Delen via

SSO voor OIDC configureren voor applicatiegalerij en aangepaste applicaties

In dit artikel leest u hoe u Eenmalige aanmelding (SSO) van OpenID Connect (OIDC) configureert in Microsoft Entra ID voor zowel galerietoepassingen als aangepaste (niet-galerie)toepassingen. Met OIDC SSO kunnen uw gebruikers zich aanmelden bij toepassingen met hun Microsoft Entra-referenties, waardoor ze een naadloze verificatie-ervaring ervaren.

OIDC is een verificatieprotocol dat is gebouwd boven op OAuth 2.0 waarmee beveiligde gebruikersverificatie en eenmalige aanmelding mogelijk is. Zie OIDC-verificatie met het Microsoft Identity Platform voor gedetailleerde informatie over het OIDC-protocol.

U wordt aangeraden een niet-productieomgeving te gebruiken om de stappen in dit artikel te testen.

Voordat u OIDC SSO configureert, is het nuttig om de volgende kernconcepten te begrijpen:

  • App-registraties versus bedrijfstoepassingen: App-registraties definiëren de identiteit en configuratie van uw toepassing, terwijl bedrijfstoepassingen exemplaren van deze apps in uw tenant vertegenwoordigen. Zie Toepassings- en service-principalobjecten in Microsoft Entra-id voor meer informatie.
  • Machtigingen en toestemming: toepassingen vragen machtigingen aan voor toegang tot resources en gebruikers of beheerders verlenen toestemming. Zie Machtigingen en toestemming in het Microsoft Identity Platform voor meer informatie over het toestemmingsframework.
  • Toepassingen met meerdere tenants: toepassingen die door meerdere organisaties kunnen worden gebruikt. Zie Hoe uw app multitenant maken voor begeleiding over meerdere tenants.
  • Verificatiestromen: verschillende methoden voor het verifiëren van gebruikers, zoals de autorisatiecodestroom met PKCE voor toepassingen met één pagina. Zie Microsoft Identity Platform-verificatiestromen voor meer informatie.
  • OIDC SSO: Een methode voor eenmalige aanmelding die gebruikmaakt van het OIDC-protocol om gebruikers in verschillende toepassingen te verifiëren. Hiermee kunnen gebruikers zich eenmaal aanmelden en toegang krijgen tot meerdere toepassingen zonder dat ze referenties opnieuw hoeven op te geven.

Vereisten

Als u eenmalige aanmelding op basis van OIDC wilt configureren, dan hebt u het volgende nodig:

  • Een Microsoft Entra-gebruikersaccount. Als u dat nog niet hebt, kunt u gratis een account maken.
  • Een van de volgende rollen:
    • Cloudtoepassingsbeheerder
    • Toepassingsbeheerder
    • Eigenaar van de serviceprincipal
  • Voor aangepaste toepassingen: details over uw toepassing, inclusief de omleidings-URI's en verificatievereisten

Galerietoepassingen in Microsoft Entra ID zijn vooraf geconfigureerd met OIDC-ondersteuning, waardoor de installatie eenvoudig verloopt via een proces op basis van toestemming.

Wanneer u een bedrijfstoepassing toevoegt die gebruikmaakt van de OIDC-standaard voor eenmalige aanmelding, selecteert u de knop Registreren . De knop bevindt zich in het rechterdeelvenster wanneer u de app selecteert in de app-galerie. Wanneer u deze knop selecteert, voltooit u het registratieproces voor de toepassing.

SSO op basis van OIDC configureren voor een galerie-applicatie:

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar Entra ID>Enterprise-apps>Alle toepassingen.

  3. Selecteer nieuwe toepassing in het deelvenster Alle toepassingen.

  4. Het deelvenster Bladeren in microsoft Entra Gallery wordt geopend. In dit voorbeeld gebruiken we SmartSheet.

  5. Selecteer Registreren voor SmartSheet. Meld u aan met de referenties van het gebruikersaccount van Microsoft Entra ID. Als u al een abonnement voor de toepassing hebt, worden gebruikersgegevens en tenant/directory-gegevens gevalideerd. Als de toepassing de gebruiker niet kan verifiëren, wordt u omgeleid om u aan te melden voor de toepassingsservice.

    Voltooi het toestemmingsscherm voor een toepassing.

    Nadat u de aanmeldingsreferenties hebt ingevoerd, wordt het toestemmingsscherm weergegeven. Het toestemmingsscherm bevat informatie over de toepassing en de benodigde machtigingen.

  6. Selecteer Toestemming namens uw organisatie en selecteer Accepteren. De toepassing wordt toegevoegd aan uw tenant en de startpagina van de toepassing wordt weergegeven.

Neem contact op met de leverancier van de toepassing voor meer informatie over eventuele aanvullende configuratiestappen die nodig zijn voor de toepassing.

Opmerking

U kunt slechts één exemplaar van een galerietoepassing toevoegen. Nadat u een toepassing hebt toegevoegd en opnieuw toestemming wilt geven, kunt u deze niet opnieuw toevoegen aan de tenant.

Zie Gebruikers- en beheerderstoestemming begrijpen voor meer informatie over toestemming van gebruikers en beheerders. Zie Machtigingen en toestemming in het Microsoft Identity Platform voor uitgebreide informatie over het toestemmingsframework.

Voor toepassingen die niet beschikbaar zijn in de Microsoft Entra-galerie, moet u de toepassing handmatig registreren en configureren. In deze sectie vindt u stapsgewijze instructies voor het instellen van OIDC SSO met een aangepaste applicatie.

Stap 1: Uw toepassing registreren

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Entra ID>App-registraties>Nieuwe registratie.
  3. Voer een naam in voor uw toepassing (bijvoorbeeld 'Mijn aangepaste web-app').
  4. Selecteer onder Ondersteunde accounttypen de juiste optie:
    • Accounts in deze organisatiemap alleen voor toepassingen met één tenant
    • Accounts in elke organisatiemap voor meer informatie over multitenant-toepassingen, zie multitenant-toepassingen
    • Accounts in een organisatiedirectory en persoonlijke Microsoft-accounts als u zowel werk-/school- als persoonlijke accounts wilt ondersteunen
  5. Voor omleidings-URI selecteert u het platformtype en voert u de omleidings-URI van uw toepassing in:
    • Web: Voor webtoepassingen aan de serverzijde (bijvoorbeeld https://yourdomain.com/auth/callback)
    • Single-page application (SPA): Voor client-side toepassingen die moderne verificatiestromen gebruiken (bijvoorbeeld https://yourdomain.com of http://localhost:3000 voor ontwikkeling)
    • Openbare client/native: voor mobiele en desktoptoepassingen
  6. Selecteer Registreren.

Stap 2: Verificatie-instellingen configureren

  1. Navigeer in de app-registratie naar Verificatie.

  2. Controleer of uw omleidings-URI's correct zijn geconfigureerd voor uw platformtype.

  3. Authenticatiestromen configureren (belangrijk voor de beveiliging):

    Voor Single-Page toepassingen (SPA's):

    • Zorg ervoor dat uw omleidings-URI's worden vermeld onder het toepassingsplatform met één pagina . Met deze optie wordt de stroom voor beveiligde autorisatiecode automatisch geconfigureerd met PKCE. Dit is de aanbevolen benadering voor SPA's
    • Schakel de impliciete toekenningsoptie NIET in, tenzij dit nodig is voor verouderde toepassingen

    Voor webtoepassingen:

    • Zorg ervoor dat uw omleidings-URI's worden vermeld onder het webplatform . Met deze optie configureert u de standaard autorisatiecode flow.

    Waarschuwing

    De impliciete toekenningsstroom wordt niet aanbevolen voor nieuwe toepassingen vanwege beveiligingsproblemen, waaronder tokenlekken in de browsergeschiedenis. Microsoft raadt ten zeerste aan om de autorisatiecodestroom met PKCE te gebruiken voor toepassingen met één pagina. Schakel deze opties alleen in als u een verouderde toepassing hebt die niet kan worden bijgewerkt ter ondersteuning van veiligere stromen en u de bijbehorende beveiligingsrisico's begrijpt.

    Voor meer informatie over authenticatiestromen, zie Microsoft Identity Platform authenticatiestromen.

Stap 3: clientreferenties configureren (voor webtoepassingen)

Als uw toepassing een vertrouwelijke client is (webtoepassing aan de serverzijde die veilig geheimen kan opslaan):

  1. Navigeer naar Certificaten en geheimen.
  2. Selecteer nieuwe clientsleutel.
  3. Voeg een beschrijving toe en selecteer een verloopperiode.
  4. Selecteer De geheime waarde direct toevoegen en kopiëren (deze kan niet opnieuw worden weergegeven).
  5. Sla het clientgeheim veilig op in de configuratie van uw toepassing.

Aanbeveling

Voor productietoepassingen kunt u overwegen om certificaten te gebruiken in plaats van clientgeheimen voor verbeterde beveiliging. Zie certificaatreferenties.

Stap 4: API-machtigingen configureren

  1. Navigeer naar API-machtigingen.
  2. De User.Read machtiging voor Microsoft Graph wordt standaard toegevoegd.
  3. Voor OIDC-verificatie hebt u doorgaans deze gedelegeerde machtigingen nodig:
    • openid: vereist voor OIDC-verificatie
    • profiel: Om toegang te krijgen tot de profielgegevens van de gebruiker
    • e-mail: Toegang krijgen tot het e-mailadres van de gebruiker
  4. Meer machtigingen toevoegen:
    • Selecteer Een machtiging toevoegen
    • Microsoft Graph kiezen
    • Gedelegeerde machtigingen selecteren
    • Zoek en selecteer de vereiste machtigingen (bijvoorbeeld openid, profiel, e-mail)
    • Selecteer Machtigingen toevoegen
  5. Als uw toepassing machtigingen vereist waarvoor beheerderstoestemming nodig is, selecteert u Beheerderstoestemming verlenen voor [uw tenant].

Zie Machtigingen en toestemming in het Microsoft Identity Platform voor een inleiding tot machtigingen en toestemming.

Stap 5: Optionele claims configureren (indien nodig)

  1. Navigeer naar tokenconfiguratie.
  2. Selecteer Optionele claim toevoegen.
  3. Kies de optionele claims die u wilt toevoegen (bijvoorbeeld email, given_name). family_name
  4. Selecteer Toevoegen om de wijzigingen toe te passen.

Stap 6: Toepassingsgegevens verzamelen

Na registratie en configuratie verzamelt u de volgende informatie die nodig is voor uw toepassing:

  1. Opmerking op de pagina Overzicht :
    • Toepassings-id (client): de unieke id van uw app
    • Directory-ID (tenant): de unieke identificatie van uw tenant
  2. Selecteer Eindpunten om de OIDC-metagegevens en -eindpunten weer te geven:
    • OIDC-metagegevensdocument: https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid_configuration
    • Autorisatie-eindpunt: voor het initiëren van aanmeldingsstromen
    • Tokeneindpunt: Voor het uitwisselen van autorisatiecodes voor tokens
    • JWKS-URI: Voor validatie van tokenhandtekening

Deze gegevens worden gebruikt in de OIDC-bibliotheekconfiguratie van uw toepassing.

Stap 7: uw toepassingscode configureren

Gebruik de verzamelde informatie om de OIDC-bibliotheek van uw toepassing te configureren met:

  • Client-id: de toepassings-id (client) uit stap 5
  • Clientgeheim: indien van toepassing (voor webtoepassingen)
  • Omleidings-URI: dezelfde URI geconfigureerd in stap 1
  • Instantie/verlener: https://login.microsoftonline.com/{tenant}/v2.0/ (vervang {tenant} door uw tenant-id)
  • Scopes: doorgaans openid profile email voor eenvoudige OIDC-authenticatie

Zie Autorisatiecodestroom met PKCE voor webtoepassingen voor specifieke implementatierichtlijnen.

Stap 8: de configuratie van uw OIDC SSO testen

  1. Met behulp van een onlinehulpprogramma: u kunt de basisverificatiestroom testen met behulp van https://jwt.ms:

    • Maak een aanmeldings-URL: https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?client_id={client_id}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&nonce={random_value}
    • Vervangen {tenant} en {client_id} door uw waarden
    • Navigeer naar deze URL in een browser om de verificatiestroom te testen

  2. Binnen uw toepassing: integreer de OIDC-bibliotheek in uw toepassing en test de volledige aanmeldingservaring.

  3. Gebruikers toewijzen: Navigeer naar Bedrijfstoepassingen, zoek uw app en wijs gebruikers of groepen toe onder Gebruikers en groepen.

Overwegingen voor meerdere tenants-apps

Als uw toepassing gebruikers van meerdere organisaties moet ondersteunen:

  • De app-registratie configureren met accounts in een organisatiemap
  • Gebruik het algemene eindpunt: https://login.microsoftonline.com/common/
  • De juiste tenantvalidatie implementeren in uw toepassingslogica

Zie Instructies voor gedetailleerde richtlijnen : Uw app converteren naar multitenant.

Veelvoorkomende problemen oplossen

  • Ongeldige omleidings-URI: zorg ervoor dat de omleidings-URI in uw app-registratie exact overeenkomt met wat uw toepassing verzendt
  • Problemen met toestemming: controleer of beheerderstoestemming is vereist voor de aangevraagde machtigingen
  • Validatiefouten voor tokens: controleer of u de juiste JWKS-URI gebruikt en de tokenhandtekening valideert
  • Problemen met meerdere tenants: zorg ervoor dat u het juiste eindpunt gebruikt (veelvoorkomend versus tenantspecifiek)

Zie Microsoft Identity Platform-foutcodes voor uitgebreide richtlijnen voor probleemoplossing.

Verwante inhoud