Как настроить единый вход (SSO) в Microsoft Azure Active Directory?

Microsoft SSO - это процесс аутентификации пользователей, который помогает вам сэкономить много времени и усилий, позволяя работать с несколькими приложениями с помощью одной учетной записи. Вы можете выйти из всех учетных записей одним щелчком мыши. 

В этом блоге мы рассмотрим, как настроить SSO Azure AD. Дочитайте до конца, чтобы ничего не упустить.

Пререквизиты

Прежде чем приступить к SSO Microsoft прежде чем приступить к процессу настройки SSO Microsoft, необходимо убедиться в следующем:

• Настройка сервера Azure AD Connect

Как пользователю сквозной аутентификации, вам не нужны никакие предварительные проверки. Но если вы используете синхронизацию хэша пароля в качестве метода входа в систему, убедитесь, что:

• Вы используете версию 1.1.644.0 или более позднюю версию Azure AD Connect.
• Если ваш брандмауэр или прокси разрешает, внесите соединения в список разрешенных для *.msappproxy.net URLs через порт 443. В случае, если вам нужен конкретный URL вместо подстановочного знака для настройки прокси, вам нужно сбросить tenantid.registration.msappproxy.net, где tenant ID - это GUID арендатора, на котором вы настраиваете функцию. Однако, если это невозможно, вам нужно разрешить доступ к диапазонам IP-адресов центра обработки данных Azure. Они обновляются раз в неделю. Вам нужно обеспечить это предварительное условие, только если вы включили функцию; фактические пользователи не обязаны делать это для входа в систему.

• Используйте поддерживаемую топологию Azure AD Connect

Убедитесь, что вы используете одну из поддерживаемых топологий Azure AD Connect:

• Местный лес Active Directory
• Местная Active Directory с фильтрованным импортом
• Сервер синхронизации Azure AD Connect
• Сервер синхронизации Azure AD Connect в "режиме постановки"
• GALSync с Forefront Identity Manager (FIM) 2010 или Microsoft Identity Manager (MIM) 2016
• Сервер синхронизации Azure AD Connect, подробная информация
• Azure AD
• Неподдерживаемый сценарий

• Настройка учетных данных администратора домена

Обеспечьте следующие учетные данные администратора домена для каждого леса Active Directory:

• Вы синхронизируетесь с Azure AD через SSO Azure AD Connect.
• Содержит пользователей, которых вы хотите включить для бесшовного SSO.

• Активируйте современную аутентификацию

Для служб Microsoft 365 по умолчанию используется состояние современной аутентификации:

• Активирована для Exchange Online по умолчанию. См. раздел Включение или отключение современной аутентификации в Exchange Online, чтобы выключить или включить ее.
• По умолчанию включена для SharePoint Online.
• По умолчанию включена в Skype for Business Online. Чтобы отключить или включить эту функцию, см. раздел Включить Skype for Business Online для современной аутентификации.

• Используйте последние версии клиентов Microsoft 365

Установите его на автообновление, чтобы обеспечить бесперебойную работу единого входа в систему с клиентами Microsoft 365.

Как включить единый вход или SSO?

Вот что нужно сделать, чтобы включить Microsoft SSO.

1. Посетите Azure Active Directory Admin Center и войдите в систему с одной из ролей, перечисленных в предварительных требованиях.
2. Выберите Enterprise Application > All Application. Перед вами появится список приложений в вашем арендаторе Azure AD. Выберите то, которое вы хотите использовать.
3. Перейдите в раздел "Управление" > "Единая регистрация". 
4. Откройте панель SSO для редактирования.
5. Выберите SAML, чтобы открыть страницу конфигурации SSO. После завершения настройки вы сможете войти в приложение, используя имя пользователя и пароль из арендатора Azure AD. 
6. Этапы настройки Microsoft SSO зависят от конкретного приложения. Вы можете использовать руководство по конфигурации для настройки корпоративных приложений в галерее.
7. В разделе Настройка Azure AD SAML Toolkit 1 запишите значения свойств Login URL, Azure AD Identifier и Logout URL, которые будут использоваться позже.

Как настроить единый вход в систему в арендаторе?

Чтобы начать настройку SSO с Azure AD, необходимо войти в систему и добавить значения URL-адреса ответа, а затем загрузить сертификат. Вот следующие шаги:

1. Перейдите на портал Azure и выберите Редактировать в Базовая конфигурация SAML на Настроить единую регистрацию панель.
2. Для URL ответа (URL службы потребителей утверждений), введите .
3. Для URL входа в систему введите https://samltoolkit.azurewebsites.net/.
4. Выберите Сохранить.
5. В Сертификаты SAML выберите Загрузить сертификат (сырой) чтобы загрузить сертификат подписи SAML и сохранить его для дальнейшего использования.

Как настроить единый вход в приложение?

Вы должны зарегистрировать свою учетную запись пользователя в приложении и добавить ранее зарегистрированные значения конфигурации SAML.

Вот как можно зарегистрировать учетную запись пользователя.

1. В новом окне браузера перейдите на URL-адрес входа в приложение.
2. Выберите Зарегистрировать в правом верхнем углу страницы.
3. Добавьте адрес электронной почты пользователя, получающего доступ к приложению. Пользователь должен быть уже назначен на приложение.
4. Введите пароль для подтверждения.
5. Нажмите на кнопку Зарегистрировать.

Как настроить параметры SAML?

Для этого необходимо использовать ранее зарегистрированные значения для SP Initiated Login URL и Assertion Consumer Service (ACS) URL.

Выполните следующие шаги, чтобы обновить значения SSO.

1. Перейдите на портал Azure и выберите Редактировать в Базовая конфигурация SAML в разделе Настройка единой регистрации.
2. Для URL ответа (URL службы потребителей утверждений), введите Assertion Consumer Service (ACS) URL значение, которое вы записали ранее.
3. Для URL для входа в системувведите SP Initiated Login URL значение, зарегистрированное ранее.
4. Нажмите на кнопку Сохранить.

Тестирование единого входа

После завершения настройки Microsoft SSO протестируйте его, выполнив следующие шаги.

1. В Тест единой регистрации с помощью Azure AD SAML Toolkit 1 выберите Тест на Настроить единый вход с помощью SAML панель.
2. Войдите в приложение, используя учетные данные Azure AD назначенной вами учетной записи пользователя.

Похожие статьи

1. Что такое DMARC SSO?
2. Руководство пользователя функции SAML / SSO
3. Руководство по DMARC office 365

• О сайте
• Последние сообщения

Юнес Тарада

Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.

Последние сообщения Юнеса Тарады (см. все)

• SPF Softfail и Hardfail: В чем разница? - 26 апреля 2024 г.
• ФТК сообщает, что электронная почта является популярным средством мошенничества, выдающего себя за человека - 16 апреля 2024 г.
• SubdoMailing и рост фишинга на субдоменах - 18 марта 2024 г.