Интеграция единого входа Microsoft Entra с службами каталогов

В этой статье вы узнаете, как интегрировать службы каталогов с идентификатором Microsoft Entra. Интеграция служб каталогов с идентификатором Microsoft Entra позволяет:

• Контролируйте, кто имеет доступ к службам каталогов в Microsoft Entra ID.
• Включите автоматический вход пользователей в службы каталогов с помощью учетных записей Microsoft Entra.
• Управляйте вашими учетными записями в одном месте.

Необходимые условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
• Одна из следующих ролей:
  • администратор приложений
  • администратор облачных приложений
  • Владелец приложения.

• Подписка на службы каталогов с поддержкой функции единого входа (SSO).

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Службы каталогов поддерживают SSO, инициированный поставщиком услуг и поставщиком удостоверений.
• Службы каталогов поддерживают JIT подготовке пользователей.
• Службы каталогов поддерживают автоматизированную подготовку пользователей.

Добавление служб каталогов из галереи

Чтобы настроить интеграцию служб каталогов с Microsoft Entra ID, необходимо добавить службы каталогов из галереи в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra в роли администратора облачных приложений.
2. Перейдите к Identity>Приложения>Корпоративные приложения>Новое приложение.
3. В разделе Добавление из коллекции в поле поиска введите Службы каталогов.
4. Выберите службы каталогов на панели результатов и добавьте приложение. Подождите несколько секунд, пока приложение добавляется в клиент.

Кроме того, можно использовать мастер настройки корпоративных приложений . В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и выполнить настройку единого входа. Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для служб каталогов

Настройте и проверьте единый вход Microsoft Entra в службах каталогов с помощью тестового пользователя B.Simon. Чтобы единый вход работал, необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в службах каталогов.

Чтобы настроить и проверить единый вход Microsoft Entra в службах каталогов, выполните следующие действия.

1. Настройте единый вход Microsoft Entra, чтобы ваши пользователи могли использовать эту функцию.
   1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
   2. Назначить тестового пользователя Microsoft Entra, чтобы B.Simon мог использовать единый вход Microsoft Entra.
2. Настройте службы каталогов SSO для настройки параметров единого входа на стороне приложения.
   1. Создайте тестового пользователя в службах каталогов — чтобы создать аналог пользователя B.Simon в службах каталогов, который связан с представлением пользователя Microsoft Entra.
3. Тест SSO , чтобы проверить, работает ли конфигурация.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить Microsoft Entra SSO (Единый вход).

1. Войдите в Центр администрирования Microsoft Entra в роли администраторa облачных приложений , по крайней мере с правами.

2. Перейдите к Identity>Applications>Корпоративные приложения>службы каталогов>единого входа.

3. На странице выбора метода единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

   

5. В разделе Базовая конфигурация SAML выполните следующие действия.

   a. В текстовом поле Идентификатор введите URL-адрес, используя один из следующих шаблонов:

   Идентификатор
   https://<HOSTNAME.DOMAIN.com>/otdsws/login
   https://<HOSTNAME.DOMAIN.com>/<OTDS_TENANT>/<TENANTID>/otdsws/login
   https://<HOSTNAME.DOMAIN.com>/otdsws/<OTDS_TENANT>/<TENANTID>/login
   https://<HOSTNAME.DOMAIN.com>/<OTDS_TENANT>/<TENANTID>/login

   b. В текстовом поле "URL-адрес ответа" введите URL-адрес, используя один из следующих шаблонов:

   URL-адрес ответа
   https://<HOSTNAME.DOMAIN.com>/otdsws/login
   https://<HOSTNAME.DOMAIN.com>/<OTDS_TENANT>/<TENANTID>/otdsws/login
   https://<HOSTNAME.DOMAIN.com>/otdsws/<OTDS_TENANT>/<TENANTID>/login
   https://<HOSTNAME.DOMAIN.com>/<OTDS_TENANT>/<TENANTID>/login

6. Выполните следующий шаг, если вы хотите настроить приложение в инициированном режиме SP:

   В текстовом поле URL-адрес входа введите URL-адрес, используя один из следующих шаблонов:

   URL-адрес для входа
   https://<HOSTNAME.DOMAIN.com>/otdsws/login
   https://<HOSTNAME.DOMAIN.com>/<OTDS_TENANT>/<TENANTID>/otdsws/login
   https://<HOSTNAME.DOMAIN.com>/otdsws/<OTDS_TENANT>/<TENANTID>/login
   https://<HOSTNAME.DOMAIN.com>/<OTDS_TENANT>/<TENANTID>/login

   Заметка

   Эти значения не являются реальными. Обновите эти значения фактическим идентификатором, URL-адресом ответа и URL-адресом входа. Чтобы получить эти значения, обратитесь в службу поддержки служб каталогов. Вы также можете ссылаться на шаблоны, показанные в разделе Базовая конфигурация SAML.

7. На странице "Настройка единого входа с помощью SAML" в разделе "SAML Сертификат подписи" нажмите кнопку "Копировать", чтобы скопировать URL-адрес метаданных федерации приложений и сохранить его на вашем компьютере.

   

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в Центр администрирования Microsoft Entra как минимум с ролью администратора пользователя.
2. Перейдите к Identity>Users>Все пользователи.
3. Выберите Новый пользователь>Создать нового пользователяв верхней части экрана.
4. В свойствах user выполните следующие действия.
   1. В поле Отображаемое имя введите B.Simon.
   2. В поле основное имя пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль, а затем запишите значение, отображаемое в поле Password.
   4. Выберите Проверка и создание.
5. Выберите Создать.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к службам каталогов.

1. Войдите в Центр администрирования Microsoft Entra с ролью не ниже администратора облачных приложений.
2. Перейдите к приложениям>идентификации>корпоративных приложений>служб каталога.
3. На странице обзора приложения выберите Пользователи и группы.
4. Выберите Добавить пользователя или группу, затем выберите Пользователи и группы в диалоговом окне Добавление назначения.
   1. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
   2. Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке Выбрать роль. Если для этого приложения не назначена роль, по умолчанию будет выбрана роль "Доступ по умолчанию".
   3. В диалоговом окне Добавление задания нажмите кнопку Назначить.

Настройка единого входа служб каталогов

Чтобы настроить единый вход службы каталогов стороне, необходимо отправить URL-адрес метаданных федерации приложений службы каталогов. Они задают этот параметр для правильного установки подключения SAML SSO на обеих сторонах.

Создание тестового пользователя служб каталогов

В этом разделе пользователь с именем B.Simon создается в службах каталогов. Службы каталогов поддерживают подготовку пользователей по принципу 'точно в срок', которая включена по умолчанию. В этом разделе для вас нет элемента действия. Если пользователь еще не существует в службах каталогов, он создается после проверки подлинности.

Тест единого входа

В этом разделе производится тестирование конфигурации единого входа Microsoft Entra с использованием следующих параметров.

Инициировано провайдером услуг:

• Щелкните Протестируйте это приложение, вы будете перенаправлены по URL-адресу для входа в службы каталогов, где можно инициировать поток входа.

• Перейдите на URL-адрес для входа в систему служб каталогов и инициируйте процесс аутентификации.

ИДП инициировано

• Щелкните Протестируйте это приложение, и вы автоматически войдете в службы каталогов, для которых настроили единый вход.

Вы также можете использовать Microsoft My Apps для тестирования приложения в любом режиме. Щелкнув плитку "Службы каталогов" в разделе "Мои приложения", если она настроена в режиме SP, вы будете перенаправлены на страницу входа в приложение, чтобы инициировать процесс входа, а если настроена в режиме IDP, вы автоматически войдете в Службы каталогов, для которых настроили единый вход. Дополнительные сведения о Мои приложения см. в разделе Введение в Мои приложения.

Связанное содержимое

После настройки служб каталогов вы можете применить функцию управления сеансом, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Расширение управления сеансами осуществляется на основе условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.