Бөлісу құралы:

Единый вход (SSO) с использованием языка разметки утверждений безопасности (SAML) для локальных приложений с прокси-сервером приложения

  • Мақала

Предоставьте единый вход локальным приложениям, защищенным с помощью проверки подлинности языка разметки утверждений безопасности (SAML). Предоставьте удаленный доступ к приложениям единого входа на основе SAML через прокси-сервер приложений. С помощью единого входа SAML Microsoft Entra аутентифицируется в приложении с использованием учетной записи пользователя в Microsoft Entra. Microsoft Entra ID передает приложению данные для входа через протокол соединения. Вы можете сопоставлять пользователей с конкретными ролями приложений согласно правилам, определенным в утверждениях SAML. Включив прокси приложения в дополнение к единому входу на основе SAML, вы предоставляете пользователям внешний доступ к приложению и обеспечиваете плавный опыт единого входа.

Приложения должны иметь возможность использовать токены SAML, выданные идентификатором Microsoft Entra. Конфигурация недействительна для приложений, которые используют локального поставщика идентификаций. В этих сценариях мы рекомендуем просмотреть ресурсы для переноса приложений в Microsoft Entra ID.

Единый вход SAML с прокси приложениями также работает с функцией шифрования токенов SAML. Дополнительные сведения см. в разделе "Настройка шифрования токенов SAML Microsoft Entra".

Схемы протоколов описывают последовательность единого входа для обоих потоков: инициированного поставщиком услуг (SP-инициированный) и инициированного поставщиком удостоверений (IdP-инициированный). Прокси приложения работает с единым входом SAML, кэшируя SAML-запросы и ответы, отправляемые в локальное приложение и получаемые от него.

На схеме показаны взаимодействия приложения, прокси приложения, клиента и идентификатора Microsoft Entra для единого входа, инициированного S P..

На схеме показаны взаимодействия Приложения, прокси сервера приложения, Клиента и Microsoft Entra ID для единоразового входа, инициированного IdP.

Создайте приложение и настройте единый вход с использованием SAML.

  1. В Центре администрирования Microsoft Entra выберите > Microsoft Entra ID Enterprise и выберите новое приложение.

  2. Введите отображаемое имя для нового приложения, установите флажок Интеграция с любыми другими приложениями, которых нет в коллекции и щелкните Создать.

  3. На странице Обзор для приложения выберите Единый вход.

  4. Выберите SAML в качестве метода единого входа.

  5. Сначала настройте единый вход на основе SAML для работы в корпоративной сети, обратившись к разделу «Основная конфигурация SAML» в статье Настройка единого входа на основе SAML для настройки аутентификации на основе SAML для приложения.

  6. Добавьте хотя бы одного пользователя в приложение и убедитесь, что тестовая учетная запись имеет доступ к приложению. Подключитесь к корпоративной сети и воспользуйтесь тестовой учетной записью, чтобы проверить единый вход в приложение.

    Примечание.

    После настройки прокси приложения вы вернетесь и обновите URL-адрес ответа SAML.

Публикация локального приложения с помощью прокси приложения

Перед тем как предоставить SSO для локальных приложений, включите прокси приложения и установите соединитель. Дополнительные сведения о подготовке локальной среды, установке и регистрации соединителя и тестировании соединителя. После настройки соединителя выполните следующие действия, чтобы опубликовать новое приложение с помощью прокси приложения.

  1. Если приложение по-прежнему открыто в Центре администрирования Microsoft Entra, выберите прокси приложения. Укажите внутренний URL-адрес для приложения. Если вы используете личный домен, необходимо также передать сертификат TLS/SSL для приложения.

    Примечание.

    Мы рекомендуем везде, где возможно, использовать личные домены для оптимизации взаимодействия с пользователем. Узнайте больше о работе с пользовательскими доменами в прокси приложения Microsoft Entra.

  2. Выберите идентификатор Microsoft Entra в качестве метода предварительной проверки подлинности для приложения.

  3. Скопируйте Внешний URL-адрес для приложения. Этот URL-адрес необходим для завершения конфигурации SAML.

  4. С помощью тестовой учетной записи попробуйте открыть приложение с внешним URL-адресом, чтобы убедиться, что прокси приложения настроен правильно. Если возникли проблемы, см. статью "Устранение неполадок прокси приложения" и сообщений об ошибках.

Обновление конфигурации SAML

  1. Если приложение по-прежнему открыто в Центре администрирования Microsoft Entra, выберите единый вход.

  2. На странице "Настройка единого входа с помощью SAML" перейдите к заголовку "Базовая конфигурация SAML" и выберите значок "Изменить" (карандаш). Убедитесь, что внешний URL-адрес, настроенный в прокси-сервере приложения, заполняется полями идентификатора, URL-адреса ответа и URL-адреса выхода. Эти URL-адреса необходимы для правильной работы прокси приложения.

  3. Измените URL-адрес ответа, настроенный ранее, чтобы его домен был доступен в Интернете через прокси приложения. Например, если ваш внешний URL-адрес равен https://contosotravel-f128.msappproxy.net, и исходный URL-адрес ответа был https://contosotravel.com/acs, необходимо обновить исходный URL-адрес ответа на https://contosotravel-f128.msappproxy.net/acs.

  4. Установите флажок рядом с обновленным полем URL-адрес ответа, чтобы это значение использовалось по умолчанию.

    • Выбрав нужный URL-адрес ответа как значение по умолчанию, вы можете удалить ранее настроенный URL-адрес ответа с внутренним URL-адресом.

    • Для потока, инициированного поставщиком услуг, убедитесь, что серверное приложение правильно указывает URL-адрес ответа или URL-адрес службы обработки утверждений для получения маркера аутентификации.

    Примечание.

    Если серверное приложение ожидает, что URL-адрес ответа будет внутренним URL-адресом, необходимо либо использовать пользовательские домены, чтобы иметь соответствующие внутренние и внешние URL-адреса, либо установить расширение Мои приложения безопасного входа на устройствах пользователей. Это расширение автоматически перенаправляется в соответствующую службу прокси приложения. Сведения об установке расширения см. в статье о расширении защищенного входа в "Мои приложения".

Тестирование приложения

Ваше приложение работает. Чтобы проверить приложение:

  1. Откройте браузер и перейдите по внешнему URL-адресу, который вы создали при публикации приложения.
  2. Войдите с помощью тестовой учетной записи, назначенной приложению. Теперь вы сможете загрузить приложение и использовать единый вход в него.

Следующие шаги