Jak skonfigurować Single Sign-On (SSO) z Microsoft Azure Active Directory?
Microsoft SSO to proces uwierzytelniania użytkowników, który pomaga zaoszczędzić wiele czasu i wysiłku, umożliwiając obsługę wielu aplikacji za pomocą jednego konta. Możesz wylogować się ze wszystkich kont jednym kliknięciem.
Na tym blogu omówimy jak skonfigurować SSO Azure AD. Przeczytaj do końca, aby niczego nie pominąć.
Wymagania wstępne
Przed rozpoczęciem procesu konfiguracji SSO Microsoft należy zapewnić następujące warunki:
-
Konfiguracja serwera Azure AD Connect
Jako użytkownik Pass-through Authentication nie potrzebujesz żadnych kontroli wstępnych. Ale jeśli używasz synchronizacji haseł jako metody logowania, upewnij się, że:
- Używasz wersji 1.1.644.0 lub nowszej Azure AD Connect.
- Jeśli twoja zapora lub proxy pozwala, dodaj połączenia do dozwolonej listy dla adresów URL *.msappproxy.net przez port 443. W przypadku, gdy potrzebujesz konkretnego adresu URL zamiast wieloznacznego dla konfiguracji proxy, musisz zresetować tenantid.registration.msappproxy.net, gdzie tenant ID jest identyfikatorem GUID najemcy, w którym konfigurujesz funkcję. Jeśli jednak nie jest to możliwe, musisz zezwolić na dostęp do zakresów IP centrum danych Azure. Są one aktualizowane raz na tydzień. Musisz zapewnić ten warunek wstępny tylko wtedy, gdy włączyłeś funkcję; faktyczni użytkownicy nie są zobowiązani do zrobienia tego przy logowaniu.
-
Użyj obsługiwanej topologii Azure AD Connect
Upewnij się, że używasz jednej z obsługiwanych przez Azure AD Connect topologii:
- Lokalny las Active Directory
- On-premises Active Directory z filtrowanym importem
- Serwer synchronizacji Azure AD Connect
- Serwer synchronizacji Azure AD Connect "staging mode"
- GALSync z Forefront Identity Manager (FIM) 2010 lub Microsoft Identity Manager (MIM) 2016
- Serwer synchronizacji Azure AD Connect, szczegóły
- Azure AD
- Scenariusz nieobsługiwany
-
Ustawianie poświadczeń administratora domeny
Zapewnij następujące poświadczenia administratora domeny dla każdego lasu Active Directory, który:
- Synchronizujesz się z Azure AD poprzez SSO Azure AD Connect.
- Zawiera użytkowników, których chcesz włączyć do bezproblemowego SSO.
-
Aktywuj nowoczesne uwierzytelnianie
Dla usług Microsoft 365 domyślnym stanem nowoczesnego uwierzytelniania jest:
- Domyślnie włączone dla Exchange Online. Zobacz Włącz lub wyłącz nowoczesne uwierzytelnianie w Exchange Online, aby je wyłączyć lub włączyć.
- Włączone domyślnie dla SharePoint Online.
- Domyślnie włączony Skype for Business Online. Zobacz Włączanie uwierzytelniania Skype for Business Online dla nowoczesnego uwierzytelniania, aby je wyłączyć lub włączyć.
-
Używaj najnowszych wersji klientów Microsoft 365
Ustaw go na automatyczną aktualizację, aby uzyskać płynne doświadczenie pojedynczego logowania z klientami Microsoft 365.
Jak włączyć Single Sign-On lub SSO?
Oto, co powinieneś zrobić, aby włączyć Microsoft SSO.
- Odwiedź Azure Active Directory Admin Center i zaloguj się jedną z ról wymienionych w wymaganiach wstępnych.
- Wybierz opcję Enterprise Application > All Application. Natkniesz się na listę aplikacji w swoim lokatorze Azure AD. Wybierz tę, której chcesz użyć.
- Przejdź do sekcji Zarządzanie > Pojedyncze logowanie.
- Otwórz okienko SSO do edycji.
- Wybierz SAML, aby otworzyć stronę konfiguracji SSO. Po zakończeniu konfiguracji możesz zalogować się do aplikacji, używając nazwy użytkownika i hasła z lokatora Azure AD.
- Kroki w konfiguracji Microsoft SSO różnią się w zależności od aplikacji. Możesz użyć przewodnika konfiguracji, aby skonfigurować aplikacje przedsiębiorstwa w galerii.
- W sekcji Set up Azure AD SAML Toolkit 1 zapisz wartości właściwości Login URL, Azure AD Identifier i Logout URL, które będą używane później.
Jak skonfigurować Single Sign-On w lokatorze?
Aby rozpocząć konfigurację SSO z Azure AD, należy się zalogować i dodać wartości URL odpowiedzi, a następnie pobrać certyfikat. Poniżej przedstawiamy kolejne kroki:
- Przejdź do portalu Azure i wybierz Edit w Podstawowa konfiguracja SAML na stronie Skonfiguruj pojedyncze logowanie panelu.
- Dla. Reply URL (Assertion Consumer Service URL), wpisz .
- Dla Sign-on URL wpisz https://samltoolkit.azurewebsites.net/.
- Wybierz opcję Zapisz.
- W Certyfikaty SAML wybierz Download for Certificate (Raw) aby pobrać certyfikat podpisywania SAML i zapisać go do przyszłego użytku.
Jak skonfigurować Single Sign-On w aplikacji?
Musisz zarejestrować swoje konto użytkownika w aplikacji i dodać wcześniej zarejestrowane wartości konfiguracji SAML.
Oto jak można zarejestrować konto użytkownika.
- W nowym oknie przeglądarki przejdź do adresu URL logowania do aplikacji.
- Wybierz Zarejestruj w prawym górnym rogu strony.
- Dodaj adres e-mail użytkownika uzyskującego dostęp do aplikacji. Użytkownik musi być już przypisany do aplikacji.
- Wprowadź swoje hasło w celu potwierdzenia.
- Kliknij na Zarejestruj się.
Jak skonfigurować ustawienia SAML?
W tym celu należy użyć wcześniej zarejestrowanych wartości dla SP Initiated Login URL i Assertion Consumer Service (ACS) URL.
Wykonaj poniższe kroki, aby zaktualizować wartości SSO.
- Przejdź do portalu Azure i wybierz Edit w Podstawowa konfiguracja SAML w sekcji Set up single sign-on.
- Dla. Reply URL (Assertion Consumer Service URL), wpisz Assertion Consumer Service (ACS) URL który został wcześniej zarejestrowany.
- Dla URL logowaniawprowadź adres SP Initiated Login URL zarejestrowaną wcześniej wartość.
- Kliknij na Zapisz.
Test Single Sign-On
Po zakończeniu konfiguracji Microsoft SSO przetestuj ją, wykonując poniższe kroki.
- W Przetestuj pojedyncze logowanie za pomocą Azure AD SAML Toolkit 1 należy wybrać Testuj na stronie Skonfiguruj jednokrotne logowanie za pomocą SAML panel.
- Zaloguj się do aplikacji używając poświadczeń Azure AD konta użytkownika, które przypisałeś.
Powiązane artykuły
- Czym jest DMARC SSO?
- Podręcznik użytkownika funkcji SAML / SSO
- DMARC office 365 Przewodnik
- Certyfikaty Common Mark (CMC) na potrzeby wdrożenia Google BIMI - 25 września 2024 r.
- Przewodnik po konfiguracji BIMI dla Zoho Mail - Uzyskiwanie niebieskiego zweryfikowanego znacznika wyboru - 6 września 2024 r.
- Konfigurowanie rekordów SPF dla Gmaila i Google Workspace - 29 sierpnia 2024 r.