Megosztás a következőn keresztül:

Security Assertion Markup Language (SAML) egyszeri belépés (SSO) alkalmazási proxyval rendelkező helyszíni alkalmazásokhoz

  • Cikk

Egyszeri bejelentkezés (SSO) biztosítása a security Assertion Markup Language (SAML) hitelesítéssel védett helyszíni alkalmazások számára. Távoli hozzáférés biztosítása SAML-alapú SSO-alkalmazásokhoz alkalmazásproxyn keresztül. Az SAML egyszeri bejelentkezéssel a Microsoft Entra a felhasználó Microsoft Entra-fiókjával hitelesíti az alkalmazást. A Microsoft Entra ID a bejelentkezési információkat egy kapcsolati protokollon keresztül továbbítja az alkalmazásnak. Társíthat is felhasználókat adott alkalmazás-szerepkörökhöz az SAML-jogcímekben meghatározott szabályok alapján. Az alkalmazásproxy engedélyezésével a SAML SSO mellett a felhasználók külső hozzáférést biztosítanak az alkalmazáshoz, és zavartalan egyszeri bejelentkezési élményt élvezhetnek.

Az alkalmazásoknak képesnek kell lenniük a Microsoft Entra ID által kibocsátott SAML-jogkivonatok felhasználására. Ez a konfiguráció nem vonatkozik a helyszíni identitásszolgáltatót használó alkalmazásokra. Ezekben a forgatókönyvekben javasoljuk, hogy tekintse át az alkalmazások Microsoft Entra-azonosítóba való migrálásához szükséges erőforrásokat.

Az SAML SSO alkalmazásproxyval is működik az SAML-tokentitkosítási funkcióval. További információ: Microsoft Entra SAML-tokentitkosítás konfigurálása.

A protokolldiagramok a szolgáltató által kezdeményezett (SP által kezdeményezett) és az identitásszolgáltató által kezdeményezett (IdP által kezdeményezett) folyamat egyszeri bejelentkezési sorrendjét írják le. Az alkalmazásproxy együttműködik az SAML SSO-val úgy, hogy a helyszíni alkalmazásra és onnan érkező SAML-kérelmeket és válaszokat gyorsítótárazza.

Az ábra az S P által kezdeményezett egyszeri bejelentkezéshez tartozó alkalmazás-, alkalmazásproxy-, ügyfél- és Microsoft Entra-azonosító interakcióit mutatja be.

Az ábrán az alkalmazás, az alkalmazásproxy, az ügyfél és a Microsoft Entra-azonosító interakciói láthatók az I d P által kezdeményezett egyszeri bejelentkezéshez.

Alkalmazás létrehozása és SAML SSO beállítása

  1. A Microsoft Entra Felügyeleti központban válassza a Microsoft Entra ID > Enterprise-alkalmazásokat, és válassza az Új alkalmazás lehetőséget.

  2. Adja meg az új alkalmazás megjelenítendő nevét, válassza a Katalógusban nem található egyéb alkalmazások integrálása lehetőséget, majd válassza a Létrehozás lehetőséget.

  3. Az alkalmazás Áttekintés lapján válassza az Egyszeri bejelentkezés lehetőséget.

  4. Válassza ki az SAML-t egyszeri bejelentkezési módszerként.

  5. Először állítsa be az SAML SSO-t a vállalati hálózaton való működéshez, tekintse meg az SAML-alapú egyszeri bejelentkezés konfigurálásának saml-alapú hitelesítés alkalmazáshoz való konfigurálásához szükséges alapszintű SAML-konfigurációs szakaszát.

  6. Adjon hozzá legalább egy felhasználót az alkalmazáshoz, és győződjön meg arról, hogy a tesztfiók rendelkezik hozzáféréssel az alkalmazáshoz. Miközben csatlakozik a vállalati hálózathoz, a tesztfiók használatával ellenőrizze, hogy rendelkezik-e egyszeri bejelentkezéssel az alkalmazásra.

    Feljegyzés

    Az alkalmazásproxy beállítása után visszatér, és frissíti a SAML válasz URL-címét.

A helyszíni alkalmazás közzététele alkalmazásproxy használatával

Mielőtt SSO-t biztosít a helyszíni alkalmazásokhoz, engedélyezze az alkalmazásproxyt, és telepítsen egy összekötőt. További információ a helyszíni környezet előkészítéséről , az összekötő telepítéséről és regisztrálásáról, valamint az összekötő teszteléséről. Miután beállította az összekötőt, kövesse az alábbi lépéseket az új alkalmazás alkalmazásproxyval való közzétételéhez.

  1. Ha az alkalmazás továbbra is meg van nyitva a Microsoft Entra felügyeleti központban, válassza ki az alkalmazásproxyt. Adja meg az alkalmazás belső URL-címét . Ha egyéni tartományt használ, fel kell töltenie az alkalmazás TLS/SSL-tanúsítványát is.

    Feljegyzés

    Ajánlott eljárásként használja az egyéni tartományokat, amikor csak lehetséges, az optimalizált felhasználói élmény érdekében. További információ az egyéni tartományok Microsoft Entra-alkalmazásproxyban való használatával kapcsolatban.

  2. Válassza a Microsoft Entra-azonosítót az alkalmazás előzetes hitelesítési módszereként.

  3. Másolja ki az alkalmazás külső URL-címét . Erre az URL-címre van szüksége az SAML-konfiguráció befejezéséhez.

  4. A tesztfiók használatával próbálja meg megnyitni az alkalmazást a külső URL-címmel annak ellenőrzéséhez, hogy az alkalmazásproxy megfelelően van-e beállítva. Ha problémák merülnek fel, tekintse meg az alkalmazásproxyval kapcsolatos problémák és hibaüzenetek hibaelhárítását.

Az SAML-konfiguráció frissítése

  1. Ha az alkalmazás továbbra is meg van nyitva a Microsoft Entra Felügyeleti központban, válassza az Egyszeri bejelentkezés lehetőséget.

  2. Az egyszeri bejelentkezés beállítása SAML-lel lapon lépjen az Egyszerű SAML-konfiguráció fejlécére, és válassza a Szerkesztés ikont (ceruza). Győződjön meg arról, hogy az alkalmazásproxyban konfigurált külső URL-cím ki van töltve az Azonosító, a Válasz URL- és a Kijelentkezés URL-cím mezőjében. Ezek az URL-címek szükségesek ahhoz, hogy az alkalmazásproxy megfelelően működjön.

  3. Szerkessze a korábban konfigurált Válasz URL-címet , hogy tartománya alkalmazásproxyn keresztül elérhető legyen az interneten. Ha például a külső URL-címhttps://contosotravel-f128.msappproxy.net és az eredeti Válasz URL-címhttps://contosotravel.com/acs volt, akkor frissítenie kell az eredeti Válasz URL-címethttps://contosotravel-f128.msappproxy.net/acs.

  4. Jelölje be a frissített Válasz URL-cím melletti jelölőnégyzetet az alapértelmezettként való megjelöléshez.

    • Miután alapértelmezettként jelölte meg a szükséges válasz URL-címet , törölheti a belső URL-címet használó korábban konfigurált Válasz URL-címet is.

    • Sp által kezdeményezett folyamat esetén győződjön meg arról, hogy a háttéralkalmazás a hitelesítési jogkivonat fogadásához a megfelelő Válasz URL-címet vagy Assertion Consumer Service URL-címet adja meg.

    Megjegyzés

    Ha a háttéralkalmazás elvárja, hogy a Válasz URL-cím legyen a belső URL-cím, egyéni tartományokat kell használnia ahhoz, hogy egyező belső és külső URL-címekkel rendelkezzen, vagy telepítse a Saját alkalmazások biztonságos bejelentkezési bővítményt a felhasználók eszközeire. Ez a bővítmény automatikusan átirányítja a megfelelő alkalmazásproxy-szolgáltatásra. A bővítmény telepítéséhez tekintse meg Saját alkalmazások biztonságos bejelentkezési bővítményt.

Az alkalmazás tesztelése

Az alkalmazás működik. Az alkalmazás tesztelése:

  1. Nyisson meg egy böngészőt, és keresse meg az alkalmazás közzétételekor létrehozott külső URL-címet .
  2. Jelentkezzen be az alkalmazáshoz rendelt tesztfiókkal. Be kell töltenie az alkalmazást, és SSO-t kell használnia az alkalmazáshoz.

Következő lépések