如何用Microsoft Azure Active Directory配置单点登录(SSO)?

博客

微软SSO是一个用户认证过程,允许你使用一个账户操作多个应用程序。

作者:Yunes Tarada

阅读时间 5 分钟
如何用Microsoft Azure Active Directory配置单点登录(SSO)?
目录-

微软SSO是一个用户认证过程,通过允许你使用一个账户操作多个应用程序,帮助你节省大量的时间和精力。你只需点击一下,就可以签出所有的账户。 

本博客将讨论如何配置SSO Azure AD。读到最后,不要错过任何东西。

主要收获

  1. Microsoft SSO 允许用户通过一个账户管理多个应用程序,简化了登录过程。
  2. 确保满足先决条件,如使用受支持的 Azure AD Connect 版本和正确的防火墙设置。
  3. Microsoft 365 服务应默认激活现代身份验证,以实现无缝的用户体验。
  4. 单点登录的配置步骤可能因应用程序而异,因此在设置时请参考具体指南。
  5. 测试 SSO 配置对于确认用户能否使用 Azure AD 凭据成功登录至关重要。

先决条件

在你开始SSO微软的配置过程之前,你需要确保 配置过程之前,你需要确保以下几点。

  • 设置你的Azure AD连接服务器

作为一个直通式认证的用户,你不需要任何前提条件的检查。但如果你使用密码散列同步作为签到方法,请确保。

  • 你使用的是1.1.644.0或更高版本的Azure AD Connect。
  • 如果您的防火墙或代理允许,请将*.msappproxy.net URLs通过443端口的连接列入允许列表。如果你需要一个特定的URL而不是通配符来进行代理配置,你需要重置tenantid.registration.msappproxy.net,其中tenant ID是你配置该功能的租户的GUID。但是,如果这不可能,你需要允许访问Azure数据中心的IP范围。这些都是每周更新一次的。只有在启用了该功能的情况下,你才需要确保这个前提条件;实际的用户没有义务为签到做这件事。

  • 使用支持的Azure AD连接拓扑结构

确保你使用的是Azure AD Connect支持的拓扑结构之一。

  • 企业内部的活动目录森林
  • 企业内部的活动目录与过滤后的导入
  • Azure AD Connect同步服务器
  • Azure AD Connect同步服务器 "暂存模式"
  • GALSync与Forefront Identity Manager(FIM)2010或Microsoft Identity Manager(MIM)2016的合作
  • Azure AD Connect同步服务器,详细
  • Azure AD
  • 不支持的情况

  • 设置域管理员凭证

确保每个活动目录森林都有以下域管理员凭证:。

  • 你通过SSO Azure AD Connect同步到Azure AD。
  • 包含你想启用的无缝SSO的用户。

  • 激活现代认证

对于微软365服务,现代认证的默认状态是。

  • 默认情况下,Exchange Online已激活。请参阅在Exchange Online中启用或禁用现代认证来关闭或打开它。
  • 为SharePoint Online默认打开。
  • 默认情况下打开了Skype for Business Online。请参阅 "启用Skype for Business Online现代认证 "来关闭或打开它。

  • 使用最新版本的Microsoft 365客户端

将其设置为自动更新,以获得与微软365客户端的顺利单点登录体验。

使用 PowerDMARC 简化单点登录!

开始15天试用 预定演示

如何启用单点登录或SSO?

以下是你应该做的,以启用微软的SSO。

  1. 访问Azure活动目录管理中心,用先决条件中所列的一个角色登录。
  2. 选择企业应用 > 所有应用。你会看到Azure AD租户中的应用程序列表。选择你想使用的那个。
  3. 转到管理部分>单点登录。 
  4. 打开SSO窗格进行编辑。
  5. 选择SAML来打开SSO配置页面。配置完成后,你可以使用Azure AD租户的用户名和密码登录到应用程序。 
  6. 微软SSO配置的步骤因应用程序而异。你可以使用配置指南来配置库中的企业应用程序。
  7. 在设置Azure AD SAML Toolkit 1部分,记录Login URL、Azure AD Identifier和Logout URL属性的值,以便以后使用。

如何在租户中配置单点登录?

要开始用Azure AD配置SSO,你必须登录并添加回复URL值,然后下载一个证书。下面是接下来的步骤。

  1. 进入Azure门户,并选择 编辑中的 基本SAML配置中的 "编辑"。 设置单点登录 窗格中编辑。
  2. 对于 回复URL(断言消费者服务URL),输入 .
  3. 对于登录的URL,请输入https://samltoolkit.azurewebsites.net/。
  4. 选择 "保存"。
  5. SAML证书部分,选择 下载证书(原始)。来下载SAML签名证书并保存起来供将来使用。

如何在应用程序中配置单点登录?

你必须在应用程序中注册你的用户账户,并添加以前注册的SAML配置值。

以下是你如何注册用户账户的方法。

  1. 在一个新的浏览器窗口中,转到应用程序的登录URL。
  2. 选择 注册在页面的右上角选择注册。
  3. 添加访问该应用程序的用户的电子邮件地址。该用户必须已经被分配到该应用程序。
  4. 输入你的密码进行确认。
  5. 点击 注册.

如何配置SAML设置?

为此,你必须使用先前注册的SP启动登录URL和断言消费者服务(ACS)URL的值。

按照这些步骤来更新SSO值。

  1. 进入Azure门户,并选择 编辑中的 基本SAML配置中的 "基本SAML配置 "部分。
  2. 对于 回复URL(断言消费者服务URL),请输入 断言消费者服务(ACS)URL值。
  3. 对于 登录网址,请输入 SP发起的登录URL 值。
  4. 点击 保存.

测试单点登录

一旦你完成了对微软SSO的配置,请按照以下步骤进行测试。

  1. 用Azure AD SAML工具箱1测试单点登录部分,选择 测试上的 用SAML设置单点登录窗格中选择测试。
  2. 使用你指定的用户账户的Azure AD凭证登录到应用程序。
  1. 什么是 DMARC SSO?
  2. SAML/SSO功能用户指南
  3. DMARC office 365指南

Yunes Tarada 的最新帖子(查看全部)
哪些参数应与DMARC相关联?哪些参数应与DMARC相关联 1了解DMARC分析,提高邮件安全性 1了解DMARC分析,提高邮件安全性