为企业应用程序启用单一登录

本文介绍如何使用 Microsoft Entra 管理中心为添加到 Microsoft Entra 租户的企业应用程序启用单一登录 (SSO)。 配置 SSO 后,用户可以使用其 Microsoft Entra 凭据进行登录。

Microsoft Entra ID 有一个库,其中包含数千个使用 SSO 的预集成应用程序。 本文使用名为 Microsoft Entra SAML Toolkit 1 的企业应用程序作为示例,但这些概念适用于 Microsoft Entra 应用程序库中大多数预配置的企业应用程序

建议使用非生产环境来测试本文中的步骤。

先决条件

若要配置 SSO,需要满足以下条件:

启用单一登录

提示

本文中的步骤可能因开始使用的门户而略有不同。

为应用程序启用 SSO:

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。

  3. 在“搜索”框中输入现有应用程序的名称,然后从搜索结果中选择该应用程序。 例如 Microsoft Entra SAML Toolkit 1

  4. 在左侧菜单的“管理”部分中,选择“单一登录”,打开“单一登录”窗格进行编辑 。

  5. 选择“SAML”以打开“SSO 配置”页。 配置应用程序后,用户可以使用 Microsoft Entra 租户中的凭据进行登录。

  6. 将应用程序配置为使用 Microsoft Entra ID 进行基于 SAML 的 SSO 的过程因应用程序而异。 对于库中的任何企业应用程序,请使用“配置指南”链接查找有关配置应用程序所需步骤的信息。 本文中列出了用于 Microsoft Entra SAML Toolkit 1 的步骤

    Screenshot showing how to configure single sign-on for an enterprise application.

  7. 在“设置 Microsoft Entra SAML Toolkit 1”部分,记录“登录 URL”、“Microsoft Entra 标识符”和“登录 URL”属性的值以供稍后使用。

在租户中配置单一登录

添加“登录”和“回复 URL”值,并下载证书以开始在 Microsoft Entra ID 中配置 SSO。

若要在 Microsoft Entra ID 中配置 SSO,请执行以下操作:

  1. 在 Microsoft Entra 管理中心,在“设置 SAML 单一登录”窗格上的“基本 SAML 配置”部分中选择“编辑”。
  2. 对于“回复 URL(断言使用者服务 URL)”,输入 https://samltoolkit.azurewebsites.net/SAML/Consume
  3. 对于登录 URL,输入 https://samltoolkit.azurewebsites.net/
  4. 选择“保存”。
  5. 在“SAML 证书”部分中,选择下载“证书(原始)”,下载 SAML 签名证书,并将其保存以供以后使用。

在应用程序中配置单一登录

在应用程序中使用单一登录时,需要向应用程序注册用户帐户并添加之前记录的 SAML 配置值。

注册用户帐户

向应用程序注册用户帐户:

  1. 打开新的浏览器窗口,并浏览到应用程序的登录 URL。 对于 Microsoft Entra SAML Toolkit 应用程序,地址为 https://samltoolkit.azurewebsites.net

  2. 在页面右上角,选择“注册”。

    Screenshot showing where to register a user account in the Microsoft Entra SAML Toolkit application.

  3. 对于“电子邮件”,输入可以访问应用程序的用户的电子邮件地址。 确保已将用户帐户分配给应用程序。

  4. 输入密码并进行确认。

  5. 选择“注册” 。

配置 SAML 设置

为应用程序配置 SAML 设置:

  1. 在应用程序的登录页面上,使用已分配给应用程序的用户帐户的凭据登录,并选择页面左上角的“SAML 配置”
  2. 在页面中间,选择“创建”。
  3. 对于“登录 URL”、“Microsoft Entra 标识符”和“注销 URL”,请输入之前记录的值。
  4. 选择“选择文件”,上传之前下载的证书。
  5. 选择“创建” 。
  6. 复制“SP 发起的登录 URL”和“断言使用者服务(ACS) URL”以供稍后使用 。

更新单一登录值

使用为“SP 发起的登录 URL”和“断言使用者服务(ACS) URL”记录的值来更新租户中的单一登录值 。

更新单一登录值:

  1. 在 Microsoft Entra 管理中心,在“设置单一登录”窗格上的“基本 SAML 配置”部分中选择“编辑”。
  2. 对于“回复 URL (断言使用者服务 URL)”,请输入之前记录的“断言使用者服务(ACS) URL”值 。
  3. 对于“登录 URL”,请输入之前记录的“SP 发起的登录 URL”值 。
  4. 选择“保存”。

测试单一登录

可以从“设置单一登录”窗格测试单一登录配置。

测试 SSO:

  1. 在“测试 Microsoft Entra SAML Toolkit 1 的单一登录”部分的“使用 SAML 设置单一登录”窗格上,选择“测试”
  2. 使用向应用程序分配的用户帐户的 Microsoft Entra 凭据登录应用程序。

后续步骤