如何配置应用程序代理应用程序的单一登录

单一登录 (SSO) 允许用户访问应用程序,无需进行多次身份验证。 借助 Microsoft Entra ID,单一登录允许在云中执行一次身份验证,并允许服务或连接器模拟用户,完成来自应用程序的任何其他身份验证质询。

如何配置单一登录

若要配置 SSO,请先确保应用程序已配置为通过 Microsoft Entra ID 进行预身份验证。

  1. 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心
  2. 请在右上角选择用户名。 验证是否已登录到使用应用程序代理的目录。 如果需要更改目录,请选择“切换目录”,然后选择使用应用程序代理的目录
  3. 浏览到“标识”>“应用程序”>“企业应用程序”>“应用程序代理”。

查找“预身份验证”字段,并确保已设置该字段。

有关预身份验证方法的详细信息,请参阅应用发布文档的步骤 4。

Microsoft Entra 管理中心的预身份验证方法

为应用程序代理应用程序配置单一登录模式

配置特定类型的单一登录。 登录方法的分类基于后端应用程序使用的身份验证类型。 应用程序代理应用程序支持三种类型的登录:

  • 基于密码的登录:基于密码的登录可用于任何使用用户名和密码字段进行登录的应用程序。 若要了解配置步骤,请参阅配置 Microsoft Entra 库应用程序的密码单一登录

  • 集成 Windows 身份验证:对于使用集成 Windows 身份验证 (IWA) 的应用程序,通过 Kerberos 约束委派 (KCD) 启用单一登录。 此方法向专用网络连接器赋予在 Active Directory 中的权限来模拟用户,并代表用户发送和接收令牌。 关于配置 KCD 的详细信息,可以在通过 KCD 启用单一登录文档中找到。

  • 基于标头的登录:基于标头的登录用于通过 HTTP 标头提供单一登录功能。 若要了解详细信息,请查看基于标头的单一登录

  • SAML 单一登录:使用 SAML 单一登录时,Microsoft Entra 会通过用户的 Microsoft Entra 帐户向应用程序进行身份验证。 Microsoft Entra ID 通过连接协议将登录信息传送给应用程序。 使用基于 SAML 的单一登录,可以根据在 SAML 声明中定义的规则将用户映射到特定的应用程序角色。 若要了解如何设置 SAML 单一登录,请参阅通过应用程序代理进行单一登录时使用的 SAML

可通过以下方式找到这些选项:转到“企业应用程序”中的应用程序,打开左侧菜单上的“单一登录”页。 如果应用程序是在旧门户中创建,可能看不到其中某些选项。

在此页上,还可以看到另一个登录选项:链接登录。 应用程序代理支持此选项。 但是,此选项不会向应用程序添加单一登录。 也就是说,应用程序可能已经使用另一个服务(如 Active Directory 联合身份验证服务)实现了单一登录。

此选项允许管理员在访问应用程序时创建一个指向用户首次登录的应用程序的链接。 例如,配置为使用 Active Directory 联合身份验证服务 2.0 来验证用户身份的应用程序可使用“链接登录”选项在“我的应用”页上创建指向该应用的链接。

后续步骤