входа AD FS — это имя службы федерации AD FS, за которым следует /adfs/ls/. Например: |
Замените {tenant-id} идентификатором клиента. Для приложений, использующих протокол SAML-P: Для приложений, использующих протокол WS-Federation: |
| URL-адрес выхода IdP URL-адрес выхода поставщика удостоверений с точки зрения приложения (откуда перенаправляются пользователи при выходе из приложения). |
URL-адрес выхода совпадает с URL-адресом входа или url-адресом wa=wsignout1.0 , добавленным. Например: https://fs.contoso.com/adfs/ls/?wa=wsignout1.0 |
Замените {tenant-id} идентификатором клиента. Для приложений, использующих протокол SAML-P: Для приложений, использующих протокол WS-Federation: |
| Сертификат для подписи маркера IdP использует закрытый ключ сертификата для подписывания выданных маркеров. Он проверяет, поступил ли токен от того же поставщика удостоверений, с которым у приложения настроено отношение доверия. |
Сертификат для подписи маркера AD FS находится в управлении AD FS в разделе Сертификаты. | Найдите его в Центре администрирования Microsoft Entra в свойствах единого входа приложения в заголовке сертификата подписи SAML. Здесь можно загрузить сертификат для передачи приложению. Если приложение содержит несколько сертификатов, все они размещаются в XML-файле метаданных федерации. |
| Идентификатор (издатель) Идентификатор поставщика удостоверений с точки зрения приложения (иногда называемый идентификатором издателя). В токене SAML это значение отображается как элемент Issuer (Издатель). |
Идентификатор AD FS обычно представляет собой идентификатор службы федерации в управлении AD FS: Служба > Изменить свойства службы федерации. Например: http://fs.contoso.com/adfs/services/trust |
Замените {tenant-id} идентификатором клиента. |
| Метаданные федерации IdP Расположение общедоступных метаданных федерации поставщика удостоверений. (Некоторые приложения используют метаданные федерации как альтернативу отдельной настройке администратора URL-адресов, идентификатору и сертификату для подписи маркера.) |
URL-адрес метаданных федерации AD FS находится в службе управления AD FS в разделе Служба > Конечные точки > Метаданные > Тип: Метаданные федерации. Например: https://fs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml |
Соответствующее значение для идентификатора Microsoft Entra следует шаблону https://login.microsoftonline.com/{TenantDomainName}/FederationMetadata/2007-06/FederationMetadata.xml. Замените {TenantDomainName} именем клиента в формате contoso.onmicrosoft.com. Дополнительные сведения см. в статье Метаданные федерации. |
Следующие шаги
- Представляет политики безопасности AD FS в идентификаторе Microsoft Entra.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по