Share via

具有應用程式 Proxy 的內部部署應用程式的安全性判斷提示標記語言 (SAML) 單一登入 (SSO)

  • 發行項

將單一登錄 (SSO) 提供給使用安全性聲明標記語言 (SAML) 驗證保護的內部部署應用程式。 透過應用程式 Proxy 提供 SAML 型 SSO 應用程式的遠端存取。 使用 SAML 單一登錄,Microsoft Entra 會使用使用者的 Microsoft Entra 帳戶向應用程式進行驗證。 Microsoft Entra ID 與應用程式透過連線通訊協定,進行登入資訊通訊。 您也可以根據您在 SAML 宣告中定義的規則,將使用者對應至特定的應用程式角色。 除了 SAML SSO 之外,藉由啟用應用程式 Proxy,您的使用者具有應用程式的外部存取權和無縫 SSO 體驗。

應用程式必須能夠取用 Microsoft Entra ID 所簽發的 SAML 令牌。 此設定不適用於使用內部部署識別提供者的應用程式。 針對這些案例,建議您檢閱 將應用程式遷移至 Microsoft Entra ID 的資源。

SAML SSO 搭配應用程式 Proxy 也適用於 SAML 令牌加密功能。 如需詳細資訊,請參閱 設定 Microsoft Entra SAML 令牌加密

通訊協議圖表描述服務提供者起始(SP 起始)流程和識別提供者起始的 (IdP 起始) 流程的單一登錄順序。 應用程式 Proxy 可透過快取內部部署應用程式的 SAML 要求和回應,搭配 SAML SSO 運作。

Diagram shows interactions of Application, application proxy, Client, and Microsoft Entra ID for S P-Initiated single sign-on.

Diagram shows interactions of Application, application proxy, Client, and Microsoft Entra ID for I d P-Initiated single sign-on.

建立應用程式並設定 SAML SSO

  1. 在 Microsoft Entra 系統管理中心中,選取 [Microsoft Entra ID > Enterprise 應用程式 ],然後選取 [ 新增應用程式]。

  2. 輸入新應用程式的顯示名稱,選取 [整合您在資源庫中找不到的任何其他應用程式],然後選取 [ 建立]。

  3. 在應用程式的 [概觀] 頁面上,選取 [單一登錄]。

  4. 選取 [SAML ] 作為單一登錄方法。

  5. 首先設定 SAML SSO 以在公司網路上運作,請參閱設定 SAML 型單一登錄以設定應用程式 SAML 型驗證的基本 SAML 設定一節

  6. 將至少一個使用者新增至應用程式,並確定測試帳戶具有應用程式的存取權。 線上到公司網路時,請使用測試帳戶來查看應用程式是否有單一登錄。

    注意

    設定應用程式 Proxy 之後,您將會回來並更新 SAML 回復 URL

使用應用程式 Proxy 發佈內部部署應用程式

在提供內部部署應用程式的 SSO 之前,請先啟用應用程式 Proxy 並安裝連接器。 深入瞭解 如何準備內部部署環境、安裝和註冊連接器,以及測試連接器。 設定連接器之後,請遵循下列步驟,使用應用程式 Proxy 發佈新的應用程式。

  1. 當應用程式仍在 Microsoft Entra 系統管理中心開啟時,請選取 應用程式 Proxy提供應用程式的內部URL。 如果您使用自定義網域,您也需要上傳應用程式的 TLS/SSL 憑證。

    注意

    最佳做法是盡可能針對優化的用戶體驗使用自定義網域。 深入瞭解在 Microsoft Entra 應用程式 Proxy 中使用自定義網域。

  2. 選取 [Microsoft Entra ID ] 作為 應用程式的 [預先驗證 ] 方法。

  3. 複製應用程式的外部URL。 您需要此 URL 才能完成 SAML 設定。

  4. 使用測試帳戶,嘗試使用外部 URL 開啟應用程式,以驗證應用程式 Proxy 是否已正確設定。 如果發生問題,請參閱 針對應用程式 Proxy 問題和錯誤訊息進行疑難解答。

更新 SAML 組態

  1. 當應用程式仍在 Microsoft Entra 系統管理中心開啟時,請選取 [單一登錄]。

  2. 在 [ 使用 SAML 設定單一登錄] 頁面中,移至 [基本 SAML 組態 ] 標題,然後選取其 [編輯 ] 圖示 (鉛筆)。 請確定 您在應用程式 Proxy 中設定的外部 URL 已填入 [標識符]、 [回復 URL] 和 [註銷 URL] 字段。 應用程式 Proxy 必須有這些 URL 才能正常運作。

  3. 編輯稍早設定的 回復 URL ,使其網域可透過應用程式 Proxy 在因特網上連線。 例如,如果您的 外部 URLhttps://contosotravel-f128.msappproxy.net ,而原始 的回覆 URLhttps://contosotravel.com/acs,則必須將原始 的回覆 URL 更新為 https://contosotravel-f128.msappproxy.net/acs

    Enter basic SAML configuration data

  4. 選取更新 的回復 URL 旁的複選框,將其標示為預設值。

    • 將必要的 回復 URL 標示為預設值之後,您也可以刪除先前設定 的回復 URL ,以使用內部 URL。

    • 針對SP起始的流程,請確定後端應用程式指定正確的 回覆 URL 或判斷提示取用者服務 URL ,以接收驗證令牌。

    注意

    如果後端應用程式預期回復 URL 必須是內部 URL,您必須使用自訂網域來具有相符的內部和外部 URL,或在使用者的裝置上安裝 我的應用程式 安全登入延伸模組。 此擴充功能會自動重新導向至適當的應用程式 Proxy 服務。 若要安裝擴充功能,請參閱 我的應用程式 安全登入延伸模組

測試您的應用程式

您的應用程式已啟動並執行。 若要測試應用程式:

  1. 開啟瀏覽器,並流覽至 您在發佈應用程式時所建立的外部URL
  2. 使用您指派給應用程式的測試帳戶登入。 您應該能夠載入應用程式,並將 SSO 載入應用程式。

下一步