Microsoft Entra uygulama ara sunucusu ile şirket içi uygulamalar için Güvenlik Onaylama İşaretleme Dili (SAML) çoklu oturum açma (SSO)

Genel bakış

Güvenlik Onaylama İşaretleme Dili (SAML) kimlik doğrulaması ile güvenliği sağlanan şirket içi uygulamalara çoklu oturum açma (SSO) sağlayın. Uygulama ara sunucusu aracılığıyla SAML tabanlı SSO uygulamalarına uzaktan erişim sağlayın. SAML çoklu oturum açma ile Microsoft Entra, kullanıcının Microsoft Entra hesabını kullanarak uygulamada kimlik doğrulaması yapar. Microsoft Entra ID, oturum açma bilgilerini bir bağlantı protokolü aracılığıyla uygulamaya iletir. Ayrıca SAML beyanlarınızda tanımladığınız kurallar temelinde kullanıcıları belirli uygulama rollerine eşleyebilirsiniz. SAML SSO'ya ek olarak uygulama ara sunucusunu etkinleştirerek, kullanıcılarınızın uygulamaya dış erişimi ve sorunsuz bir SSO deneyimi vardır.

Uygulamaların Microsoft Entra Id tarafından verilen SAML belirteçlerini kullanabilmesi gerekir. Bu yapılandırma, şirket içi kimlik sağlayıcısı kullanan uygulamalar için geçerli değildir. Bu senaryolar için Uygulamaları Microsoft Entra Id'ye geçirmeye yönelik kaynaklar'ı gözden geçirin.

Uygulama ara sunucusuna sahip SAML SSO, SAML belirteci şifreleme özelliğiyle de çalışır. Daha fazla bilgi için Microsoft Entra SAML belirteci şifrelemesini yapılandırma konusuna bkz.

Protokol diyagramları, hem hizmet sağlayıcısı tarafından başlatılan (SP ile başlatılan) akış hem de kimlik sağlayıcısı tarafından başlatılan (IdP tarafından başlatılan) akış için çoklu oturum açma sırasını açıklar. Uygulama ara sunucusu, SAML isteğini ve şirket içi uygulamaya gelen ve şirket içi uygulamadan gelen yanıtı önbelleğe alarak SAML SSO ile birlikte çalışır.

Uygulama oluşturma ve SAML SSO'yu ayarlama

1. Microsoft Entra yönetim merkezinde Microsoft Entra ID > Enterprise uygulamaları'nı ve ardından Yeni uygulama'yı seçin.

2. Yeni uygulamanızın görünen adını girin. Galeride bulamadığınız diğer uygulamaları tümleştir'i ve ardından Oluştur'u seçin.

3. Uygulamanın Genel Bakış sayfasında Çoklu oturum açma'yı seçin.

4. Çoklu oturum açma yöntemi olarak SAML'yi seçin.

5. İlk olarak, SAML SSO'yu şirket ağında çalışacak şekilde ayarlayın. Uygulama için SAML tabanlı kimlik doğrulamasını yapılandırmak için SAML tabanlı çoklu oturum açmayı yapılandırma'nın temel SAML yapılandırması bölümüne bakın.

6. Uygulamaya en az bir kullanıcı ekleyin ve test hesabının uygulamaya erişimi olduğundan emin olun. Şirket ağına bağlıyken, uygulama için çoklu oturum açmanın çalıştığını doğrulamak için test hesabını kullanın.

   Not

   Uygulama ara sunucusunu ayarladıktan sonra geri dönüp SAML Yanıt URL'sini güncelleştireceksiniz.

Şirket içi uygulamayı uygulama ara sunucusuyla yayımlama

Şirket içi uygulamalar için SSO sağlamadan önce uygulama ara sunucusunu etkinleştirin ve bir bağlayıcı yükleyin. Daha fazla bilgi için bkz. Şirket içi ortamınızı hazırlama, bağlayıcı yükleme ve kaydetme ve bağlayıcıyı test etme. Bağlayıcıyı ayarladıktan sonra, yeni uygulamanızı uygulama ara sunucusuyla yayımlamak için bu adımları izleyin.

1. Uygulama Microsoft Entra yönetim merkezinde açık durumdayken uygulama ara sunucusunu seçin. Uygulamanın İç URL'sini sağlayın. Özel etki alanı kullanıyorsanız, uygulamanız için Aktarım Katmanı Güvenliği (TLS) sertifikasını da karşıya yüklemeniz gerekir.

   Not

   En iyi uygulama olarak, iyileştirilmiş bir kullanıcı deneyimi için imkan buldukça özel alan adları kullanın. Microsoft Entra uygulama ara sunucusundaki özel etki alanlarıyla çalışma hakkında daha fazla bilgi edinin.

2. Uygulamanız için Ön Kimlik Doğrulama yöntemi olarak Microsoft Entra Id'yi seçin.

3. Uygulamanın Dış URL'sini kopyalayın. SAML yapılandırmasını tamamlamak için bu URL'ye ihtiyacınız vardır.

4. Test hesabını kullanarak, uygulama ara sunucusunun doğru ayarlandığını doğrulamak için uygulamayı Dış URL ile açmayı deneyin. Sorunlar varsa Uygulama ara sunucusu sorunlarını ve hata iletilerini giderme bölümüne bakın.

SAML yapılandırmasını güncelleştirme

1. Uygulama Microsoft Entra yönetim merkezinde açık durumdayken Çoklu oturum açma'yı seçin.

2. SAML ile Tek Sign-On Ayarlama sayfasında, Temel SAML Yapılandırması başlığına gidin ve Düzenle simgesini (kalem) seçin. Uygulama proxy'sinde yapılandırdığınız Dış URL'nin Tanımlayıcı, Yanıt URL'si ve Oturumu Kapatma URL'sialanlarında dolduruldığından emin olun. Uygulama ara sunucusunun düzgün çalışması için bu URL'ler gereklidir.

3. Daha önce yapılandırılan Yanıt URL'sini , etki alanına uygulama ara sunucusu aracılığıyla İnternet'te erişilebilen şekilde düzenleyin. Örneğin, Harici URL'niz https://contosotravel-f128.msappproxy.net ve özgün Yanıt URL'sihttps://contosotravel.com/acs ise, özgün Yanıt URL'sinihttps://contosotravel-f128.msappproxy.net/acs olarak güncellemeniz gerekir.

4. Güncelleştirilmiş Yanıt URL'sinin yanındaki onay kutusunu seçerek varsayılan olarak işaretleyin.

   • Gerekli Yanıt URL'sini varsayılan olarak işaretledikten sonra, iç URL'yi kullanan önceden yapılandırılmış Yanıt URL'sini de silebilirsiniz.

   • SP tarafından başlatılan bir akış için, arka uç uygulamasının kimlik doğrulama belirtecini almak için doğru Yanıt URL'sini veya Onay Tüketici Hizmeti URL'sini belirttiğinden emin olun.

   Not

   Arka uç uygulaması Yanıt URL'sinin İç URL olmasını bekliyorsa, eşleşen iç ve dış URL'lere sahip olmak için özel etki alanları kullanmanız veya kullanıcıların cihazlarına güvenli Uygulamalarım oturum açma uzantısını yüklemeniz gerekir. Bu uzantı otomatik olarak uygun uygulama ara sunucusu hizmetine yönlendirilir. Uzantıyı yüklemek için Uygulamalarım güvenli oturum açma uzantısı bölümüne bakın.

Uygulamanızı test etme

Uygulamanız çalışır durumda. Uygulamayı test etmek için:

1. Bir tarayıcı açın ve uygulamayı yayımladığınızda oluşturduğunuz Dış URL'ye gidin.
2. Uygulamaya atadığınız test hesabıyla oturum açın. Uygulamayı yükleyebilmeniz ve uygulamaya SSO'ya sahip olmanız gerekir.

Sonraki adımlar

• Çoklu oturum açma nedir?
• Uygulama ara sunucusu sorunlarını giderme