Aracılığıyla paylaş

Çoklu Oturum Açma için SAML 2.0 Kimlik Sağlayıcısı (IdP) Kullanma

  • Makale

Bu belge, tercih edilen Güvenlik Belirteci Hizmeti (STS) / kimlik sağlayıcısı olarak SAML 2.0 uyumlu SP-Lite profil tabanlı Kimlik Sağlayıcısı kullanma hakkında bilgi içerir. Bu senaryo, şirket içinde SAML 2.0 kullanılarak erişilebilen bir kullanıcı dizininiz ve parola deponuz varsa kullanışlıdır. Bu mevcut kullanıcı dizini, Microsoft 365'te ve diğer Microsoft Entra ID güvenli kaynaklarında oturum açmak için kullanılabilir. SAML 2.0 SP-Lite profili, oturum açma ve öznitelik exchange çerçevesi sağlamak için yaygın olarak kullanılan Güvenlik Onaylama İşaretleme Dili (SAML) federasyon kimliği standardını temel alır.

Not

Microsoft Entra Kimliği ile kullanılmak üzere test edilmiş olan üçüncü taraf Idps listesi için Bkz . Microsoft Entra federasyon uyumluluk listesi

Microsoft, microsoft 365 gibi bir Microsoft bulut hizmetinin düzgün yapılandırılmış SAML 2.0 profil tabanlı IdP'nizle tümleştirilmesi olarak bu oturum açma deneyimini destekler. SAML 2.0 kimlik sağlayıcıları üçüncü taraf ürünlerdir ve bu nedenle Microsoft bunlarla ilgili en iyi dağıtım, yapılandırma ve sorun giderme yöntemleri için destek sağlamaz. Düzgün yapılandırıldıktan sonra SAML 2.0 kimlik sağlayıcısıyla tümleştirme, aşağıda daha ayrıntılı olarak açıklanan Microsoft Bağlan Ivity Analyzer Tool kullanılarak düzgün yapılandırma için test edilebilir. SAML 2.0 SP-Lite profil tabanlı kimlik sağlayıcınız hakkında daha fazla bilgi için bunu sağlayan kuruluşa sorun.

Önemli

SamL 2.0 kimlik sağlayıcılarıyla bu oturum açma senaryosunda yalnızca sınırlı bir istemci kümesi kullanılabilir; bunlar şunları içerir:

  • Outlook Web Access ve SharePoint Online gibi web tabanlı istemciler
  • Temel kimlik doğrulaması ve IMAP, POP, Active Sync, MAPI gibi desteklenen bir Exchange erişim yöntemi kullanan e-posta açısından zengin istemciler. (Gelişmiş İstemci Protokolü uç noktasının dağıtılması gerekir), örneğin:
    • Microsoft Outlook 2010/Outlook 2013/Outlook 2016, Apple i Telefon (çeşitli iOS sürümleri)
    • Çeşitli Google Android Cihazları
    • Windows Telefon 7, Windows Telefon 7.8 ve Windows Telefon 8.0
    • Windows 8 Posta İstemcisi ve Windows 8.1 Posta İstemcisi
    • Windows 10 Posta İstemcisi

SamL 2.0 Kimlik Sağlayıcınızla bu oturum açma senaryosunda diğer tüm istemciler kullanılamaz. Örneğin, Lync 2010 masaüstü istemcisi çoklu oturum açma için yapılandırılmış SAML 2.0 Kimlik Sağlayıcınızla hizmette oturum açamaz.

Microsoft Entra SAML 2.0 protokol gereksinimleri

Bu belge, saml 2.0 kimlik sağlayıcınızın bir veya daha fazla Microsoft bulut hizmeti (Microsoft 365 gibi) üzerinde oturum açmayı etkinleştirmek için Microsoft Entra ID ile federasyon sağlamak için uygulaması gereken protokol ve ileti biçimlendirmesi hakkında ayrıntılı gereksinimler içerir. Bu senaryoda kullanılan bir Microsoft bulut hizmeti için SAML 2.0 bağlı olan taraf (SP-STS), Microsoft Entra Id'dir.

SAML 2.0 kimlik sağlayıcısı çıkış iletilerinizin sağlanan örnek izlemelere olabildiğince benzer olduğundan emin olmanız önerilir. Ayrıca, mümkün olduğunca sağlanan Microsoft Entra meta verilerinden belirli öznitelik değerlerini kullanın. Çıkış iletilerinizden memnun olduktan sonra, aşağıda açıklandığı gibi Microsoft Bağlan Ivity Analyzer ile test edebilirsiniz.

Microsoft Entra meta verileri şu URL'den indirilebilir: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Çin'de Microsoft 365'in Çin'e özgü örneğini kullanan müşteriler için aşağıdaki federasyon uç noktası kullanılmalıdır: https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml.

SAML protokolü gereksinimleri

Bu bölümde, iletilerinizi doğru biçimlendirmenize yardımcı olmak için istek ve yanıt ileti çiftlerinin nasıl bir araya getirildiğinden ayrıntılı bir şekilde yararlanabilirsiniz.

Microsoft Entra Id, aşağıda listelenen belirli gereksinimlere sahip SAML 2.0 SP Lite profilini kullanan kimlik sağlayıcılarıyla çalışacak şekilde yapılandırılabilir. Örnek SAML isteği ve yanıt iletilerinin yanı sıra otomatik ve el ile test ederek Microsoft Entra Id ile birlikte çalışabilirlik elde etmek için çalışabilirsiniz.

İmza bloğu gereksinimleri

SAML Yanıtı iletisinde, İmza düğümü iletinin kendisi için dijital imza hakkında bilgi içerir. İmza bloğu aşağıdaki gereksinimlere sahiptir:

  1. Onay düğümünü imzalamanız gerekir
  2. RSA-sha1 algoritması DigestMethod olarak kullanılmalıdır. Diğer dijital imza algoritmaları kabul edilir. <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1"/>
  3. XML belgesini de imzalayabilirsiniz.
  4. Dönüştürme Algoritması aşağıdaki örnekteki değerlerle eşleşmelidir: <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature"/> <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#"/>
  5. SignatureMethod Algoritması aşağıdaki örnekle eşleşmelidir: <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

Not

Güvenlik SHA-1 algoritmasını geliştirmek için kullanım dışıdır. SHA-256 gibi daha güvenli bir algoritma kullandığınızdan emin olun. Daha fazla bilgi bulunabilir.

Desteklenen bağlamalar

Bağlamalar, gerekli olan aktarımla ilgili iletişim parametreleridir. Bağlamalar için aşağıdaki gereksinimler geçerlidir

  1. HTTPS gerekli aktarımdır.
  2. Microsoft Entra Id, oturum açma sırasında belirteç gönderimi için HTTP POST gerektirir.
  3. Microsoft Entra Id, kimlik sağlayıcısına kimlik doğrulaması isteği için HTTP POST ve kimlik sağlayıcısına oturumu kapatma iletisi için REDIRECT kullanır.

Gerekli öznitelikler

Bu tablo, SAML 2.0 iletisindeki belirli özniteliklere yönelik gereksinimleri gösterir.

Öznitelik Açıklama
Ad Kimliği Bu onaylama işleminin değeri, Microsoft Entra kullanıcısının ImmutableID değeriyle aynı olmalıdır. En fazla 64 alfa sayısal karakter olabilir. Html olmayan güvenli karakterler kodlanmalıdır, örneğin "+" karakteri ".2B" olarak gösterilir.
IDPEmail Kullanıcı Asıl Adı (UPN), SAML yanıtında IDPEmail Microsoft Entra Id / Microsoft 365'te kullanıcının UserPrincipalName (UPN) adlı bir öğesi olarak listelenir. UPN e-posta adresi biçimindedir. Windows Microsoft 365'te UPN değeri (Microsoft Entra Id).
Sertifikayı veren Kimlik sağlayıcısının URI'sinin olması gerekir. Örnek iletilerden Veren'i yeniden kullanma. Microsoft Entra kiracılarınızda birden çok üst düzey etki alanınız varsa, Verenin etki alanı başına yapılandırılan belirtilen URI ayarıyla eşleşmesi gerekir.

Önemli

Microsoft Entra ID şu anda SAML 2.0:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent için aşağıdaki NameID Biçim URI'sini destekler.

Örnek SAML isteği ve yanıt iletileri

Oturum açma iletisi değişimi için bir istek ve yanıt ileti çifti gösterilir. Aşağıda, Microsoft Entra Id'den örnek bir SAML 2.0 kimlik sağlayıcısına gönderilen örnek bir istek iletisi verilmiştir. Örnek SAML 2.0 kimlik sağlayıcısı, SAML-P protokollerini kullanacak şekilde yapılandırılmış Active Directory Federasyon Hizmetleri (AD FS) (AD FS) şeklindedir. Birlikte çalışabilirlik testi diğer SAML 2.0 kimlik sağlayıcılarıyla da tamamlanmıştır.

<samlp:AuthnRequest ID="_1e089e5c-a976-4881-af74-3b92c89e7e2c" Version="2.0" IssueInstant="2024-03-12T14:00:18.450Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

isSignedAuthenticationRequestRequired internaldomainfederation-update içinde açıklandığı gibi etkinleştirilirse istek şu örneğe benzer olacaktır:

  <samlp:AuthnRequest ID="_1868c6f2-1fdd-40b9-818f-b4b44efb92c5" Version="2.0" IssueInstant="2024-03-11T16:51:17.120Z" Destination="https://fs.contoso.com/adfs/ls/" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><Signature xmlns="http://www.w3.org/2000/09/xmldsig#"><SignedInfo><CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><Reference URI="#_1868c6f2-1fdd-40b9-818f-b4b44efb92c5"><Transforms><Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></Transforms><DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><DigestValue>aB1cD2eF3gH4iJ5kL6-mN7oP8qR=</DigestValue></Reference></SignedInfo><SignatureValue>cD2eF3gH4iJ5k...L6mN7-oP8qR9sT==</SignatureValue><KeyInfo><ds:X509Data xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:X509SKI>eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</ds:X509SKI></ds:X509Data><ds:KeyName xmlns:ds="http://www.w3.org/2000/09/xmldsig#">MicrosoftOnline</ds:KeyName></KeyInfo></Signature><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Aşağıda, örnek SAML 2.0 uyumlu kimlik sağlayıcısından Microsoft Entra Id / Microsoft 365'e gönderilen örnek bir yanıt iletisi verilmiştir.

    <samlp:Response ID="_592c022f-e85e-4d23-b55b-9141c95cd2a5" Version="2.0" IssueInstant="2014-01-31T15:36:31.357Z" Destination="https://login.microsoftonline.com/login.srf" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
    </samlp:Status>
    <Assertion ID="_7e3c1bcd-f180-4f78-83e1-7680920793aa" IssueInstant="2014-01-31T15:36:31.279Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
      <ds:SignedInfo>
        <ds:CanonicalizationMethod Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
        <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <ds:Reference URI="#_7e3c1bcd-f180-4f78-83e1-7680920793aa">
          <ds:Transforms>
            <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature" />
            <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
          </ds:Transforms>
          <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1" />
          <ds:DigestValue>CBn/aB1cD2eF3gH4iJ5kL6-mN7oP8qR=</ds:DigestValue>
        </ds:Reference>
      </ds:SignedInfo>
      <ds:SignatureValue>cD2eF3gH4iJ5kL6mN7-oP8qR9sT==</ds:SignatureValue>
      <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</ds:X509Certificate>
        </ds:X509Data>
      </KeyInfo>
    </ds:Signature>
    <Subject>
      <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">ABCDEG1234567890</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" NotOnOrAfter="2014-01-31T15:41:31.357Z" Recipient="https://login.microsoftonline.com/login.srf" />
      </SubjectConfirmation>
    </Subject>
    <Conditions NotBefore="2014-01-31T15:36:31.263Z" NotOnOrAfter="2014-01-31T16:36:31.263Z">
      <AudienceRestriction>
        <Audience>urn:federation:MicrosoftOnline</Audience>
      </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
      <Attribute Name="IDPEmail">
        <AttributeValue>administrator@contoso.com</AttributeValue>
      </Attribute>
    </AttributeStatement>
    <AuthnStatement AuthnInstant="2014-01-31T15:36:30.200Z" SessionIndex="_7e3c1bcd-f180-4f78-83e1-7680920793aa">
      <AuthnContext>
        <AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnContextClassRef>
      </AuthnContext>
    </AuthnStatement>
    </Assertion>
    </samlp:Response>

SAML 2.0 uyumlu kimlik sağlayıcınızı yapılandırma

Bu bölüm, SAML 2.0 protokolunu kullanarak bir veya daha fazla Microsoft bulut hizmetine (Microsoft 365 gibi) çoklu oturum açma erişimini etkinleştirmek için SAML 2.0 kimlik sağlayıcınızı Microsoft Entra Id ile federasyon oluşturacak şekilde yapılandırma yönergelerini içerir. Bu senaryoda kullanılan bir Microsoft bulut hizmeti için SAML 2.0 bağlı tarafı Microsoft Entra Id'dir.

Microsoft Entra meta verilerini ekleme

SAML 2.0 kimlik sağlayıcınızın Microsoft Entra Id bağlı olan taraf hakkındaki bilgilere uyması gerekir. Microsoft Entra Id adresinde https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xmlmeta veriler yayımlar.

SAML 2.0 kimlik sağlayıcınızı yapılandırırken her zaman en son Microsoft Entra meta verilerini içeri aktarmanız önerilir.

Not

Microsoft Entra Id, kimlik sağlayıcısından meta verileri okumaz.

Microsoft Entra Kimliğini bağlı olan taraf olarak ekleme

SAML 2.0 kimlik sağlayıcınız ile Microsoft Entra Id arasında iletişimi etkinleştirmeniz gerekir. Bu yapılandırma, belirli kimlik sağlayıcınıza bağlıdır ve bunun belgelerine başvurmalısınız. Bağlı olan taraf kimliğini genellikle Microsoft Entra meta verilerinden entityID ile aynı şekilde ayarlarsınız.

Not

SAML 2.0 kimlik sağlayıcısı sunucunuzdaki saatin doğru bir zaman kaynağıyla eşitlendiğini doğrulayın. Hatalı bir saat süresi, federasyon oturum açma bilgilerinin başarısız olmasına neden olabilir.

SAML 2.0 kimlik sağlayıcısıyla oturum açmak için PowerShell'i yükleme

SAML 2.0 kimlik sağlayıcınızı Microsoft Entra oturum açma ile kullanmak üzere yapılandırdıktan sonra, sonraki adım Microsoft Graph PowerShell modülünü indirip yüklemektir. Yüklendikten sonra, Microsoft Entra etki alanlarınızı federasyon etki alanları olarak yapılandırmak için bu cmdlet'leri kullanacaksınız.

Microsoft Graph PowerShell modülü, Microsoft Entra ID'de kuruluş verilerinizi yönetmeye yönelik bir indirmedir. Bu modül, PowerShell'e bir cmdlet kümesi yükler; Bu cmdlet'leri çalıştırarak Microsoft Entra Id'ye ve abone olduğunuz tüm bulut hizmetlerine çoklu oturum açma erişimi ayarlayabilirsiniz. Cmdlet'leri indirme ve yükleme hakkında yönergeler için bkz . Microsoft Graph PowerShell SDK'sını yükleme.

SAML kimlik sağlayıcınızla Microsoft Entra Id arasında güven ayarlama

Microsoft Entra etki alanında federasyonu yapılandırmadan önce, özel bir etki alanı yapılandırılmış olmalıdır. Microsoft tarafından sağlanan varsayılan etki alanını federasyona aktaramazsınız. Microsoft'un varsayılan etki alanı ile onmicrosoft.combiter. Çoklu oturum açma için etki alanları eklemek veya dönüştürmek için bir dizi PowerShell cmdlet'i çalıştıracaksınız.

SAML 2.0 kimlik sağlayıcınızı kullanarak birleştirmek istediğiniz her Microsoft Entra etki alanı, tek bir oturum açma etki alanı olarak eklenmelidir veya standart bir etki alanından çoklu oturum açma etki alanı olacak şekilde dönüştürülmelidir. Etki alanı eklemek veya dönüştürmek, SAML 2.0 kimlik sağlayıcınızla Microsoft Entra Kimliği arasında bir güven ayarlar.

Aşağıdaki yordam, SAML 2.0 SP-Lite kullanarak mevcut standart etki alanını federasyon etki alanına dönüştürme işleminde size yol gösterir.

Not

Etki alanınız, siz bu adımı kullandıktan sonra 2 saate kadar kullanıcıları etkileyen bir kesintiyle karşılaşabilir.

Federasyon için Microsoft Entra Dizininizde etki alanı yapılandırma

  1. Kiracı yöneticisi olarak Microsoft Entra Dizininize Bağlan:

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"

  2. İstediğiniz Microsoft 365 etki alanını SAML 2.0 ile federasyon kullanacak şekilde yapılandırın:

    $Domain = "contoso.com"  
$LogOnUrl = "https://WS2012R2-0.contoso.com/passiveLogon" 
$LogOffUrl = "https://WS2012R2-0.contoso.com/passiveLogOff" 
$ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" 
$MyUri = "urn:uri:MySamlp2IDP"
$idptokensigningcert = [System.Security.Cryptography.X509Certificates.X509Certificate2]("C:\temp\contosoidptokensign.cer")  
$MySigningCert = [system.convert]::tobase64string($idptokensigningcert.rawdata) 
$Protocol = "saml"

New-MgDomainFederationConfiguration `
  -DomainId $Domain `
  -ActiveSignInUri $ecpUrl `
  -IssuerUri $MyUri `
  -PassiveSignInUri $LogOnUrl `
  -PreferredAuthenticationProtocol $Protocol `
  -SignOutUri $LogOffUrl `
  -SigningCertificate $MySigningCert

  3. İmzalama sertifikası base64 kodlanmış dizesini IDP meta veri dosyanızdan alabilirsiniz. Bu konumun bir örneği aşağıda verilmiştir ancak uygulamanıza göre biraz farklılık gösterebilir.

    <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <KeyDescriptor use="signing">
    <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
     <X509Data>
       <X509Certificate> eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</X509Certificate>
      </X509Data>
    </KeyInfo>
  </KeyDescriptor>
</IDPSSODescriptor>

Daha fazla bilgi için bkz . New-MgDomainFederationConfiguration.

Not

Yalnızca kimlik sağlayıcınız için bir ECP uzantısı ayarlarsanız kullanmanız $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" gerekir. Outlook Web Uygulaması (OWA) hariç Exchange Online istemcileri POST tabanlı etkin bir uç noktaya dayanır. SAML 2.0 STS'niz Shibboleth'in etkin bir uç noktanın ECP uygulamasına benzer etkin bir uç noktası uygularsa, bu zengin istemcilerin Exchange Online hizmetiyle etkileşim kurması mümkün olabilir.

Federasyon yapılandırıldıktan sonra "federasyon dışı" (veya "yönetilen") öğesine geri dönebilirsiniz, ancak bu değişikliğin tamamlanması iki saate kadar sürer ve her kullanıcıya bulut tabanlı oturum açma için yeni rastgele parolalar atamayı gerektirir. Ayarlarınızdaki bir hatayı sıfırlamak için bazı senaryolarda "yönetilen" seçeneğine geri dönmek gerekebilir. Etki alanı dönüştürme hakkında daha fazla bilgi için bkz . Remove-MgDomainFederationConfiguration.

Microsoft Entra Id / Microsoft 365'e kullanıcı sorumluları sağlama

Kullanıcılarınızın kimliğini Microsoft 365'te doğrulayabilmeniz için önce, MICROSOFT Entra Id'yi SAML 2.0 talebindeki onaya karşılık gelen kullanıcı sorumlularıyla sağlamanız gerekir. Bu kullanıcı sorumluları Önceden Microsoft Entra Id olarak tanınmıyorsa, federasyon oturum açma işlemleri için kullanılamaz. Kullanıcı sorumlularını sağlamak için Microsoft Entra Bağlan veya PowerShell kullanılabilir.

Microsoft Entra Bağlan, şirket içi Active Directory Microsoft Entra Dizininizdeki etki alanlarınıza sorumlu sağlamak için kullanılabilir. Daha ayrıntılı bilgi için bkz . Şirket içi dizinlerinizi Microsoft Entra Id ile tümleştirme.

PowerShell, Microsoft Entra ID'ye yeni kullanıcı eklemeyi otomatikleştirmek ve değişiklikleri şirket içi dizinden eşitlemek için de kullanılabilir. PowerShell cmdlet'lerini kullanmak için Microsoft Graph PowerShell modülünü indirmeniz gerekir.

Bu yordam, Microsoft Entra Id'ye tek bir kullanıcının nasıl ekleneceğini gösterir.

  1. Bağlan-MgGraph kullanarak Microsoft Entra Directory'nize kiracı yöneticisi olarak Bağlan.

  2. Yeni bir kullanıcı sorumlusu oluşturun:

    $Password =  -join ((48..57) + (97..122) | Get-Random -Count 12 | % {[char]$_})
$PasswordProfile = @{ Password = "$Password" }

New-MgUser `
  -UserPrincipalName "elwoodf1@contoso.com" `
  -DisplayName "Elwood Folk" `
  -GivenName "Elwood" `
  -Surname "Folk" `
  -AccountEnabled `
  -MailNickName 'ElwoodFolk' `
  -OnPremisesImmutableId ABCDEFG1234567890 `
  -OtherMails "Elwood.Folk@contoso.com" `
  -PasswordProfile $PasswordProfile `
  -UsageLocation "US"

Daha fazla bilgi için bkz . New-MgUser.

Not

"UserPrincipalName" değeri SAML 2.0 talebinizde "IDPEmail" için gönderdiğiniz değerle eşleşmelidir ve "OnPremisesImmutableId" değeri de "NameID" onaylama işleminizde gönderilen değerle eşleşmelidir.

SAML 2.0 IDP'nizle çoklu oturum açmayı doğrulama

Yönetici olarak, çoklu oturum açmayı doğrulamadan ve yönetmeden önce (kimlik federasyonu olarak da adlandırılır), bilgileri gözden geçirin ve SAML 2.0 SP-Lite tabanlı kimlik sağlayıcınızla çoklu oturum açmayı ayarlamak için aşağıdaki makalelerde verilen adımları uygulayın:

  1. Microsoft Entra SAML 2.0 Protokol Gereksinimleri'ni gözden geçirdiniz
  2. SAML 2.0 kimlik sağlayıcınızı yapılandırmışsınız
  3. SAML 2.0 kimlik sağlayıcısı ile çoklu oturum açma (SSO) için PowerShell'i yükleme
  4. SAML 2.0 kimlik sağlayıcısı ile Microsoft Entra Id arasında güven ayarlama
  5. Microsoft Entra Id'ye (Microsoft 365) PowerShell veya Microsoft Entra Bağlan aracılığıyla bilinen bir test kullanıcı sorumlusu sağlandı.
  6. Microsoft Entra Bağlan kullanarak dizin eşitlemesini yapılandırın.

SAML 2.0 SP-Lite tabanlı kimlik Sağlayıcınızla SSO'yu ayarladıktan sonra doğru çalıştığını doğrulamanız gerekir. SAML tabanlı SSO'yu test etme hakkında daha fazla bilgi için bkz . SAML tabanlı çoklu oturum açmayı test etme.

Not

Etki alanını eklemek yerine dönüştürdüyseniz çoklu oturum açmanın ayarlanması 24 saat kadar sürebilir. Çoklu oturum açmayı doğrulamadan önce Active Directory eşitlemesini ayarlamayı, dizinlerinizi eşitlemeyi ve eşitlenmiş kullanıcılarınızı etkinleştirmeyi tamamlamanız gerekir.

Çoklu oturum açmanın doğru ayarlandığını el ile doğrulama

El ile doğrulama, SAML 2.0 kimlik Sağlayıcınızın birçok senaryoda düzgün çalıştığından emin olmak için uygulayabileceğiniz daha fazla adım sağlar. Çoklu oturum açmanın doğru ayarlandığını doğrulamak için aşağıdaki adımları tamamlayın:

  1. Etki alanına katılmış bir bilgisayarda, kurumsal kimlik bilgileriniz için kullandığınız oturum açma adını kullanarak bulut hizmetinizde oturum açın.
  2. Parola kutusunun içini seçin. Çoklu oturum açma ayarlandıysa parola kutusu gölgelendirilir ve şu iletiyi görürsünüz: "Artık şirketinizde <>oturum açmanız gerekiyor."
  3. Şirketinizde <> oturum açın bağlantısını seçin. Oturum açabiliyorsanız çoklu oturum açma ayarlanır.

Sonraki Adımlar