Microsoft Entra 应用程序库的概述

Microsoft Entra 应用程序库是软件即服务 (SaaS) 应用程序的集合,这些应用程序已与 Microsoft Entra ID 预集成。 集合包含数千个应用程序,在应用程序中可轻松部署和配置单一登录 (SSO)自动化用户预配

要在登录到租户时查找库,请浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”>“新应用程序”

库中可用的应用程序遵循 SaaS 模型,该模型允许用户通过 Internet 连接并使用基于云的应用程序。 常见的示例包括电子邮件、日历和办公工具(如 Microsoft Office 365)。

下面是使用库中可用的应用程序的好处:

  • 用户为应用程序找到最佳的 SSO 体验。
  • 简化并最小化了应用程序的配置。
  • 通过快速搜索可以找到所需的应用程序。
  • 免费、基本和高级 Microsoft Entra 用户都可以使用应用程序。
  • 用户可以轻松找到可用于载入库应用程序的分步配置教程

库包含数千个已预集成到 Microsoft Entra ID 中的应用程序。 使用库时,可以选择使用特定云平台中的应用程序、特别推荐应用程序,也可以搜索需要使用的应用程序。

搜索应用程序

如果在特别推荐应用程序中找不到要查找的应用程序,可以按名称搜索具体的应用程序。

显示 Microsoft Entra 管理中心内 Microsoft Entra 应用程序库窗格中的搜索选项的屏幕截图。

搜索应用程序时,还可以指定特定筛选器,例如单一登录选项、自动预配和类别。

  • 单一登录选项 - 可以搜索支持以下 SSO 选项的应用程序:SAML、OpenID Connect (OIDC)、密码或已链接。 有关这些选项的详细信息,请参阅在 Microsoft Entra ID 中规划单一登录部署
  • 用户帐户管理 - 唯一可用的选项是自动预配
  • 类别 - 将应用程序添加到库时,可以将其分类到特定类别。 可以使用多种类别,例如“业务管理”、“协作”或“教育”。

云平台

可以通过选择适当的平台来找到特定于主要云平台(例如 AWS、Google 或 Oracle)的应用程序。

显示 Microsoft Entra 管理中心内 Microsoft Entra 应用程序库窗格中的云应用程序选项的屏幕截图。

本地应用程序

可通过五种方式将本地应用程序连接到 Microsoft Entra ID。 一个是使用 Microsoft Entra 应用程序代理进行单一登录。 如果应用程序支持通过 SAML 或 Kerberos 进行单一登录,则可以从 Microsoft Entra 库的本地部分执行以下任务:

  • 配置应用程序代理以启用对本地应用程序的远程访问。
  • 使用文档详细了解如何使用应用程序代理来确保对本地应用程序的安全远程访问。
  • 管理你创建的任何专用网络连接器。

显示 Microsoft Entra 管理中心内 Microsoft Entra 应用程序库窗格中的本地应用程序选项的屏幕截图。

如果应用程序使用 Kerberos 并且还需要组成员身份,则可以从 Microsoft Entra 中的相应组填充 Windows Server AD 组。 有关详细信息,请参阅《Microsoft Entra 云同步组写回》

第二种是使用预配代理,预配到具有其自己的用户存储且不依赖于 Windows Server AD 的本地应用程序。 可以将预配配置为支持 SCIM、使用 SQL 数据库、使用 LDAP 目录或支持 SOAP 或 REST 预配 API 的本地应用程序。

第三种是通过为每个应用连接配置全局安全访问应用来使用 Microsoft Entra Private Access。 有关详细信息,请参阅《了解 Microsoft Entra Private Access》

第四种是使用应用程序自己的连接器。 如果有 SAP S/4HANA On-premise,则将 Microsoft Entra ID 中的用户预配到 SAP Cloud Identity Directory。 然后,SAP Cloud Identity Services 通过 SAP 云连接器将 SAP Cloud Identity Directory 中的用户预配到下游 SAP 应用程序,例如 SAP S/4HANA On-Premise。 有关详细信息,请参阅《规划部署 Microsoft Entra 以通过 SAP 源和目标应用实现用户预配》

第五种是使用第三方集成技术。 如果应用程序不支持 SCIM 等标准,合作伙伴可使用自定义 ECMA 连接器和 SCIM 网关,将 Microsoft Entra ID 与更多应用程序(包括本地应用程序)集成。 有关详细信息,请参阅“合作伙伴驱动可用的集成”列表。

当你打开 Microsoft Entra 库时,默认会列出特别推荐应用程序的集合。 每个应用程序都标记有一个符号,可用于确定它是支持联合 SSO 还是支持自动预配。

显示 Microsoft Entra 管理中心内 Microsoft Entra 应用程序库窗格中的精选应用程序的屏幕截图。

  • 联合 SSO – 将 SSO 设置为在多个标识提供者之间工作时,就会产生“联合身份验证”。 基于联合身份验证协议的 SSO 实现可以提升安全性、可靠性和用户体验,实现起来也更容易。 一些应用程序基于 SAML 或基于 OIDC 实现联合 SSO。 对于 SAML 应用程序,当你选择“创建”时,应用程序会添加到租户。 对于 OIDC 应用程序,管理员必须先在应用程序网站上注册或登录,才能将该应用程序添加到 Microsoft Entra ID。
  • 预配 - Microsoft Entra ID 到 SaaS 应用程序的预配是指在用户需要访问的 SaaS 应用程序中自动创建用户标识和角色。

创建自己的应用程序

选择窗格顶部附近的“创建自己的应用程序”链接时,会看到一个新的窗格,其中列出了以下选项:

  • 注册应用程序以将其与 Microsoft Entra ID(你正在开发的应用)集成 - 此选项适用于想要将使用 OpenID Connect 的应用程序与 Microsoft Entra ID 集成的开发人员。 此选项不提供将应用程序发布到库的方法。 其仅出于开发目的进行集成。
  • 集成在库中找不到的任何其他应用程序(非库) - 此选项是为了让管理员将不在库中的基于 SAML 的应用程序提供给组织中的用户。 通过集成应用程序,管理员可以配置、保护并监视其使用。 此选项没有提供将应用程序发布到库的方法。 但它为租户中的用户提供了对应用程序的安全访问。
  • 配置应用程序代理,以确保对本地应用程序的安全远程访问 此选项是为了让管理员通过与应用程序代理连接为本地托管的 Web 应用实现 SSO 和安全远程访问。

当成功将应用程序与 Microsoft Entra ID 集成并全面测试后,可以提出将其添加到库的请求。 不支持从门户将应用程序发布到库,但可以通过一个过程来请求添加该应用程序。 有关发布到库的详细信息,请选择请求新库应用程序

后续步骤