向应用程序添加基于密码的单一登录

本文介绍了如何在 Microsoft Entra ID 中设置基于密码的单一登录 (SSO)。 使用基于密码的 SSO 时，用户在首次访问应用程序时使用用户名和密码登录。 首次登录后，Microsoft Entra ID 会为应用程序提供用户名和密码。

基于密码的 SSO 使用应用程序提供的现有身份验证过程。 为应用程序启用基于密码的 SSO 时，Microsoft Entra ID 会收集应用程序的用户名和密码并将其安全地进行存储。 用户凭据以加密状态存储在目录中。 任何基于云且具有基于 HTML 的登录页面的应用程序都支持基于密码的 SSO。

遇到以下情况时，请选择基于密码的 SSO：

• 应用程序不支持 SAML SSO 协议。
• 应用程序使用用户名和密码而非访问令牌和标头进行身份验证。

基于密码的 SSO 的配置页非常简单。 配置页仅包含应用程序使用的登录页的 URL。 此字符串必须是包含“用户名”输入字段的页面。

提示

本文中的步骤可能因开始使用的门户而略有不同。

先决条件

要在 Microsoft Entra 租户中配置基于密码的 SSO，需要：

• 具有活动订阅的 Azure 帐户。 如果还没有帐户，可以免费创建一个帐户
• 全局管理员、云应用程序管理员或服务主体的所有者。
• 一个支持基于密码的 SSO 的应用程序。

配置基于密码的单一登录

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。
3. 在“搜索”框中输入现有应用程序的名称，然后从搜索结果中选择该应用程序。
4. 选择“单一登录”，然后选择“基于密码” 。
5. 输入应用程序的登录页的 URL。
6. 选择“保存”。

Microsoft Entra ID 分析登录页的 HTML 以获得用户名和密码输入字段。 如果尝试成功，则已完成。 下一步是为应用程序分配用户或组。

分配用户和组后，你可以提供凭据，以便在用户登录到应用程序时使用。

1. 选择“用户和组”，选中用户或组所在行的复选框，然后选择“更新凭据”。
2. 输入要用于该用户或组的用户名和密码。 否则，系统会在启动时提示用户自行输入凭据。

手动配置

如果 Microsoft Entra ID 尝试分析失败，可以手动配置登录。

1. 选择“配置 {应用程序名称} 密码单一登录设置”以显示“配置登录”页。
2. 选择“手动检测登录字段”。 此时会显示描述如何手动检测登录字段的更多说明。
3. 选择“捕获登录字段”。 此时将在新选项卡中打开“捕获状态”页，显示消息“元数据捕获当前正在进行”。
4. 如果新选项卡中显示了“所需的我的应用扩展”框，请选择“立即安装”以安装“我的应用安全登录扩展”浏览器扩展。 （浏览器扩展要求使用的浏览器是 Microsoft Edge 或 Chrome。）接下来，安装、启动和启用该扩展，并刷新捕获状态页。 然后，浏览器扩展将打开一个显示所输入 URL 的选项卡。
5. 在包含所输入 URL 的选项卡中，完成登录过程。 填写“用户名”和“密码”字段，然后尝试登录。 （不必提供正确的密码。）会出现一个提示，要求你保存捕获的登录字段。
6. 选择“确定”。 浏览器扩展更新“捕获状态”页，其中包含“应用程序已更新元数据”的消息。 浏览器选项卡关闭。
7. 在 Microsoft Entra ID 的“配置登录”页上，选择“确定，我可以成功登录到此应用”。
8. 选择“确定”。

限制

对于基于密码的 SSO，最终用户的浏览器可以是：

• Internet Explorer 8、9、10、11 - 在 Windows 7 或更高版本上（支持受限）
• Windows 10 周年纪念版或更高版本上的 Microsoft Edge
• Chrome -- 在 Windows 7 或更高版本上，以及在 MacOS X 或更高版本上
• Firefox 26.0 或更高版本 -- 在 Windows XP SP2 或更高版本上，以及在 Mac OS X 10.6 或更高版本上

后续步骤

• 管理对应用的访问权限