Dela via

Aktivera enkel inloggning för ett företagsprogram med en förlitande part STS

I den här artikeln använder du administrationscentret för Microsoft Entra för att aktivera enkel inloggning (SSO) för ett företagsprogram som är beroende av en förlitande parts säkerhetstokentjänst (STS). Den förlitande parten STS stöder SAML (Security Assertion Markup Language) och kan integreras med Microsoft Entra som ett företagsprogram. När du har konfigurerat enkel inloggning kan användarna logga in på programmet med sina Microsoft Entra-autentiseringsuppgifter.

Diagram som visar förtroenderelationen mellan ett program, en förlitande part STS och Microsoft Entra-ID som identitetsprovider.

Om din applikation integreras direkt med Microsoft Entra för enkel inloggning (SSO) och inte kräver en Security Token Service (STS) för en förlitande part, kan du läsa artikeln Aktivera enkel inloggning för ett företagsprogram.

Vi rekommenderar att du använder en icke-produktionsmiljö för att testa stegen i den här artikeln innan du konfigurerar ett program i en produktionsklientorganisation.

Prerequisites

För att konfigurera enkel inloggning behöver du:

  • En STS för förlitande parter, till exempel Active Directory Federation Services (AD FS) eller PingFederate, med HTTPS-slutpunkter
    1. Du behöver entitetsidentifieraren (entitets-ID) för den förlitande partens STS. Detta måste vara unikt för alla förlitande STS och applikationer som konfigurerats i en Microsoft Entra-hyresgäst. Det kan inte finnas två program i en enda Microsoft Entra-klientorganisation med samma entitetsidentifierare. Om Active Directory Federation Services (AD FS) till exempel är den förlitande partens STS kan identifieraren vara en URL för formuläret http://{hostname.domain}/adfs/services/trust.
    2. Du behöver också URL:en för påståendekonsumenttjänsten eller svars-URL:en för den förlitande partens STS. Den här URL:en måste vara en HTTPS URL för säker överföring av SAML-token från Microsoft Entra till den förlitande partens STS som en del av enkel inloggning till ett program. Om AD FS till exempel är den förlitande partens STS kan URL:en ha formen https://{hostname.domain}/adfs/ls/.
  • Ett program som redan har integrerats med den förlitande parten STS
  • En av följande roller i Microsoft Entra: Molnprogramadministratör, programadministratör
  • En testanvändare i Microsoft Entra som kan logga in på programmet

Note

Den här handledningen förutsätter att det finns en Microsoft Entra hyresgäst, en förlitande parts STS och ett program som är anslutet till den förlitande parts STS. Den här handledningen visar hur du konfigurerar Microsoft Entra för att använda entitetsidentifieraren som tillhandahålls av STS från den förlitande parten för att fastställa rätt företagsapplikation och skicka en SAML-token i ett svar. Om du hade fler än ett program anslutet till en enda förlitande part STS skulle Microsoft Entra inte kunna skilja mellan dessa två program när du utfärdar SAML-token. Att konfigurera olika entitetsidentifierare ligger utanför omfattningen av denna handledning.

Skapa ett program i Microsoft Entra

Skapa först ett företagsprogram i Microsoft Entra, som gör det möjligt för Microsoft Entra att generera SAML-token för den förlitande partens STS som ska tillhandahållas till programmet.

  1. Logga in på administrationscentret för Microsoft Entra som minst en molnprogramadministratör.
  2. Browse to Entra ID>Enterprise apps>All applications.
  3. Om du redan har konfigurerat ett program som representerar den förlitande parten STS anger du namnet på det befintliga programmet i sökrutan, väljer programmet från sökresultaten och fortsätter i nästa avsnitt.
  4. Select New application.
  5. Välj Skapa ett eget program.
  6. Skriv namnet på det nya programmet i rutan indatanamn, välj Integrera andra program som du inte hittar i galleriet (icke-galleri) och välj Skapa.

Konfigurera enkel inloggning i programmet

  1. In the Manage section of the left menu, select Single sign-on to open the Single sign-on pane for editing.

  2. Select SAML to open the SSO configuration page.

  3. I rutan Grundläggande SAML-konfiguration väljer du Redigera. Identifieraren och svars-URL:en måste anges innan ytterligare SAML-konfigurationsändringar kan göras. Skärmbild som visar den nödvändiga grundläggande SAML-konfigurationen för enkel inloggning för ett företagsprogram.

  4. På sidan Grundläggande SAML-konfiguration går du till Identifierare (entitets-ID) och om det inte finns någon identifierare i listan väljer du Lägg till identifierare. Ange identifieraren för programmet som tillhandahålls av den förlitande parten STS. Identifieraren kan till exempel vara en URL för formuläret http://{hostname.domain}/adfs/services/trust.

  5. På sidan Grundläggande SAML-konfiguration går du till Svars-URL (URL för konsumenttjänst för försäkran) och väljer Lägg till svars-URL. Skriv HTTPS-URL:en för den förlitande parten STS Assertion Consumer Service. URL:en kan till exempel vara i formuläret https://{hostname.domain}/adfs/ls/.

  6. Optionally, configure the sign on, relay state, or logout URLs, if required by the relying party STS.

  7. Select Save.

Ladda ned metadata och certifikat från Microsoft Entra

Din förlitande part STS kan kräva federationsmetadata från Microsoft Entra som identitetsprovider för att slutföra konfigurationen. The federation metadata and associated certificates are provided in the SAML Certificates section of the Basic SAML configuration page. For more information, see federation metadata.

Skärmbild som visar alternativen för SAML-signeringscertifikat och nedladdningsalternativ för federationsmetadata för ett företagsprogram.

  • Om din förlitande part STS kan ladda ner federationsmetadata från en Internetslutpunkt, kopierar du värdet bredvid App Federation Metadata URL.
  • If your relying party STS requires a local XML file containing the federation metadata, then select Download next to Federation Metadata XML.
  • If your relying party STS requires the certificate of the identity provider, then select Download next to either the Certificate (Base64) or Certificate (Raw).
  • If your relying party STS does not support federation metadata, then copy the Login URL and MIcrosoft Entra Identifier to configure your relying party STS. Skärmbild som visar Url och identifierare för Microsoft Entra-inloggning för ett företagsprogram.

Konfigurera anspråk som utfärdats av Microsoft Entra

Som standard ingår endast ett fåtal attribut från Microsoft Entra-användare i SAML-token som Microsoft Entra skickar till den förlitande parten STS. Du kan lägga till ytterligare anspråk som dina program kräver och ändra attributet som anges i SAML-namnidentifieraren. För mer information om standardkrav, se SAML-tokenanspråksreferens.

  1. I rutan Attribut och anspråk väljer du Redigera.
  2. Om du vill ändra vilket Entra-ID-attribut som skickas som värdet för namnidentifieraren väljer du raden Unik användaridentifierare (namn-ID). Du kan ändra källattributet till ett annat inbyggt Microsoft Entra- eller tilläggsattribut. Then select Save.
  3. To change which Entra ID attribute is sent as the value of a claim already configured, select the row in the Additional claims section.
  4. Om du vill lägga till ett nytt anspråk väljer du Lägg till nytt anspråk.
  5. When complete, select SAML-based Sign-on to close this screen.

Konfigurera vem som kan logga in på programmet

När du testar konfigurationen bör du tilldela en utsedd testanvändare till programmet i Microsoft Entra för att verifiera att användaren kan logga in på programmet via Microsoft Entra och den förlitande parten STS.

  1. In the Manage section of the left menu, select Properties.
  2. Kontrollera att värdet för Aktiverad för användare att logga in är inställt på Ja.
  3. Ensure that the value of Assignment required is set to Yes.
  4. If you made any changes, select Save.
  5. In the Manage section of the left menu, select Users and groups.
  6. Select Add user/group.
  7. Select None selected.
  8. In the search box, type the name of the test user, then pick the user and select Select.
  9. Select Assign to assign the user to the default User role of the application.
  10. In the Security section of the left menu, select Conditional Access.
  11. Select What if.
  12. Välj Ingen användare eller tjänstens huvudnamn har valts, välj Ingen användare har valts och välj den användare som tidigare tilldelats programmet.
  13. Välj Valfri molnapp och välj företagsappen.
  14. Select What if. Kontrollera att alla principer som ska tillämpas gör att användaren kan logga in på programmet.

Konfigurera Microsoft Entra som en identitetsleverantör i din medlemsorganisationens STS

Importera sedan federationsmetadata till din förlitande part STS. Följande steg visas med hjälp av AD FS, men en annan betroende STS kan användas i stället.

  1. Välj Lägg till anspråksleverantörsförtroende i anspråksleverantörslistan för STS hos den förlitande parten och välj Starta.
  2. Beroende på om du laddade ned federationsmetadata från Microsoft Entra väljer du Importera data om anspråksprovidern som publicerats online eller i ett lokalt nätverk eller Importera data om anspråksprovidern från en fil.
  3. Du kan också behöva ange certifikatet för Microsoft Entra till den förlitande parten STS.
  4. När konfigurationen av Microsoft Entra som identitetsprovider är klar kontrollerar du att:
    • Anspråksprovideridentifieraren är en URI för formuläret https://sts.windows.net/{tenantid}.
    • Om du använder den globala Tjänsten Microsoft Entra ID är slutpunkterna för enkel SAML-inloggning URI för formuläret https://login.microsoftonline.com/{tenantid}/saml2. Nationella moln finns i Microsoft Entra-autentisering och nationella moln.
    • Ett certifikat från Microsoft Entra erkänns av den förlitande parten STS.
    • Ingen kryptering har konfigurerats.
    • Anspråken som konfigurerats i Microsoft Entra visas som tillgängliga för anspråksregelmappningar i din förlitande part STS. Om du senare har lagt till ytterligare krav kan du behöva lägga till dem i konfigurationen av identitetsprovidern i STS för den förlitande parten.

Konfigurera anspråksregler i din STS för parten som förlitar sig

Så snart de anspråk som Microsoft Entra skickar som identitetsprovider är kända för den förlitande partens STS måste du kartlägga eller omvandla dessa anspråk till de anspråk som krävs av ditt program. Följande steg visas med hjälp av AD FS, men en annan betroende STS kan användas i stället.

  1. Välj anspråksproviderns förtroende för Microsoft Entra i listan över betrodda anspråksleverantörer för den förlitande partens STS och välj Redigera anspråksregler.
  2. For each claim provided by Microsoft Entra and required by your application, select Add Rule. I varje regel väljer du Skicka genom eller Filtrera ett inkommande anspråk eller Transformera ett inkommande anspråk baserat på kraven i ditt program.

Testa enkel inloggning till ditt program

När programmet har konfigurerats i Microsoft Entra och din förlitande part STS kan användarna logga in på det genom att autentisera till Microsoft Entra och få en token från Microsoft Entra omvandlad av din förlitande part STS till formuläret och anspråken som krävs av ditt program.

Den här handledningen visar hur du testar inloggningsprocessen med hjälp av en webbapplikation som implementerar den tjänstinitierade single sign-on-modellen. Mer information finns i SAML-protokoll för enkel inloggning.

Diagram som visar webbläsarens omdirigeringar mellan ett program, en förlitande part STS och Microsoft Entra-ID som identitetsprovider.

  1. I en privat webbläsarsession ansluter du till programmet och initierar inloggningsprocessen. Programmet omdirigerar webbläsaren till den förlitande parten STS, och den förlitande parten STS avgör identitetsprovidrar som kan tillhandahålla lämpliga anspråk.
  2. På den förlitande partens STS, välj Microsoft Entra-identitetsprovidern om du uppmanas att göra det. Den förlitande parten STS omdirigerar webbläsaren till Microsoft Entra-inloggningsslutpunkten om https://login.microsoftonline.com du använder den globala tjänsten Microsoft Entra ID.
  3. Logga in på Microsoft Entra med hjälp av testanvändarens identitet, som tidigare konfigurerats i steget konfigurera vem som kan logga in på programmet. Microsoft Entra letar sedan upp företagsprogrammet baserat på entitetsidentifieraren och omdirigerar webbläsaren till den förlitande partens STS-svars-URL-slutpunkt, där webbläsaren transporterar SAML-token.
  4. Den förlitande parten STS verifierar att SAML-token har utfärdats av Microsoft Entra, extraherar och transformerar sedan anspråken från SAML-token och omdirigerar webbläsaren till programmet. Bekräfta att ditt program har tagit emot nödvändiga anspråk från Microsoft Entra via den här processen.

Complete configuration

  1. När du har testat den första inloggningskonfigurationen måste du se till att den förlitande partens STS håller sig uppdaterad när nya certifikat läggs till i Microsoft Entra. Vissa betrodda partens STS kan ha en inbyggd process för att övervaka federationsmetadatan hos identitetsleverantören.
  2. I den här guiden illustreras hur du konfigurerar samlad inloggning. Din förlitande part STS kan också ha stöd för enkel utloggning med SAML. Mer information om den här funktionen finns i Enkel Sign-Out SAML-protokoll.
  3. Du kan ta bort tilldelningen av testanvändaren till programmet. Du kan använda andra funktioner som dynamiska grupper eller rättighetshantering för att tilldela användare till programmet. Mer information finns i Snabbstart: Skapa och tilldela ett användarkonto.

Next steps