Как настроить единый вход для приложения-прокси
Единый вход (SSO) позволяет пользователям обращаться к приложению несколько раз без повторной проверки подлинности. Он позволяет выполнять единую аутентификацию в облаке с помощью идентификатора Microsoft Entra ID и предоставляет службе или коннектору возможность имитировать пользователя, чтобы справляться с дополнительными задачами аутентификации от приложения.
Как настроить единый вход в систему
Чтобы настроить единый вход, сначала убедитесь, что приложение настроено для предварительной проверки подлинности с помощью идентификатора Microsoft Entra.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
- В правом верхнем углу выберите свое имя пользователя. Убедитесь, что вы вошли в каталог, использующий прокси приложения. Если необходимо изменить каталоги, выберите "Переключить каталог " и выберите каталог, использующий прокси приложения.
- Перейдите к Identity>Applications>Enterprise applications>Прокси приложений.
Найдите поле "Предварительная проверка подлинности" и убедитесь, что задано.
Дополнительные сведения о методах предварительной проверки подлинности см. в шаге 4 в документе, посвященном публикации приложения.
Настройка режимов единого входа для прокси-серверов приложений
Настройте конкретный тип единого входа. Методы входа подразделяются в зависимости от того, какой тип проверки подлинности используется серверным приложением. Приложения прокси поддерживают три типа входа:
Вход на основе пароля. Может использоваться для любого приложения, в котором для входа используются поля с именем пользователя и паролем. В разделе "Настройка единого входа с использованием пароля для приложения галереи Microsoft Entra" описаны действия по настройке.
Встроенная проверка подлинности Windows. Для приложений, использующих встроенную проверку подлинности Windows, функция единого входа обеспечивается с помощью ограниченного делегирования Kerberos (KCD). Этот метод предоставляет соединителям частной сети разрешение в Active Directory на олицетворение пользователей, а также на отправку и получение токенов от их имени. Сведения о настройке KCD можно найти в документации по единому входу с использованием KCD.
Вход на основе заголовка. Вход на основе заголовка используется для предоставления возможностей входа с помощью HTTP-заголовков. Чтобы узнать больше, см. Единый вход на основе заголовков.
Единый вход SAML: с помощью единого входа SAML Microsoft Entra проходит проверку подлинности в приложении с помощью учетной записи Microsoft Entra пользователя. Microsoft Entra ID передает приложению данные для входа через протокол соединения. Если используется единый вход на основе SAML, вы можете сопоставлять пользователей с конкретными ролями приложений согласно правилам, определенным в утверждениях SAML. Сведения о настройке единого входа SAML см. в статье SAML для единого входа через прокси приложения.
Каждый из этих параметров можно найти, перейдя в приложение в Корпоративных приложениях и открыв страницу единого входа в меню слева. Если приложение было создано на старом портале, вы можете не увидеть все эти параметры.
На этой странице также отображается еще один вариант входа: вход через связанный аккаунт. Прокси приложения поддерживает этот параметр. Однако этот параметр не добавляет единый вход в приложение. Тем не менее, в приложении единый вход может уже быть реализован с использованием другой службы, например, служб федерации Active Directory.
Этот вариант позволяет создать ссылку на приложение, которое будет открываться для пользователей первым при обращении к вашему приложению. Например, приложение, настроенное для проверки подлинности пользователей с помощью службы федерации Active Directory (AD FS) 2.0, может использовать параметр "Связанный вход" для создания ссылки на нее на странице Мои приложения.