SAML-baserad enkel inloggning: Konfiguration och begränsningar
I den här artikeln får du lära dig hur du konfigurerar ett program för SAML-baserad enkel inloggning (SSO) med Microsoft Entra-ID. Den här artikeln beskriver mappning av användare till specifika programroller baserat på regler och begränsningar att tänka på vid mappning av attribut. Den omfattar även SAML-signeringscertifikat, SAML-tokenkryptering, verifiering av SAML-begärandesignatur och anpassade anspråksproviders.
Appar som använder SAML 2.0 för autentisering kan konfigureras för SAML-baserad enkel inloggning (SSO). Med SAML-baserad enkel inloggning kan du mappa användare till specifika programroller baserat på regler som du definierar i dina SAML-anspråk.
Information om hur du konfigurerar ett SaaS-program för SAML-baserad enkel inloggning finns i Snabbstart: Konfigurera SAML-baserad enkel inloggning.
Många SaaS-program har en programspecifik självstudie som vägleder dig genom konfigurationen för SAML-baserad enkel inloggning.
Vissa appar är enkla att migrera. Appar med mer komplexa krav, till exempel anpassade anspråk, kan kräva extra konfiguration i Microsoft Entra-ID och/eller Microsoft Entra Connect Health. Information om anspråksmappningar som stöds finns i Så här: Anpassa anspråk som genereras i token för en specifik app i en klientorganisation (förhandsversion).
Tänk på följande begränsningar vid mappning av attribut:
- Alla attribut som kan utfärdas i AD FS visas inte i Microsoft Entra-ID som attribut som ska genereras till SAML-token, även om dessa attribut synkroniseras. När du redigerar attributet visar listrutan Värde de olika attribut som är tillgängliga i Microsoft Entra-ID. Kontrollera konfigurationen av Microsoft Entra Connect Sync-artiklar för att se till att ett obligatoriskt attribut, till exempel samAccountName, synkroniseras med Microsoft Entra-ID. Du kan använda tilläggsattributen för att generera anspråk som inte ingår i standardanvändarschemat i Microsoft Entra-ID.
- I de vanligaste scenarierna behöver endast NameID-anspråk och andra vanliga anspråk för användaridentifierare anges för en app. För att avgöra om några extra anspråk krävs ska du undersöka vilka anspråk du utfärdar från AD FS.
- Alla anspråk kan inte utfärdas eftersom vissa anspråk skyddas i Microsoft Entra-ID.
- Möjligheten att använda krypterade SAML-token finns nu i förhandsversion. Se Så här: anpassa anspråk som utfärdats i SAML-token för företagsprogram.
SaaS-appar (Software as a Service)
Om dina användare loggar in på SaaS-appar som Salesforce, ServiceNow eller Workday och är integrerade med AD FS använder du federerad inloggning för SaaS-appar.
De flesta SaaS-program kan konfigureras i Microsoft Entra-ID. Microsoft har många förkonfigurerade anslutningar till SaaS-appar i Microsoft Entra-appgalleriet, vilket gör övergången enklare. SAML 2.0-program kan integreras med Microsoft Entra-ID via Microsoft Entra-appgalleriet eller som icke-galleriprogram.
Appar som använder OAuth 2.0 eller OpenID Connect kan integreras på samma sätt med Microsoft Entra ID som appregistreringar. Appar som använder äldre protokoll kan använda Microsoft Entra-programproxy för att autentisera med Microsoft Entra-ID.
SAML-signeringscertifikat för enkel inloggning
Signeringscertifikat är en viktig del av all SSO-distribution. Microsoft Entra ID skapar signeringscertifikaten för att upprätta SAML-baserad federerad enkel inloggning till dina SaaS-program. När du har lagt till galleri- eller icke-galleriprogram konfigurerar du det tillagda programmet med hjälp av alternativet federerad enkel inloggning. Läs mer i Hantera certifikat för federerad enkel inloggning i Microsoft Entra ID.
SAML-tokenkryptering
Både AD FS och Microsoft Entra ID tillhandahåller tokenkryptering – möjligheten att kryptera SAML-säkerhetskontroller som går till program. Försäkran krypteras med en offentlig nyckel och dekrypteras av det mottagande programmet med den matchande privata nyckeln. När du konfigurerar tokenkryptering laddar du upp X.509-certifikatfiler för att tillhandahålla de offentliga nycklarna.
Information om Microsoft Entra SAML-tokenkryptering och hur du konfigurerar den finns i Så här konfigurerar du Microsoft Entra SAML-tokenkryptering.
Kommentar
Tokenkryptering är en Microsoft Entra ID P1- eller P2-funktion. Mer information om Microsoft Entra-utgåvor, funktioner och priser finns i Microsoft Entra-priser.
Verifiering av SAML-begärandesignatur
Den här funktionen verifierar signaturen för signerade autentiseringsbegäranden. En appadministratör aktiverar och inaktiverar tillämpningen av signerade begäranden och laddar upp de offentliga nycklar som ska användas för valideringen. Mer information finns i Så här framtvingar du signerade SAML-autentiseringsbegäranden.
Leverantörer av anpassade anspråk (förhandsversion)
För att migrera data från äldre system som ADFS eller datalager som LDAP är dina appar beroende av vissa data i token. Du kan använda anpassade anspråksproviders för att lägga till anspråk i token. Mer information finns i Översikt över anpassad anspråksprovider.
Appar och konfigurationer som kan flyttas idag
Appar som du enkelt kan flytta idag inkluderar SAML 2.0-appar som använder standarduppsättningen med konfigurationselement och anspråk. Dessa standardobjekt är:
- Användarhuvudnamn
- E-postadress
- Förnamn
- Efternamn
- Alternativt attribut som SAML NameID, inklusive e-postattributet Microsoft Entra ID, e-postprefixet, medarbetar-ID, tilläggsattributen 1–15 eller det lokala SamAccountName-attributet . Mer information finns i Redigera NameIdentifier-anspråket.
- Anpassade anspråk.
Följande kräver fler konfigurationssteg för att migrera till Microsoft Entra-ID:
- Regler för anpassad auktorisering eller multifaktorautentisering (MFA) i AD FS. Du konfigurerar dem med hjälp av funktionen villkorsstyrd åtkomst i Microsoft Entra.
- Appar med flera svars-URL-slutpunkter. Du konfigurerar dem i Microsoft Entra-ID med hjälp av PowerShell eller administrationscentret för Microsoft Entra.
- WS-Federation-appar, till exempel SharePoint-appar som kräver SAML version 1.1-tokens. Du kan konfigurera dem manuellt med Hjälp av PowerShell. Du kan också lägga till en förintegrerad allmän mall för SharePoint- och SAML 1.1-program från galleriet. Vi stöder SAML 2.0-protokollet.
- Komplexa anspråksutfärdning transformerar regler. Information om anspråksmappningar som stöds finns i:
Appar och konfigurationer stöds inte i Microsoft Entra idag
Appar som kräver vissa funktioner kan inte migreras idag.
Protokollfunktioner
Appar som kräver följande protokollfunktioner kan inte migreras idag:
- Stöd för WS-Trust ActAs-mönstret
- SAML-artefaktmatchning
Mappa appinställningar från AD FS till Microsoft Entra-ID
Migrering kräver att du utvärderar hur programmet konfigureras lokalt och sedan mappas konfigurationen till Microsoft Entra-ID. AD FS och Microsoft Entra ID fungerar på samma sätt, så begreppen att konfigurera url:er för förtroende, inloggning och utloggning gäller i båda fallen. Dokumentera AD FS-konfigurationsinställningarna för dina program så att du enkelt kan konfigurera dem i Microsoft Entra-ID.
Mappa appkonfigurationsinställningar
I följande tabell beskrivs några av de vanligaste mappningarna av inställningar mellan ett AD FS-förlitande partförtroende till Microsoft Entra Enterprise-program:
- AD FS – Hitta inställningen i AD FS Relying Party Trust för appen. Högerklicka på den förlitande parten och välj Egenskaper.
- Microsoft Entra-ID – Inställningen konfigureras i administrationscentret för Microsoft Entra i varje programs SSO-egenskaper.
| Konfigurationsuppsättning | AD FS | Så här konfigurerar du i Microsoft Entra-ID | SAML-token |
|---|---|---|---|
| Url för appinloggning URL:en för användaren att logga in på appen i ett SAML-flöde som initierats av en tjänstleverantör (SP). |
Ej tillämpligt | Öppna Grundläggande SAML-konfiguration från SAML-baserad inloggning | Ej tillämpligt |
| Svars-URL för app Appens URL från identitetsproviderns (IdP) perspektiv. IdP:t skickar användaren och token här när användaren har loggat in på IdP:t. Detta kallas även FÖR SAML-slutpunkt för försäkran. |
Välj fliken Slutpunkter | Öppna Grundläggande SAML-konfiguration från SAML-baserad inloggning | Målelement i SAML-token. Exempelvärde: https://contoso.my.salesforce.com |
| Url för appinloggning Det här är den URL som begäranden om rensning av utloggning skickas till när en användare loggar ut från en app. IdP skickar begäran om att logga ut användaren från alla andra appar också. |
Välj fliken Slutpunkter | Öppna Grundläggande SAML-konfiguration från SAML-baserad inloggning | Ej tillämpligt |
| Appidentifierare Det här är appidentifieraren ur IdP:ts perspektiv. Inloggningens URL-värde används ofta för identifierare (men inte alltid). Ibland anropar appen detta entitets-ID . |
Välj fliken Identifierare | Öppna Grundläggande SAML-konfiguration från SAML-baserad inloggning | Mappar till elementet Målgrupp i SAML-token. |
| Metadata för appfederation Det här är platsen för appens federationsmetadata. IdP:n använder den till att automatiskt uppdatera specifika konfigurationsinställningar, som t.ex. slutpunkter eller krypteringscertifikat. |
Välj fliken Övervakning | Saknas. Microsoft Entra-ID stöder inte direkt användning av programfederationsmetadata. Du kan importera federationsmetadata manuellt. | Ej tillämpligt |
| Användaridentifierare/namn-ID Attribut som används för att unikt ange användaridentiteten från Microsoft Entra ID eller AD FS till din app. Attributet är vanligtvis användarens UPN eller e-postadress. |
Anspråksregler. I de flesta fall utfärdar anspråksregeln ett anspråk med en typ som slutar med NameIdentifier. | Du hittar identifieraren under rubriken Användarattribut och anspråk. Som standard används UPN | Mappar till NameID-elementet i SAML-token. |
| Andra anspråk Exempel på annan anspråksinformation som vanligtvis skickas från IdP:t till appen är förnamn, efternamn, e-postadress och gruppmedlemskap. |
I AD FS finns detta som övriga anspråksregler hos den förlitande parten. | Du hittar identifieraren under rubriken Användarattribut och anspråk. Välj Visa och redigera alla andra användarattribut. | Ej tillämpligt |
Inställningar för mappningsidentitetsprovider (IdP)
Konfigurera dina program så att de pekar på Microsoft Entra-ID jämfört med AD FS för enkel inloggning. Här fokuserar vi på SaaS-appar som använder SAML-protokollet. Det här konceptet omfattar dock även anpassade verksamhetsspecifika appar.
Kommentar
Konfigurationsvärdena för Microsoft Entra-ID följer mönstret där ditt Azure-klient-ID ersätter {tenant-id} och program-ID:t ersätter {application-id}. Du hittar den här informationen i administrationscentret för Microsoft Entra under Egenskaper för Microsoft Entra-ID>:
- Välj Katalog-ID för att se ditt klientorganisations-ID.
- Välj Program-ID för att se ditt program-ID.
På hög nivå mappar du följande viktiga Konfigurationselement för SaaS-appar till Microsoft Entra-ID.
| Element | Konfigurationsvärde |
|---|---|
| Utfärdare av identitetsprovider | https://sts.windows.net/{tenant-id}/ |
| Inloggnings-URL för identitetsprovider | https://login.microsoftonline.com/{tenant-id}/saml2 |
| Utloggnings-URL för identitetsprovider | https://login.microsoftonline.com/{tenant-id}/saml2 |
| Plats för federationsmetadata | https://login.windows.net/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml?appid={application-id} |
Mappa SSO-inställningar för SaaS-appar
SaaS-appar behöver veta var autentiseringsbegäranden ska skickas och hur de mottagna token ska verifieras. I följande tabell beskrivs elementen för att konfigurera SSO-inställningar i appen och deras värden eller platser i AD FS och Microsoft Entra ID.
| Konfigurationsuppsättning | AD FS | Så här konfigurerar du i Microsoft Entra-ID |
|---|---|---|
| IdP-inloggnings-URL Inloggnings-URL för IdP från appens perspektiv (där användaren omdirigeras för inloggning). |
AD FS-inloggnings-URL:en är AD FS-federationstjänstens namn följt av /adfs/ls/. Till exempel: |
Ersätt {tenant-id} med ditt klientorganisations-ID. För appar som använder SAML-P-protokollet: För appar som använder WS-Federation-protokollet: |
| URL för utloggning av IdP Utloggnings-URL för IdP från appens perspektiv (där användaren omdirigeras när de väljer att logga ut från appen). |
Utloggnings-URL:en är antingen samma som inloggnings-URL:en eller samma URL med wa=wsignout1.0 bifogad. Till exempel: https://fs.contoso.com/adfs/ls/?wa=wsignout1.0 |
Ersätt {tenant-id} med ditt klientorganisations-ID. För appar som använder SAML-P-protokollet: För appar som använder WS-Federation-protokollet: |
| Certifikat för tokensignering IdP använder certifikatets privata nyckel för att signera utfärdade token. Den kontrollerar att token kom från samma IdP som appen är konfigurerad att ha förtroende för. |
AD FS-certifikatet för tokensignering finns i AD FS-hanteringen under Certifikat. | Hitta den i administrationscentret för Microsoft Entra i programmets egenskaper för enkel inloggning under rubriken SAML-signeringscertifikat. Därifrån kan du ladda ner certifikatet för uppladdning till appen. Om programmet har fler än ett certifikat finns alla certifikat i federationsmetadatans XML-fil. |
| Identifierare/ "utfärdare" Identifierare för IdP från appens perspektiv (kallas ibland "utfärdar-ID"). I SAML-token visas värdet som elementet Utfärdare. |
Identifieraren för AD FS är vanligtvis federationstjänstidentifieraren i AD FS Management under Egenskaper för tjänstredigeringsfederationstjänst>. Till exempel: http://fs.contoso.com/adfs/services/trust |
Ersätt {tenant-id} med ditt klientorganisations-ID. |
| IdP-federationsmetadata Plats för IdP:ts offentligt tillgängliga federationsmetadata. (Federationsmetadata används av vissa appar som ett alternativ för administratören och konfigurerar URL:er, identifierare och certifikat för tokensignering individuellt.) |
Hitta URL:en för AD FS-federationsmetadata i AD FS Management under Metadatatyp för tjänstslutpunkter > > >: Federationsmetadata. Till exempel: https://fs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml |
Motsvarande värde för Microsoft Entra-ID följer mönstret https://login.microsoftonline.com/{TenantDomainName}/FederationMetadata/2007-06/FederationMetadata.xml. Ersätt {TenantDomainName} med klientorganisationens namn i formatet contoso.onmicrosoft.com. Mer information finns i Federationsmetadata. |