Enkel inloggning med SAML (Security Assertion Markup Language) för lokala program med programproxy

Tillhandahålla enkel inloggning (SSO) till lokala program som skyddas med SAML-autentisering (Security Assertion Markup Language). Ge fjärråtkomst till SAML-baserade SSO-program via programproxy. Med enkel inloggning med SAML autentiserar Microsoft Entra till programmet med hjälp av användarens Microsoft Entra-konto. Microsoft Entra ID kommunicerar inloggningsinformationen till programmet via ett anslutningsprotokoll. Du kan också mappa användare till specifika programroller baserat på regler som du definierar i SAML-anspråk. Genom att aktivera programproxy utöver SAML SSO har användarna extern åtkomst till programmet och en sömlös SSO-upplevelse.

Programmen måste kunna använda SAML-token som utfärdats av Microsoft Entra-ID. Den här konfigurationen gäller inte för program som använder en lokal identitetsprovider. I dessa scenarier rekommenderar vi att du läser Resurser för att migrera program till Microsoft Entra-ID.

SAML SSO med programproxy fungerar också med saml-tokenkrypteringsfunktionen. Mer information finns i Konfigurera Microsoft Entra SAML-tokenkryptering.

Protokolldiagrammen beskriver sekvensen för enkel inloggning för både ett SP-initierat flöde (tjänstproviderinitierat) och ett identitetsproviderinitierat flöde (IdP-initierat). Programproxy fungerar med SAML SSO genom att cachelagra SAML-begäran och -svaret till och från det lokala programmet.

Skapa ett program och konfigurera SAML SSO

1. I administrationscentret för Microsoft Entra väljer du Microsoft Entra ID > Enterprise-program och väljer Nytt program.

2. Ange visningsnamnet för det nya programmet, välj Integrera andra program som du inte hittar i galleriet och välj sedan Skapa.

3. På appens översiktssidaväljer du Enkel inloggning.

4. Välj SAML som enkel inloggningsmetod.

5. Börja med att konfigurera SAML SSO så att det fungerar i företagsnätverket. Se avsnittet grundläggande SAML-konfiguration i Konfigurera SAML-baserad enkel inloggning för att konfigurera SAML-baserad autentisering för programmet.

6. Lägg till minst en användare i programmet och kontrollera att testkontot har åtkomst till programmet. När du är ansluten till företagsnätverket använder du testkontot för att se om du har enkel inloggning till programmet.

   Kommentar

   När du har konfigurerat programproxyn kommer du tillbaka och uppdaterar SAML-svars-URL :en.

Publicera det lokala programmet med programproxy

Innan du tillhandahåller enkel inloggning för lokala program aktiverar du programproxy och installerar en anslutningsapp. Läs mer om hur du förbereder din lokala miljö, installerar och registrerar en anslutningsapp och testar anslutningsappen. När du har konfigurerat anslutningsappen följer du de här stegen för att publicera ditt nya program med programproxy.

1. När programmet fortfarande är öppet i administrationscentret för Microsoft Entra väljer du programproxy. Ange den interna URL:en för programmet. Om du använder en anpassad domän måste du också ladda upp TLS/SSL-certifikatet för ditt program.

   Kommentar

   Vi rekommenderar att du använder anpassade domäner när det är möjligt för en optimerad användarupplevelse. Läs mer om att arbeta med anpassade domäner i Microsoft Entra-programproxy.

2. Välj Microsoft Entra-ID som förautentiseringsmetod för ditt program.

3. Kopiera den externa URL:en för programmet. Du behöver den här URL:en för att slutföra SAML-konfigurationen.

4. Använd testkontot och försök öppna programmet med den externa URL:en för att verifiera att programproxyn har konfigurerats korrekt. Om det finns problem kan du läsa Felsöka problem med programproxy och felmeddelanden.

Uppdatera SAML-konfigurationen

1. När programmet fortfarande är öppet i administrationscentret för Microsoft Entra väljer du Enkel inloggning.

2. På sidan Konfigurera enkel inloggning med SAML går du till rubriken Grundläggande SAML-konfiguration och väljer dess redigeringsikon (en penna). Kontrollera att den externa URL som du konfigurerade i programproxyn är ifylld i fälten Identifierare, Svars-URL och Utloggnings-URL . Dessa URL:er krävs för att programproxyn ska fungera korrekt.

3. Redigera svars-URL :en som konfigurerades tidigare så att domänen kan nås på Internet via programproxy. Om din externa URL till exempel är https://contosotravel-f128.msappproxy.net och den ursprungliga svars-URL:en var https://contosotravel.com/acsmåste du uppdatera den ursprungliga svars-URL:en till https://contosotravel-f128.msappproxy.net/acs.

   

4. Markera kryssrutan bredvid den uppdaterade svars-URL:en för att markera den som standard.

   • När du har markerat den obligatoriska svars-URL:en som standard kan du också ta bort den tidigare konfigurerade svars-URL :en som använde den interna URL:en.

   • För ett SP-initierat flöde kontrollerar du att serverdelsprogrammet anger rätt svars-URL eller url för konsumenttjänst för försäkran för att ta emot autentiseringstoken.

   Kommentar

   Om serverdelsprogrammet förväntar sig att svars-URL:en ska vara den interna URL:en måste du antingen använda anpassade domäner för att ha matchande interna och externa URL:er eller installera Mina appar säkert inloggningstillägg på användarnas enheter. Det här tillägget omdirigeras automatiskt till lämplig programproxytjänst. Information om hur du installerar tillägget finns i Mina appar säkert inloggningstillägg.

Testa din app

Appen är igång. Så här testar du appen:

1. Öppna en webbläsare och gå till den externa URL som du skapade när du publicerade appen.
2. Logga in med det testkonto som du tilldelade appen. Du bör kunna läsa in programmet och ha enkel inloggning i programmet.

Nästa steg

• Hur tillhandahåller Microsoft Entra-programproxy enkel inloggning?
• Felsöka programproxy