啟用企業應用程式的單一登入

  • 文章

在本文中,您會使用 Microsoft Entra 系統管理中心,為新增至 Microsoft Entra 租使用者的企業應用程式啟用單一登入 (SSO)。 設定 SSO 之後,您的使用者可以使用其 Microsoft Entra 認證登入。

Microsoft Entra ID 有一個資源庫,其中包含數千個使用 SSO 的預先整合應用程式。 本文使用名為 Microsoft Entra SAML Toolkit 1 的企業應用程式作為範例,但概念適用于 Microsoft Entra 應用程式庫中大部分預先設定的企業應用程式。

建議您使用非生產環境來測試本文中的步驟。

必要條件

若要設定 SSO,您需要:

  • Microsoft Entra 使用者帳戶。 如果您還沒有帳戶,您可以 免費 建立帳戶。
  • 下列其中一個角色:全域管理員、雲端應用程式管理員、應用程式管理員或服務主體的擁有者。
  • 完成快速入門:建立及指派使用者帳戶 中的 步驟。

啟用單一登入

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

若要為應用程式啟用 SSO:

  1. 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [ 身分 > 識別應用程式 > 企業應用程式 > ] [所有應用程式]。

  3. 在搜尋方塊中輸入現有應用程式的名稱,然後從搜尋結果中選取應用程式。 例如, Microsoft Entra SAML Toolkit 1

  4. 在左側功能表的 [ 管理 ] 區段中,選取 [單一登入 ] 以開啟 [單一登入 ] 窗格以進行編輯。

  5. 選取 [SAML ] 以開啟 SSO 組態頁面。 設定應用程式之後,使用者就可以使用來自 Microsoft Entra 租使用者的認證來登入該應用程式。

  6. 將應用程式設定為使用 Microsoft Entra ID 進行 SAML 型 SSO 的程序,會因為應用程式不同而有所差異。 針對資源庫中的任何企業應用程式,請使用設定 指南 連結來尋找設定應用程式所需步驟的相關資訊。 本文列出 Microsoft Entra SAML Toolkit 1 的步驟

    Screenshot showing how to configure single sign-on for an enterprise application.

  7. 在 [ 設定 Microsoft Entra SAML Toolkit 1 ] 區段中,記錄稍後要使用的登入 URL Microsoft Entra Identifier Logout URL 屬性的值

在租使用者中設定單一登入

您可以新增登入和回復 URL 值,並下載憑證以開始在 Microsoft Entra ID 中設定 SSO。

若要在 Microsoft Entra 識別碼中設定 SSO:

  1. 在 Microsoft Entra 系統管理中心中,選取 [使用 SAML 設定設定單一登入] 窗格的 [基本 SAML 組態 ] 區段中的 [編輯 ]。
  2. 針對 回復 URL(判斷提示取用者服務 URL), 輸入 https://samltoolkit.azurewebsites.net/SAML/Consume
  3. 針對 [ 登入 URL ],輸入 https://samltoolkit.azurewebsites.net/
  4. 選取 [儲存]。
  5. 在 [SAML 憑證 ] 區 段中,選取 [ 下載 憑證 ] [原始] 以下載 SAML 簽署憑證,並儲存以供稍後使用。

在應用程式中設定單一登入

在應用程式中使用單一登入需要向應用程式註冊使用者帳戶,並新增您先前記錄的 SAML 組態值。

註冊使用者帳戶

若要向應用程式註冊使用者帳戶:

  1. 開啟新的瀏覽器視窗,並瀏覽至應用程式的登入 URL。 對於 Microsoft Entra SAML Toolkit 應用程式,位址為 https://samltoolkit.azurewebsites.net

  2. 在頁面右上角選取 [註冊]

    Screenshot showing where to register a user account in the Microsoft Entra SAML Toolkit application.

  3. 針對 [ 電子郵件 ],輸入可存取應用程式之使用者的電子郵件地址。 確定使用者帳戶已指派給應用程式。

  4. 在 [密碼] 輸入並確認密碼。

  5. 選取註冊

設定 SAML 設定

設定應用程式的 SAML 設定:

  1. 在應用程式的登入頁面上,使用您已指派給應用程式的使用者帳號憑證登入,選取 頁面左上角的 [SAML 組態 ]。
  2. 選取頁面中間的 [建立]
  3. 針對 [登入 URL ]、 [Microsoft Entra Identifier ] 和 [登出 URL ],輸入您稍早記錄的值。
  4. 選取 [選擇檔案],上傳您先前下載的憑證。
  5. 選取 建立
  6. 複製 SP 起始的 登入 URL 和 判斷提示取用者服務 (ACS) URL 的值,以供稍後使用。

更新單一登入值

使用您為 SP 起始登入 URL 判斷提示取用者服務 (ACS) URL 記錄的值,以更新租使用者中的單一登入值。

若要更新單一登入值:

  1. 在 Microsoft Entra 系統管理中心中,選取 [設定單一登入] 窗格的 [基本 SAML 組態 ] 區段中的 [編輯 ]。
  2. 針對 [ 回復 URL] [判斷提示取用者服務 URL] ,輸入您先前記錄的 判斷提示取用者服務 (ACS) URL 值。
  3. 針對 [ 登入 URL ],輸入您先前記錄的 SP 起始登入 URL 值。
  4. 選取 [儲存]。

測試單一登入

您可以從 [ 設定單一登入] 窗格測試單一登入設定

若要測試 SSO:

  1. 在 [ 使用 Microsoft Entra SAML Toolkit 1 測試單一登入] 區段中,于 [ 使用 SAML 設定單一登入] 窗格上,選取 [ 測試 ]。
  2. 使用您指派給應用程式的使用者帳戶的 Microsoft Entra 認證登入應用程式。

下一步