向应用程序添加基于密码的单一登录

本文介绍了如何在 Microsoft Entra ID 中设置基于密码的单一登录 (SSO)。 使用基于密码的 SSO 时,用户在首次登录应用程序时使用用户名和密码登录。 首次登录后,Microsoft Entra ID 会为应用程序提供用户名和密码。

基于密码的 SSO 使用应用程序提供的现有身份验证过程。 为应用程序启用基于密码的 SSO 时,Microsoft Entra ID 会收集应用程序的用户名和密码并将其安全地进行存储。 用户凭据以加密状态存储在目录中。 任何基于云且具有基于 HTML 的登录页面的应用程序都支持基于密码的 SSO。

遇到以下情况时,请选择基于密码的 SSO:

  • 应用程序不支持安全断言标记语言 (SAML) SSO 协议。
  • 应用程序使用用户名和密码而非访问令牌和标头进行身份验证。

基于密码的 SSO 的配置页非常简单。 配置页仅包含应用程序使用的登录页的 URL。 此字符串必须是包含“用户名”输入字段的页面。

提示

本文中的步骤可能因开始使用的门户而略有不同。

先决条件

要在 Microsoft Entra 租户中配置基于密码的 SSO,需要:

  • 具有活动订阅的 Azure 帐户。 如果还没有帐户,可以免费创建一个帐户
  • 应用程序管理员、云应用程序管理员或服务主体的所有者。
  • 一个支持基于密码的 SSO 的应用程序。

配置基于密码的单一登录

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。
  3. 在“搜索”框中输入现有应用程序的名称,然后从搜索结果中选择该应用程序。
  4. 选择“单一登录”,然后选择“基于密码” 。
  5. 输入应用程序的登录页的 URL。
  6. 选择“保存”。

Microsoft Entra ID 分析登录页的 HTML 以获得用户名和密码输入字段。 如果尝试成功,则已登录。 下一步是为应用程序分配用户或组

在分配用户和组后,你可以提供凭据,以便在用户登录到应用程序时使用。

  1. 选择“用户和组”,选中用户或组所在行的复选框,然后选择“更新凭据”。
  2. 输入要用于该用户或组的用户名和密码。 否则,系统会在启动时提示用户自行输入凭据。

手动配置

如果 Microsoft Entra ID 尝试分析失败,可以手动配置登录。

  1. 选择“配置 {应用程序名称} 密码单一登录设置”以显示“配置登录”页。
  2. 选择“手动检测登录字段”。 此时会显示描述如何手动检测登录字段的更多说明。
  3. 选择“捕获登录字段”。 此时将在新选项卡中打开“捕获状态”页,显示消息“元数据捕获当前正在进行”。
  4. 如果新选项卡中显示了“所需的我的应用扩展”框,请选择“立即安装”以安装“我的应用安全登录扩展”浏览器扩展。 (浏览器扩展要求使用的浏览器是 Microsoft Edge 或 Chrome。)接下来,安装、启动和启用该扩展,并刷新捕获状态页。 然后,浏览器扩展将打开一个显示所输入 URL 的选项卡。
  5. 在包含所输入 URL 的选项卡中,完成登录过程。 填写“用户名”和“密码”字段,然后尝试登录。 (不必提供正确的密码。)会出现一个提示,要求你保存捕获的登录字段。
  6. 选择“确定”。 浏览器扩展更新“捕获状态”页,其中包含“应用程序已更新元数据”的消息。 浏览器选项卡关闭。
  7. 在 Microsoft Entra ID 的“配置登录”页上,选择“确定,我可以成功登录到此应用”。
  8. 选择“确定”

限制

对于基于密码的 SSO,最终用户的浏览器可以是:

  • Internet Explorer 8、9、10、11 - 在 Windows 7 或更高版本上(有限支持)
  • Windows 10 周年纪念版或更高版本上的 Microsoft Edge
  • Chrome - 在 Windows 7 或更高版本以及 macOS X 或更高版本上

后续步骤