如何用Microsoft Azure Active Directory配置单点登录（SSO）？

微软SSO是一个用户认证过程，通过允许你使用一个账户操作多个应用程序，帮助你节省大量的时间和精力。你只需点击一下，就可以签出所有的账户。 

本博客将讨论如何配置SSO Azure AD。读到最后，不要错过任何东西。

先决条件

在你开始SSO微软的配置过程之前，你需要确保 配置过程之前，你需要确保以下几点。

• 设置你的Azure AD连接服务器

作为一个直通式认证的用户，你不需要任何前提条件的检查。但如果你使用密码散列同步作为签到方法，请确保。

• 你使用的是1.1.644.0或更高版本的Azure AD Connect。
• 如果您的防火墙或代理允许，请将*.msappproxy.net URLs通过443端口的连接列入允许列表。如果你需要一个特定的URL而不是通配符来进行代理配置，你需要重置tenantid.registration.msappproxy.net，其中tenant ID是你配置该功能的租户的GUID。但是，如果这不可能，你需要允许访问Azure数据中心的IP范围。这些都是每周更新一次的。只有在启用了该功能的情况下，你才需要确保这个前提条件；实际的用户没有义务为签到做这件事。

• 使用支持的Azure AD连接拓扑结构

确保你使用的是Azure AD Connect支持的拓扑结构之一。

• 企业内部的活动目录森林
• 企业内部的活动目录与过滤后的导入
• Azure AD Connect同步服务器
• Azure AD Connect同步服务器 "暂存模式"
• GALSync与Forefront Identity Manager（FIM）2010或Microsoft Identity Manager（MIM）2016的合作
• Azure AD Connect同步服务器，详细
• Azure AD
• 不支持的情况

• 设置域管理员凭证

确保每个活动目录森林都有以下域管理员凭证：。

• 你通过SSO Azure AD Connect同步到Azure AD。
• 包含你想启用的无缝SSO的用户。

• 激活现代认证

对于微软365服务，现代认证的默认状态是。

• 默认情况下，Exchange Online已激活。请参阅在Exchange Online中启用或禁用现代认证来关闭或打开它。
• 为SharePoint Online默认打开。
• 默认情况下打开了Skype for Business Online。请参阅 "启用Skype for Business Online现代认证 "来关闭或打开它。

• 使用最新版本的Microsoft 365客户端

将其设置为自动更新，以获得与微软365客户端的顺利单点登录体验。

如何启用单点登录或SSO？

以下是你应该做的，以启用微软的SSO。

1. 访问Azure活动目录管理中心，用先决条件中所列的一个角色登录。
2. 选择企业应用 > 所有应用。你会看到Azure AD租户中的应用程序列表。选择你想使用的那个。
3. 转到管理部分>单点登录。 
4. 打开SSO窗格进行编辑。
5. 选择SAML来打开SSO配置页面。配置完成后，你可以使用Azure AD租户的用户名和密码登录到应用程序。 
6. 微软SSO配置的步骤因应用程序而异。你可以使用配置指南来配置库中的企业应用程序。
7. 在设置Azure AD SAML Toolkit 1部分，记录Login URL、Azure AD Identifier和Logout URL属性的值，以便以后使用。

如何在租户中配置单点登录？

要开始用Azure AD配置SSO，你必须登录并添加回复URL值，然后下载一个证书。下面是接下来的步骤。

1. 进入Azure门户，并选择 编辑中的 基本SAML配置中的 "编辑"。 设置单点登录 窗格中编辑。
2. 对于 回复URL（断言消费者服务URL），输入 .
3. 对于登录的URL，请输入https://samltoolkit.azurewebsites.net/。
4. 选择 "保存"。
5. 在 SAML证书部分，选择 下载证书（原始）。来下载SAML签名证书并保存起来供将来使用。

如何在应用程序中配置单点登录？

你必须在应用程序中注册你的用户账户，并添加以前注册的SAML配置值。

以下是你如何注册用户账户的方法。

1. 在一个新的浏览器窗口中，转到应用程序的登录URL。
2. 选择 注册在页面的右上角选择注册。
3. 添加访问该应用程序的用户的电子邮件地址。该用户必须已经被分配到该应用程序。
4. 输入你的密码进行确认。
5. 点击 注册.

如何配置SAML设置？

为此，你必须使用先前注册的SP启动登录URL和断言消费者服务（ACS）URL的值。

按照这些步骤来更新SSO值。

1. 进入Azure门户，并选择 编辑中的 基本SAML配置中的 "基本SAML配置 "部分。
2. 对于 回复URL（断言消费者服务URL），请输入 断言消费者服务（ACS）URL值。
3. 对于 登录网址，请输入 SP发起的登录URL 值。
4. 点击 保存.

测试单点登录

一旦你完成了对微软SSO的配置，请按照以下步骤进行测试。

1. 在 用Azure AD SAML工具箱1测试单点登录部分，选择 测试上的 用SAML设置单点登录窗格中选择测试。
2. 使用你指定的用户账户的Azure AD凭证登录到应用程序。

相关文章

1. 什么是 DMARC SSO?
2. SAML/SSO功能用户指南
3. DMARC office 365指南

• 关于
• 最新文章

Yunes Tarada

Yunes 是 PowerDMARC 的运营团队负责人，拥有电子邮件验证和安全方面的专业知识。Yunes 是微软认证的 Azure 管理员助理，并获得了 CompTIA A+ 等认证。

Yunes Tarada 的最新帖子(查看全部)

• 如何在 Office 365 中设置 DMARC？分步指南- 2024 年 5 月 6 日
• SMTP 雅虎错误代码解释- 2024 年 5 月 1 日
• SPF 软失效与硬失效：有什么区别？- 2024 年 4 月 26 日