Dela via

Konfigurera enkel inloggning med OIDC för galleriprogram och anpassade program

Den här artikeln visar hur du konfigurerar enkel inloggning med OpenID Connect (OIDC) i Microsoft Entra-ID för både galleriprogram och anpassade program (icke-galleriprogram). Med enkel inloggning med OIDC kan användarna logga in på program med sina Microsoft Entra-autentiseringsuppgifter, vilket ger en sömlös autentiseringsupplevelse.

OIDC är ett autentiseringsprotokoll som bygger på OAuth 2.0 som möjliggör säker användarautentisering och enkel inloggning. Detaljerad information om OIDC-protokollet finns i OIDC-autentisering med Microsofts identitetsplattform.

Vi rekommenderar att du använder en icke-produktionsmiljö för att testa stegen i den här artikeln.

Innan du konfigurerar OIDC SSO är det bra att förstå följande grundläggande begrepp:

  • Appregistreringar jämfört med företagsprogram: Appregistreringar definierar programmets identitet och konfiguration, medan företagsprogram representerar instanser av dessa appar i din klientorganisation. Mer information finns i Program- och tjänsthuvudnamnsobjekt i Microsoft Entra-ID.
  • Behörigheter och medgivande: Program begär behörigheter för åtkomst till resurser och användare eller administratörer beviljar medgivande. Mer information om ramverket för medgivande finns i Behörigheter och medgivande på Microsofts identitetsplattform.
  • Program för flera klientorganisationer: Program som kan användas av flera organisationer. Vägledning om flera innehavare finns i Så här gör du: Konvertera din app till multitenant.
  • Autentiseringsflöden: Olika metoder för att autentisera användare, till exempel auktoriseringskodflödet med PKCE för ensidesprogram. Mer information finns i autentiseringsflöden för Microsofts identitetsplattform.
  • Enkel inloggning med OIDC: En metod för enkel inloggning som använder OIDC-protokollet för att autentisera användare mellan program. Det gör att användare kan logga in en gång och få åtkomst till flera program utan att behöva ange autentiseringsuppgifterna igen.

Förutsättningar

För att konfigurera OIDC-baserad enkel inloggning behöver du:

  • Ett Microsoft Entra-användarkonto. Om du inte redan har ett kan du skapa ett konto kostnadsfritt.
  • En av följande roller:
    • Molnprogramadministratör
    • Programadministratör
    • Ägare av tjänstehuvudkonto
  • För anpassade program: Information om ditt program, inklusive dess omdirigerings-URI:er och autentiseringskrav

Galleriprogram i Microsoft Entra-ID är förkonfigurerade med OIDC-stöd, vilket gör installationen enkel genom en medgivandebaserad process.

När du lägger till ett företagsprogram som använder OIDC-standarden för enkel inloggning väljer du knappen Registrera dig. Knappen finns till höger när du väljer appen från appgalleriet. När du väljer knappen slutför du registreringsprocessen för programmet.

Så här konfigurerar du OIDC-baserad enkel inloggning för ett galleriprogram:

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Entra ID>Enterprise-appar>Alla program.

  3. I fönstret Alla program väljer du Nytt program.

  4. Fönstret Bläddra i Microsoft Entra-galleriet öppnas. I det här exemplet använder vi SmartSheet.

  5. Välj Registrera dig för SmartSheet. Logga in med autentiseringsuppgifterna för användarkontot från Microsoft Entra ID. Om du redan har en prenumeration på programmet verifieras användarinformation och klientinformation. Om programmet inte kan verifiera användaren omdirigeras du till att registrera dig för programtjänsten.

    Färdigställ samtyckesskärmen för en applikation.

    När du har angett inloggningsuppgifterna visas medgivandeskärmen. Medgivandeskärmen innehåller information om programmet och de behörigheter som krävs.

  6. Välj Medgivande för din organisations räkning och välj sedan Acceptera. Programmet läggs till i din klientorganisation och programmets startsida visas.

Kontakta programleverantören om du vill veta mer om eventuella ytterligare konfigurationssteg som krävs för programmet.

Anmärkning

Du kan bara lägga till en instans av ett galleriprogram. När du har lagt till en applikation och försöker ge medgivande igen kan du inte lägga till den igen i klienten.

Mer information om användar- och administratörsmedgivande finns i Förstå användar- och administratörsmedgivande. Omfattande information om ramverket för medgivande finns i Behörigheter och medgivande på Microsofts identitetsplattform.

För program som inte är tillgängliga i Microsoft Entra-galleriet måste du registrera och konfigurera programmet manuellt. Det här avsnittet innehåller stegvisa riktlinjer för hur du konfigurerar enkel inloggning med OIDC med ett anpassat program.

Steg 1: Registrera din app

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Entra ID>Appregistreringar>Ny registrering.
  3. Ange ett namn för ditt program (till exempel "Min anpassade webbapp").
  4. Under Kontotyper som stöds väljer du lämpligt alternativ:
    • Konton i den här organisationskatalogen endast för program med en enda klientorganisation
    • Konton i vilket organisationsregister som helst för mer information om multitenantprogram, se multitenantprogram
    • Konton i en organisationskatalog och personliga Microsoft-konton om du vill ha stöd för både arbets-/skolkonton och personliga konton
  5. För Omdirigerings-URI väljer du plattformstyp och anger programmets omdirigerings-URI:
    • Webb: För webbprogram på serversidan (till exempel https://yourdomain.com/auth/callback)
    • Ensidesprogram (SPA): För program på klientsidan som använder moderna autentiseringsflöden (till exempel https://yourdomain.com eller http://localhost:3000 för utveckling)
    • Offentlig klient/nativ: För mobil- och skrivbordsprogram
  6. Välj Registrera.

Steg 2: Konfigurera autentiseringsinställningar

  1. I din appregistrering går du till Autentisering.

  2. Kontrollera att omdirigerings-URI:erna är korrekt konfigurerade för din plattformstyp.

  3. Konfigurera autentiseringsflöden (viktigt för säkerheten):

    För Single-Page applikationer (SPA:er):

    • Se till att dina omdirigerings-URI:er är angivna under plattformen för enkeltsidiga applikationer. Det här alternativet konfigurerar automatiskt flödet för säker auktoriseringskod med PKCE, vilket är den rekommenderade metoden för SPA:erna
    • Aktivera INTE alternativet implicit godkännande om det inte behövs för äldre applikationer

    För webbprogram:

    • Se till att dina omdirigerings-URI:er visas under webbplattformen . Det här alternativet konfigurerar standardflödet för auktoriseringskod.

    Varning

    Det implicita beviljandeflödet rekommenderas inte för nya program på grund av säkerhetsproblem, inklusive tokenläckage i webbläsarhistoriken. Microsoft rekommenderar starkt att du använder auktoriseringskodflödet med PKCE för ensidesprogram i stället. Aktivera endast dessa alternativ om du har ett äldre program som inte kan uppdateras för att stödja säkrare flöden och du förstår de associerade säkerhetsriskerna.

    Mer information om autentiseringsflöden finns i autentiseringsflöden för Microsofts identitetsplattform.

Steg 3: Konfigurera klientautentiseringsuppgifter (för webbprogram)

Om ditt program är en konfidentiell klient (webbprogram på serversidan som kan lagra hemligheter på ett säkert sätt):

  1. Gå till Certifikat och hemligheter.
  2. Välj Ny klienthemlighet.
  3. Lägg till en beskrivning och välj en förfalloperiod.
  4. Välj Lägg till och kopiera det hemliga värdet omedelbart (det kan inte visas igen).
  5. Lagra klienthemligheten på ett säkert sätt i programkonfigurationen.

Tips/Råd

För produktionsprogram bör du överväga att använda certifikat i stället för klienthemligheter för ökad säkerhet. Se Certifikatautentiseringsuppgifter.

Steg 4: Konfigurera API-behörigheter

  1. Gå till API-behörigheter.
  2. Behörigheten User.Read för Microsoft Graph läggs till som standard.
  3. För OIDC-autentisering behöver du vanligtvis dessa delegerade behörigheter:
    • openid: Krävs för OIDC-autentisering
    • profil: För att komma åt användarens profilinformation
    • e-post: För att få åtkomst till användarens e-postadress
  4. Så här lägger du till fler behörigheter:
    • Välj Lägg till en behörighet
    • Välj Microsoft Graph
    • Välj Delegerade behörigheter
    • Sök efter och välj de behörigheter som krävs (till exempel openid, profil, e-post)
    • Välj Lägg till behörigheter
  5. Om ditt program kräver behörigheter som behöver administratörsmedgivande väljer du Bevilja administratörsmedgivande för [din klient].

En introduktion till behörigheter och medgivande finns i Behörigheter och medgivande på Microsofts identitetsplattform.

Steg 5: Konfigurera valfria anspråk (om det behövs)

  1. Gå till Tokenkonfiguration.
  2. Välj Lägg till valfritt anspråk.
  3. Välj de valfria anspråk som du vill lägga till (till exempel email, given_name, family_name).
  4. Välj Lägg till för att tillämpa ändringarna.

Steg 6: Samla in programinformation

Efter registreringen och konfigurationen samlar du in följande information som behövs för ditt program:

  1. På sidan Översikt noterar du:
    • Program-ID (klient) : Appens unika identifierare
    • Katalog-ID (hyresgäst): Din hyresgästs unika identifierare
  2. Välj Slutpunkter för att visa OIDC-metadata och slutpunkter:
    • OIDC-metadatadokument: https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid_configuration
    • Auktoriseringsslutpunkt: För att initiera inloggningsflöden
    • Tokenslutpunkt: För utbyte av auktoriseringskoder för token
    • JWKS-URI: För validering av tokensignatur

Den här informationen används i programmets OIDC-bibliotekskonfiguration.

Steg 7: Konfigurera programkoden

Använd den insamlade informationen för att konfigurera programmets OIDC-bibliotek med:

  • Klient-ID: Program-ID (klient)-ID från steg 5
  • Klienthemlighet: Om tillämpligt (för webbprogram)
  • Omdirigerings-URI: Samma URI som konfigurerades i steg 1
  • Myndighet/utfärdare: https://login.microsoftonline.com/{tenant}/v2.0/ (ersätt {tenant} med ditt klientorganisations-ID)
  • Omfång: Vanligtvis openid profile email för grundläggande OIDC-autentisering

Specifik implementeringsvägledning finns i Auktoriseringskodflöde med PKCE för webbprogram.

Steg 8: Testa OIDC SSO-konfigurationen

  1. Använda ett onlineverktyg: Du kan testa det grundläggande autentiseringsflödet med hjälp av https://jwt.ms:

    • Skapa en inloggnings-URL: https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?client_id={client_id}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&nonce={random_value}
    • Ersätt {tenant} och {client_id} med dina värden
    • Gå till den här URL:en i en webbläsare för att testa autentiseringsflödet

  2. I ditt program: Integrera OIDC-biblioteket i ditt program och testa den fullständiga inloggningsupplevelsen.

  3. Tilldela användare: Navigera till Företagsprogram, hitta din app och tilldela användare eller grupper under Användare och grupper.

Överväganden för flera klientappar

Om ditt program behöver stöd för användare från flera organisationer:

  • Konfigurera appregistreringen med Konton i valfri organisationskatalog
  • Använd den vanliga slutpunkten: https://login.microsoftonline.com/common/
  • Implementera korrekt klientvalidering i programlogik

Detaljerad vägledning finns i How to: Convert your app to be multitenant (Konvertera din app till multitenant).

Felsökning av vanliga problem

  • Ogiltig omdirigerings-URI: Kontrollera att omdirigerings-URI:n i appregistreringen exakt matchar vad programmet skickar
  • Problem med medgivande: Kontrollera om administratörsmedgivande krävs för de begärda behörigheterna
  • Valideringsfel för token: Kontrollera att du använder rätt JWKS-URI och verifierar tokensignaturen
  • Problem med flera hyresgäster: Kontrollera att du använder rätt slutpunkt (gemensam jämfört med klientspecifik)

Omfattande felsökningsvägledning finns i Felkoder för Microsofts identitetsplattform.

Relaterat innehåll