Microsoft SSO - это процесс аутентификации пользователей, который помогает вам сэкономить много времени и усилий, позволяя работать с несколькими приложениями с помощью одной учетной записи. Вы можете выйти из всех учетных записей одним щелчком мыши.
В этом блоге мы рассмотрим, как настроить SSO Azure AD. Дочитайте до конца, чтобы ничего не упустить.
Пререквизиты
Прежде чем приступить к SSO Microsoft прежде чем приступить к процессу настройки SSO Microsoft, необходимо убедиться в следующем:
-
Настройка сервера Azure AD Connect
Как пользователю сквозной аутентификации, вам не нужны никакие предварительные проверки. Но если вы используете синхронизацию хэша пароля в качестве метода входа в систему, убедитесь, что:
- Вы используете версию 1.1.644.0 или более позднюю версию Azure AD Connect.
- Если ваш брандмауэр или прокси разрешает, внесите соединения в список разрешенных для *.msappproxy.net URLs через порт 443. В случае, если вам нужен конкретный URL вместо подстановочного знака для настройки прокси, вам нужно сбросить tenantid.registration.msappproxy.net, где tenant ID - это GUID арендатора, на котором вы настраиваете функцию. Однако, если это невозможно, вам нужно разрешить доступ к диапазонам IP-адресов центра обработки данных Azure. Они обновляются раз в неделю. Вам нужно обеспечить это предварительное условие, только если вы включили функцию; фактические пользователи не обязаны делать это для входа в систему.
-
Используйте поддерживаемую топологию Azure AD Connect
Убедитесь, что вы используете одну из поддерживаемых топологий Azure AD Connect:
- Местный лес Active Directory
- Местная Active Directory с фильтрованным импортом
- Сервер синхронизации Azure AD Connect
- Сервер синхронизации Azure AD Connect в "режиме постановки"
- GALSync с Forefront Identity Manager (FIM) 2010 или Microsoft Identity Manager (MIM) 2016
- Сервер синхронизации Azure AD Connect, подробная информация
- Azure AD
- Неподдерживаемый сценарий
-
Настройка учетных данных администратора домена
Обеспечьте следующие учетные данные администратора домена для каждого леса Active Directory:
- Вы синхронизируетесь с Azure AD через SSO Azure AD Connect.
- Содержит пользователей, которых вы хотите включить для бесшовного SSO.
-
Активируйте современную аутентификацию
Для служб Microsoft 365 по умолчанию используется состояние современной аутентификации:
- Активирована для Exchange Online по умолчанию. См. раздел Включение или отключение современной аутентификации в Exchange Online, чтобы выключить или включить ее.
- По умолчанию включена для SharePoint Online.
- По умолчанию включена в Skype for Business Online. Чтобы отключить или включить эту функцию, см. раздел Включить Skype for Business Online для современной аутентификации.
-
Используйте последние версии клиентов Microsoft 365
Установите его на автообновление, чтобы обеспечить бесперебойную работу единого входа в систему с клиентами Microsoft 365.
Как включить единый вход или SSO?
Вот что нужно сделать, чтобы включить Microsoft SSO.
- Посетите Azure Active Directory Admin Center и войдите в систему с одной из ролей, перечисленных в предварительных требованиях.
- Выберите Enterprise Application > All Application. Перед вами появится список приложений в вашем арендаторе Azure AD. Выберите то, которое вы хотите использовать.
- Перейдите в раздел "Управление" > "Единая регистрация".
- Откройте панель SSO для редактирования.
- Выберите SAML, чтобы открыть страницу конфигурации SSO. После завершения настройки вы сможете войти в приложение, используя имя пользователя и пароль из арендатора Azure AD.
- Этапы настройки Microsoft SSO зависят от конкретного приложения. Вы можете использовать руководство по конфигурации для настройки корпоративных приложений в галерее.
- В разделе Настройка Azure AD SAML Toolkit 1 запишите значения свойств Login URL, Azure AD Identifier и Logout URL, которые будут использоваться позже.
Как настроить единый вход в систему в арендаторе?
Чтобы начать настройку SSO с Azure AD, необходимо войти в систему и добавить значения URL-адреса ответа, а затем загрузить сертификат. Вот следующие шаги:
- Перейдите на портал Azure и выберите Редактировать в Базовая конфигурация SAML на Настроить единую регистрацию панель.
- Для URL ответа (URL службы потребителей утверждений), введите .
- Для URL входа в систему введите https://samltoolkit.azurewebsites.net/.
- Выберите Сохранить.
- В Сертификаты SAML выберите Загрузить сертификат (сырой) чтобы загрузить сертификат подписи SAML и сохранить его для дальнейшего использования.
Как настроить единый вход в приложение?
Вы должны зарегистрировать свою учетную запись пользователя в приложении и добавить ранее зарегистрированные значения конфигурации SAML.
Вот как можно зарегистрировать учетную запись пользователя.
- В новом окне браузера перейдите на URL-адрес входа в приложение.
- Выберите Зарегистрировать в правом верхнем углу страницы.
- Добавьте адрес электронной почты пользователя, получающего доступ к приложению. Пользователь должен быть уже назначен на приложение.
- Введите пароль для подтверждения.
- Нажмите на кнопку Зарегистрировать.
Как настроить параметры SAML?
Для этого необходимо использовать ранее зарегистрированные значения для SP Initiated Login URL и Assertion Consumer Service (ACS) URL.
Выполните следующие шаги, чтобы обновить значения SSO.
- Перейдите на портал Azure и выберите Редактировать в Базовая конфигурация SAML в разделе Настройка единой регистрации.
- Для URL ответа (URL службы потребителей утверждений), введите Assertion Consumer Service (ACS) URL значение, которое вы записали ранее.
- Для URL для входа в системувведите SP Initiated Login URL значение, зарегистрированное ранее.
- Нажмите на кнопку Сохранить.
Тестирование единого входа
После завершения настройки Microsoft SSO протестируйте его, выполнив следующие шаги.
- В Тест единой регистрации с помощью Azure AD SAML Toolkit 1 выберите Тест на Настроить единый вход с помощью SAML панель.
- Войдите в приложение, используя учетные данные Azure AD назначенной вами учетной записи пользователя.
Похожие статьи
- Что такое DMARC SSO?
- Руководство пользователя функции SAML / SSO
- Руководство по DMARC office 365
- Yahoo Japan вводит DMARC для пользователей в 2025 году - 17 января 2025 г.
- Ботнет MikroTik использует неправильную конфигурацию SPF для распространения вредоносного ПО - 17 января 2025 г.
- Неаутентифицированная почта DMARC запрещена [Решено] - 14 января 2025 г.