Jednotné přihlašování (SSO) pomocí značkovacího jazyka pro bezpečnostní tvrzení (SAML) pro místní aplikace prostřednictvím aplikačního proxy.

Poskytněte jednotné přihlašování k místním aplikacím zabezpečeným pomocí ověřování SAML (Security Assertion Markup Language). Poskytnutí vzdáleného přístupu k aplikacím jednotného přihlašování založenému na SAML prostřednictvím proxy aplikací Pomocí jednotného přihlašování SAML se Microsoft Entra ověřuje v aplikaci pomocí účtu Microsoft Entra uživatele. Služba Microsoft Entra ID předává přihlašovací informace aplikaci prostřednictvím protokolu připojení. Uživatele můžete také mapovat na konkrétní aplikační role na základě pravidel definovaných v deklaracích SAML. Povolením proxy aplikací kromě jednotného přihlašování SAML mají vaši uživatelé externí přístup k aplikaci a bezproblémové jednotné přihlašování.

Aplikace musí být schopné využívat tokeny SAML vydané Microsoft Entra ID. Tato konfigurace se nevztahuje na aplikace používající místního zprostředkovatele identity. Pro tyto scénáře doporučujeme zkontrolovat prostředky pro migraci aplikací do Microsoft Entra ID.

Jednotné přihlašování SAML prostřednictvím aplikačního proxy funguje také s funkcí šifrování tokenů SAML. Další informace najdete v tématu Konfigurace šifrování tokenu SAML microsoft Entra.

Diagramy protokolu popisují sekvenci jednotného přihlašování pro tok iniciovaný poskytovatelem služeb (SP-inicializován) i tok iniciovaný zprostředkovatelem identity (IdP-inicializován). Proxy aplikace pracuje se SAML SSO tak, že ukládá do mezipaměti požadavky a odpovědi SAML směřující k místní aplikaci a od ní.

Vytvoření aplikace a nastavení jednotného přihlašování SAML

1. V Centru pro správu Microsoft Entra vyberte podnikové aplikace Microsoft Entra ID > a vyberte Nová aplikace.

2. Zadejte zobrazovaný název nové aplikace, vyberte Integrovat jakoukoli jinou aplikaci, kterou v galerii nenajdete, a pak vyberte Vytvořit.

3. Na stránce Přehled aplikace vyberte jednotné přihlašování.

4. Jako metodu jednotného přihlašování vyberte SAML .

5. Nejprve nastavte jednotné přihlašování SAML tak, aby fungovalo v podnikové síti. Přečtěte si základní konfiguraci jednotného přihlašování založeného na SAML pro nastavení ověřování založeného na SAML pro aplikaci.

6. Přidejte do aplikace aspoň jednoho uživatele a ujistěte se, že má testovací účet přístup k aplikaci. Při připojení k podnikové síti pomocí testovacího účtu zjistěte, jestli máte k aplikaci jednotné přihlašování.

   Poznámka:

   Po nastavení proxy aplikace se vrátíte a aktualizujete adresu URL odpovědi SAML.

Publikování místní aplikace pomocí aplikačního proxy

Před poskytnutím jednotného přihlašování pro místní aplikace povolte proxy aplikací a nainstalujte konektor. Přečtěte si další informace o tom, jak připravit místní prostředí, nainstalovat a zaregistrovat konektor a otestovat konektor. Jakmile konektor nastavíte, publikujte novou aplikaci pomocí proxy aplikací podle těchto kroků.

1. Pokud je aplikace stále otevřená v Centru pro správu Microsoft Entra, vyberte application proxy. Zadejte interní adresu URL aplikace. Pokud používáte vlastní doménu, musíte také nahrát certifikát TLS/SSL pro vaši aplikaci.

   Poznámka:

   Osvědčeným postupem je použít vlastní domény, kdykoli je to možné pro optimalizované uživatelské prostředí. Přečtěte si další informace o práci s vlastními doménami v proxy aplikací Microsoft Entra.

2. Jako metodu předběžného ověřování pro vaši aplikaci vyberte MICROSOFT Entra ID.

3. Zkopírujte externí adresu URL aplikace. K dokončení konfigurace SAML potřebujete tuto adresu URL.

4. Pomocí testovacího účtu zkuste otevřít aplikaci s externí adresou URL a ověřte, že je proxy aplikace správně nastavený. Pokud dojde k problémům, přečtěte si téma Řešení potíží s proxy aplikací a chybovými zprávami.

Aktualizace konfigurace SAML

1. Pokud je aplikace stále otevřená v Centru pro správu Microsoft Entra, vyberte jednotné přihlašování.

2. Na stránce Nastavit jednotné přihlašování pomocí SAML přejděte na nadpis Základní konfigurace SAML a vyberte ikonu Upravit (tužka). Ujistěte se, že je externí adresa URL nakonfigurovaná v proxy aplikací vyplněná v polích Identifikátor, Adresa URL odpovědi a Adresa URL pro odhlášení. Tyto adresy URL jsou vyžadovány, aby proxy aplikace fungoval správně.

3. Upravte dříve nakonfigurovanou adresu URL odpovědi tak, aby její doména byla přístupná na internetu pomocí proxy aplikace. Pokud je vaše Externí adresa URLhttps://contosotravel-f128.msappproxy.net a původní Adresa URL pro odpověď byla https://contosotravel.com/acs, je nutné aktualizovat původní Adresu URL pro odpověď na https://contosotravel-f128.msappproxy.net/acs.

4. Zaškrtněte políčko vedle aktualizované adresy URL odpovědi, abyste ji označili jako výchozí.

   • Po označení požadované adresy URL odpovědi jako výchozí můžete také odstranit dříve nakonfigurovanou adresu URL odpovědi, která používala interní adresu URL.

   • V případě toku zahájeného SP se ujistěte, že back-endová aplikace určuje správnou adresu URL odpovědi nebo adresu služby Assertion Consumer Service pro příjem ověřovacího tokenu.

   Poznámka:

   Pokud ta back-endová aplikace očekává, že adresa URL odpovědi bude interní adresou URL, musíte buď použít vlastní domény, aby interní a externí adresy URL odpovídaly, nebo nainstalovat zabezpečené přihlašovací rozšíření Moje aplikace na zařízení uživatelů. Toto rozšíření se automaticky přesměruje na příslušnou službu proxy aplikací. Pokud chcete rozšíření nainstalovat, podívejte se na Moje aplikace zabezpečené rozšíření pro přihlášení.

Testování aplikace

Vaše aplikace je spuštěná a běží. Otestování aplikace:

1. Otevřete prohlížeč a přejděte na externí adresu URL , kterou jste vytvořili při publikování aplikace.
2. Přihlaste se pomocí testovacího účtu, který jste přiřadili k aplikaci. Měli byste být schopni načíst aplikaci a mít jednotné přihlašování (SSO) do aplikace.

Další kroky

• Jak proxy aplikace Microsoft Entra poskytuje jednotné přihlašování?
• Řešení potíží s proxy aplikací