Sdílet prostřednictvím

Použijte poskytovatele identit SAML 2.0 (IdP) pro jednotné přihlášení.

  • Článek

Tento dokument obsahuje informace o použití zprostředkovatele identity založeného na profilu SP-Lite kompatibilní s PROTOKOLEM SAML 2.0 jako upřednostňovaného zprostředkovatele tokenů zabezpečení (STS) nebo zprostředkovatele identity. Tento scénář je užitečný, pokud už máte adresář uživatele a místní úložiště hesel, ke kterému je možné přistupovat pomocí SAML 2.0. Tento stávající uživatelský adresář lze použít k přihlášení k Microsoftu 365 a dalším prostředkům zabezpečeným ID Microsoft Entra. Profil SAML 2.0 SP-Lite je založený na široce používaném standardu federované identity SAML (Security Assertion Markup Language) k poskytování architektury výměny atributů a přihlašování.

Poznámka:

Seznam ID třetích stran, které byly testovány pro použití s Microsoft Entra ID, naleznete v seznamu kompatibility federace Microsoft Entra.

Microsoft podporuje toto přihlašování jako integraci cloudové služby Microsoftu, jako je Microsoft 365, se správně nakonfigurovaným profilem zprostředkovatele identity založeným na SAML 2.0. Zprostředkovatelé identity SAML 2.0 jsou produkty třetích stran, a proto Microsoft neposkytuje podporu pro nasazení, konfiguraci a řešení potíží s osvědčenými postupy pro ně. Po správné konfiguraci je možné pomocí nástroje Microsoft Connectivity Analyzer otestovat integraci se zprostředkovatelem identity SAML 2.0, který je podrobněji popsaný níže. Další informace o poskytovateli identity založeném na profilu SAML 2.0 SP-Lite získáte v organizaci, která ji poskytla.

Důležité

V tomto scénáři přihlašování s zprostředkovateli identity SAML 2.0 jsou k dispozici pouze omezené sady klientů, mezi které patří:

  • Webové klienty, jako je Outlook Web Access a SharePoint Online
  • Klienti s bohatými e-maily, kteří používají základní ověřování a podporovanou metodu přístupu k Exchangi, jako je IMAP, POP, Active Sync, MAPI atd. (Je nutné nasadit koncový bod rozšířeného klientského protokolu, včetně:
    • Microsoft® Outlook® 2010/Outlook 2013/Outlook 2016, Apple iPhone (různé verze iOS)
    • Různá zařízení Google s Androidem
    • Windows Phone 7, Windows Phone 7.8 a Windows Phone 8.0
    • Poštovní klient systému Windows 8 a Poštovní klient systému Windows 8.1
    • Poštovní klient Windows 10

Všichni ostatní klienti nejsou v tomto scénáři přihlašování u zprostředkovatele identity SAML 2.0 k dispozici. Desktopový klient Lyncu 2010 se například nemůže přihlásit ke službě pomocí zprostředkovatele identity SAML 2.0 nakonfigurovaného pro jednotné přihlašování.

Požadavky protokolu Microsoft Entra SAML 2.0

Tento dokument obsahuje podrobné požadavky na formátování protokolu a zpráv, které musí váš zprostředkovatel identity SAML 2.0 implementovat pro federaci s MICROSOFT Entra ID, aby bylo možné povolit přihlášení k jedné nebo více cloudovým službám Microsoftu (například Microsoft 365). Jednou z předávajících stran SAML 2.0 (SP-STS) pro cloudovou službu Microsoft použitou v tomto scénáři je Microsoft Entra ID.

Doporučujeme zajistit, aby se výstupní zprávy zprostředkovatele identity SAML 2.0 v co největší možné míře podobaly poskytnutým ukázkovým trasám. Pokud je to možné, použijte také konkrétní hodnoty atributů ze zadaných metadat Microsoft Entra. Jakmile budete s výstupními zprávami spokojeni, můžete testovat pomocí nástroje Microsoft Connectivity Analyzer, jak je popsáno níže.

Metadata Microsoft Entra lze stáhnout z této adresy URL: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Pro zákazníky v Číně, kteří používají instanci Microsoftu 365 specifickou pro Čínu, by se měl použít následující koncový bod federace: https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml.

Požadavky protokolu SAML

Tato část podrobně popisuje, jak jsou spárované páry zpráv žádostí a odpovědí, aby vám pomohly správně formátovat zprávy.

Id Microsoft Entra je možné nakonfigurovat tak, aby fungovalo s zprostředkovateli identity, kteří používají profil SAML 2.0 SP Lite s některými konkrétními požadavky, jak je uvedeno níže. Pomocí ukázkových zpráv žádostí SAML a odpovědí spolu s automatizovaným a ručním testováním můžete pracovat na zajištění interoperability s ID Microsoft Entra.

Požadavky na blok podpisu

V rámci zprávy odpovědi SAML obsahuje uzel Podpis informace o digitálním podpisu pro samotnou zprávu. Blok podpisu má následující požadavky:

  1. Samotný uzel tvrzení musí být podepsaný.
  2. Algoritmus RSA-sha1 se musí použít jako DigestMethod. Jiné algoritmy digitálního podpisu nejsou přijaty. <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1"/>
  3. Dokument XML můžete také podepsat.
  4. Transformační algoritmus musí odpovídat hodnotám v následující ukázce: <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature"/> <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#"/>
  5. Algoritmus SignatureMethod musí odpovídat následující ukázce: <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

Poznámka:

Aby se zlepšilo zabezpečení, je algoritmus SHA-1 zastaralý. Ujistěte se, že používáte bezpečnější algoritmus, jako je SHA-256. Další informace najdete.

Podporované vazby

Vazby jsou požadované parametry komunikace související s přenosem. Pro vazby platí následující požadavky:

  1. HTTPS je požadovaný přenos.
  2. Id Microsoft Entra vyžaduje http POST pro odeslání tokenu během přihlašování.
  3. Microsoft Entra ID používá HTTP POST pro autentizační požadavek k poskytovateli identity a REDIRECT při zasílání odhlašovací zprávy poskytovateli identity.

Povinné atributy

Tato tabulka uvádí požadavky na konkrétní atributy ve zprávě SAML 2.0.

Atribut Popis
NameID Hodnota tohoto tvrzení musí být stejná jako ImmutableID uživatele Microsoft Entra. Může mít maximálně 64 alfa číselných znaků. Všechny znaky, které nejsou v html, musí být zakódované, například znak +, se zobrazí jako .2B.
IDPEmail Hlavní název uživatele (UPN) je uvedený v odpovědi SAML jako element s názvem IDPEmail UserPrincipalName (UPN) v Microsoft Entra ID / Microsoft 365. UPN je ve formátu e-mailové adresy. Hodnota UPN ve Windows Microsoft 365 (Microsoft Entra ID).
Vydavatel Je požadováno, aby to byl URI poskytovatele identity. Nepoužívejte vystavitele z ukázkových zpráv znovu. Pokud máte ve svých tenantech Microsoft Entra více domén nejvyšší úrovně, musí vystavitel odpovídat zadanému nastavení URI, které je nakonfigurováno pro každou doménu.

Důležité

Microsoft Entra ID v současné době podporuje následující formát URI NameID pro SAML 2.0:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.

Ukázkové zprávy SAML požadavků a odpovědí

Pro výměnu přihlašovacích zpráv se zobrazí dvojice žádostí a odpovědí. Následuje ukázková zpráva požadavku, která je odesílána z Microsoft Entra ID do ukázkového zprostředkovatele identity SAML 2.0. Ukázkový poskytovatel identity SAML 2.0 je Active Directory Federation Services (AD FS) nakonfigurovaný k použití protokolu SAML-P. Testování interoperability bylo také dokončeno s dalšími zprostředkovateli identity SAML 2.0.

<samlp:AuthnRequest ID="_1e089e5c-a976-4881-af74-3b92c89e7e2c" Version="2.0" IssueInstant="2024-03-12T14:00:18.450Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Pokud je povoleno isSignedAuthenticationRequestRequired, jak je vysvětleno v internaldomainfederation-update, požadavek by vypadal jako v tomto příkladu:

  <samlp:AuthnRequest ID="_1868c6f2-1fdd-40b9-818f-b4b44efb92c5" Version="2.0" IssueInstant="2024-03-11T16:51:17.120Z" Destination="https://fs.contoso.com/adfs/ls/" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><Signature xmlns="http://www.w3.org/2000/09/xmldsig#"><SignedInfo><CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><Reference URI="#_1868c6f2-1fdd-40b9-818f-b4b44efb92c5"><Transforms><Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></Transforms><DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><DigestValue>aB1cD2eF3gH4iJ5kL6-mN7oP8qR=</DigestValue></Reference></SignedInfo><SignatureValue>cD2eF3gH4iJ5k...L6mN7-oP8qR9sT==</SignatureValue><KeyInfo><ds:X509Data xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:X509SKI>eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</ds:X509SKI></ds:X509Data><ds:KeyName xmlns:ds="http://www.w3.org/2000/09/xmldsig#">MicrosoftOnline</ds:KeyName></KeyInfo></Signature><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Toto je ukázková zpráva odpovědi zasílaná vzorovým poskytovatelem identity kompatibilním se SAML 2.0 do Microsoft Entra ID / Microsoft 365.

    <samlp:Response ID="_592c022f-e85e-4d23-b55b-9141c95cd2a5" Version="2.0" IssueInstant="2014-01-31T15:36:31.357Z" Destination="https://login.microsoftonline.com/login.srf" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
    </samlp:Status>
    <Assertion ID="_7e3c1bcd-f180-4f78-83e1-7680920793aa" IssueInstant="2014-01-31T15:36:31.279Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
      <ds:SignedInfo>
        <ds:CanonicalizationMethod Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
        <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <ds:Reference URI="#_7e3c1bcd-f180-4f78-83e1-7680920793aa">
          <ds:Transforms>
            <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature" />
            <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
          </ds:Transforms>
          <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1" />
          <ds:DigestValue>CBn/aB1cD2eF3gH4iJ5kL6-mN7oP8qR=</ds:DigestValue>
        </ds:Reference>
      </ds:SignedInfo>
      <ds:SignatureValue>cD2eF3gH4iJ5kL6mN7-oP8qR9sT==</ds:SignatureValue>
      <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</ds:X509Certificate>
        </ds:X509Data>
      </KeyInfo>
    </ds:Signature>
    <Subject>
      <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">ABCDEG1234567890</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" NotOnOrAfter="2014-01-31T15:41:31.357Z" Recipient="https://login.microsoftonline.com/login.srf" />
      </SubjectConfirmation>
    </Subject>
    <Conditions NotBefore="2014-01-31T15:36:31.263Z" NotOnOrAfter="2014-01-31T16:36:31.263Z">
      <AudienceRestriction>
        <Audience>urn:federation:MicrosoftOnline</Audience>
      </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
      <Attribute Name="IDPEmail">
        <AttributeValue>administrator@contoso.com</AttributeValue>
      </Attribute>
    </AttributeStatement>
    <AuthnStatement AuthnInstant="2014-01-31T15:36:30.200Z" SessionIndex="_7e3c1bcd-f180-4f78-83e1-7680920793aa">
      <AuthnContext>
        <AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnContextClassRef>
      </AuthnContext>
    </AuthnStatement>
    </Assertion>
    </samlp:Response>

Konfigurace zprostředkovatele identity vyhovujícího standardu SAML 2.0

Tato část obsahuje pokyny ke konfiguraci zprostředkovatele identity SAML 2.0 pro federaci s ID Microsoft Entra, aby bylo možné povolit jednotné přihlašování k jedné nebo více cloudovým službám Microsoftu (například Microsoft 365) pomocí protokolu SAML 2.0. Subjekt využívající SAML 2.0 pro cloudovou službu Microsoftu použitou v tomto scénáři je Microsoft Entra ID.

Přidejte metadata Microsoft Entra

Váš zprostředkovatel identity SAML 2.0 se musí řídit informacemi o důvěřující straně Microsoft Entra ID. Microsoft Entra ID publikuje metadata na adrese https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml.

Při konfiguraci zprostředkovatele identity SAML 2.0 doporučujeme vždy importovat nejnovější metadata Microsoft Entra.

Poznámka:

Služba Microsoft Entra ID nečte metadata od poskytovatele identity.

Přidání ID Microsoft Entra jako důvěřující strany

Musíte povolit komunikaci mezi zprostředkovatelem identity SAML 2.0 a ID Microsoft Entra. Tato konfigurace závisí na vašem konkrétním zprostředkovateli identity a měli byste si pro ni projděte dokumentaci. ID předávající strany byste obvykle nastavili na stejné jako ID entity z metadat Microsoft Entra.

Poznámka:

Ověřte, že se hodiny na serveru zprostředkovatele identity SAML 2.0 synchronizují s přesným zdrojem času. Nepřesný čas hodin může způsobit selhání federovaných přihlášení.

Instalace PowerShellu pro přihlášení pomocí zprostředkovatele identity SAML 2.0

Po nakonfigurování zprostředkovatele identity SAML 2.0 pro použití s přihlašováním Microsoft Entra je dalším krokem stažení a instalace modulu Microsoft Graph PowerShell . Po instalaci použijete tyto rutiny ke konfiguraci domén Microsoft Entra jako federovaných domén.

Modul Microsoft Graph PowerShell je stažení pro správu dat organizace v Microsoft Entra ID. Tento modul nainstaluje sadu rutin do PowerShellu; Tyto rutiny spustíte, abyste nastavili přístup jednotného přihlašování k ID Microsoft Entra a následně ke všem cloudovým službám, ke které jste přihlášeni. Pokyny ke stažení a instalaci rutin najdete v tématu Instalace sady Microsoft Graph PowerShell SDK.

Nastavte důvěryhodný vztah mezi vaším SAML poskytovatelem identity a Microsoft Entra ID.

Před konfigurací federace v doméně Microsoft Entra musí mít nakonfigurovanou vlastní doménu. Výchozí doménu, kterou poskytuje Microsoft, nemůžete federovat. Výchozí doména od Microsoftu končí na onmicrosoft.com. Spustíte řadu rutin PowerShellu pro přidání nebo převod domén pro jednotné přihlašování.

Každá doména Microsoft Entra, kterou chcete federovat pomocí zprostředkovatele identity SAML 2.0, musí být buď přidána jako doména jednotného přihlašování, nebo převedena na doménu jednotného přihlašování ze standardní domény. Přidání nebo převod domény nastaví vztah důvěryhodnosti mezi vaším zprostředkovatelem identity SAML 2.0 a ID Microsoft Entra.

Následující postup vás provede převodem existující standardní domény na federovanou doménu pomocí SAML 2.0 SP-Lite.

Poznámka:

U vaší domény může docházet k výpadku, který má vliv na uživatele až 2 hodiny po provedení tohoto kroku.

Konfigurace domény v adresáři Microsoft Entra pro federaci

  1. Připojte se ke svému adresáři Microsoft Entra jako správce tenanta:

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"

  2. Nakonfigurujte požadovanou doménu Microsoftu 365 tak, aby používala federaci s SAML 2.0:

    $Domain = "contoso.com"  
$LogOnUrl = "https://WS2012R2-0.contoso.com/passiveLogon" 
$LogOffUrl = "https://WS2012R2-0.contoso.com/passiveLogOff" 
$ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" 
$MyUri = "urn:uri:MySamlp2IDP"
$idptokensigningcert = [System.Security.Cryptography.X509Certificates.X509Certificate2]("C:\temp\contosoidptokensign.cer")  
$MySigningCert = [system.convert]::tobase64string($idptokensigningcert.rawdata) 
$Protocol = "saml"

New-MgDomainFederationConfiguration `
  -DomainId $Domain `
  -ActiveSignInUri $ecpUrl `
  -IssuerUri $MyUri `
  -PassiveSignInUri $LogOnUrl `
  -PreferredAuthenticationProtocol $Protocol `
  -SignOutUri $LogOffUrl `
  -SigningCertificate $MySigningCert

  3. Řetězec zakódovaný podpisovým certifikátem Base64 můžete získat ze souboru metadat IDP. Příklad tohoto umístění je uvedený níže, ale může se mírně lišit v závislosti na vaší implementaci.

    <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <KeyDescriptor use="signing">
    <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
     <X509Data>
       <X509Certificate> eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</X509Certificate>
      </X509Data>
    </KeyInfo>
  </KeyDescriptor>
</IDPSSODescriptor>

Další informace viz New-MgDomainFederationConfiguration.

Poznámka:

Musíte použít $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" jenom v případě, že pro svého zprostředkovatele identity nastavíte rozšíření ECP. Klienti Exchange Online spoléhají na aktivní koncový bod, který aktivně používá metodu POST, s výjimkou Outlook Web Application (OWA). Pokud vaše služba SAML 2.0 STS implementuje aktivní koncový bod podobný implementaci aktivního koncového bodu ECP od Shibboleth, může být možné, aby tito pokročilí klienti interagovali se službou Exchange Online.

Po nakonfigurování federace můžete přepnout zpět na nefederované (nebo spravované), ale dokončení této změny trvá až dvě hodiny a vyžaduje přiřazení nových náhodných hesel pro cloudové přihlašování každému uživateli. V některých scénářích může být vyžadováno přepnutí zpět na "spravovanou" k resetování chyby v nastavení. Další informace o převodu domény naleznete v tématu Remove-MgDomainFederationConfiguration.

Zřízení uživatelských identit pro Microsoft Entra ID / Microsoft 365

Než budete moct ověřovat uživatele v Microsoftu 365, musíte zřídit ID Microsoft Entra s uživatelskými identitami, které odpovídají tvrzení v deklaraci SAML 2.0. Pokud tyto uživatelské identity nejsou předem známé v Microsoft Entra ID, nelze je použít pro federované přihlašování. K zřizování uživatelských účtů je možné použít Microsoft Entra Connect nebo PowerShell.

Microsoft Entra Connect se dá použít ke zřizování subjektů pro vaše domény v adresáři Microsoft Entra z lokální Active Directory. Podrobnější informace najdete v tématu Integrace místních adresářů s Microsoft Entra ID.

PowerShell se dá použít také k automatizaci přidávání nových uživatelů do Microsoft Entra ID a k synchronizaci změn z místního adresáře. Pokud chcete použít rutiny PowerShellu, musíte stáhnout modul Microsoft Graph PowerShellu .

Tento postup ukazuje, jak přidat jednoho uživatele do Microsoft Entra ID.

  1. Připojte se ke svému adresáři Microsoft Entra jako správce tenanta pomocí Connect-MgGraph.

  2. Vytvořte nového uživatelského účta.

    $Password =  -join ((48..57) + (97..122) | Get-Random -Count 12 | % {[char]$_})
$PasswordProfile = @{ Password = "$Password" }

New-MgUser `
  -UserPrincipalName "elwoodf1@contoso.com" `
  -DisplayName "Elwood Folk" `
  -GivenName "Elwood" `
  -Surname "Folk" `
  -AccountEnabled `
  -MailNickName 'ElwoodFolk' `
  -OnPremisesImmutableId ABCDEFG1234567890 `
  -OtherMails "Elwood.Folk@contoso.com" `
  -PasswordProfile $PasswordProfile `
  -UsageLocation "US"

Další informace naleznete v tématu New-MgUser.

Poznámka:

Hodnota UserPrincipalName musí odpovídat hodnotě, kterou odešlete pro "IDPEmail" v deklaraci SAML 2.0 a hodnota OnPremisesImmutableId musí odpovídat hodnotě odeslané v tvrzení NameID.

Ověření jednotného přihlašování pomocí protokolu IDP SAML 2.0

Než jako správce ověříte a spravujete jednotné přihlašování (označované také jako federace identit), projděte si informace a proveďte kroky v následujících článcích a nastavte jednotné přihlašování pomocí zprostředkovatele identity založeného na SAML 2.0 SP-Lite:

  1. Prošli jste si požadavky protokolu Microsoft Entra SAML 2.0.
  2. Nakonfigurovali jste zprostředkovatele identity SAML 2.0.
  3. Instalace PowerShellu pro jednotné přihlašování pomocí zprostředkovatele identity SAML 2.0
  4. Nastavení vztahu důvěryhodnosti mezi zprostředkovatelem identity SAML 2.0 a Microsoft Entra ID
  5. Zřídil známého testovacího uživatele jako uživatelský účet pro Microsoft Entra ID (Microsoft 365) prostřednictvím PowerShellu nebo Microsoft Entra Connect.
  6. Nakonfigurujte synchronizaci adresářů pomocí nástroje Microsoft Entra Connect.

Po nastavení jednotného přihlašování u zprostředkovatele identity založeného na SAML 2.0 SP-Lite byste měli ověřit, že funguje správně. Další informace o testování jednotného přihlašování založeného na SAML najdete v tématu Testování jednotného přihlašování založeného na SAML.

Poznámka:

Pokud jste místo přidání domény převedli doménu, může trvat až 24 hodin, než nastavíte jednotné přihlašování. Než ověříte jednotné přihlašování, měli byste dokončit nastavení synchronizace služby Active Directory, synchronizovat adresáře a aktivovat synchronizované uživatele.

Ruční ověření správného nastavení jednotného přihlašování

Ruční ověření poskytuje další kroky, které můžete provést, abyste zajistili, že váš zprostředkovatel identity SAML 2.0 funguje v mnoha scénářích správně. Pokud chcete ověřit, že je jednotné přihlašování správně nastavené, proveďte následující kroky:

  1. Na počítači připojeném k doméně se přihlaste ke cloudové službě pomocí stejného přihlašovacího názvu, který používáte pro své podnikové přihlašovací údaje.
  2. Vyberte uvnitř pole s heslem. Pokud je nastavené jednotné přihlašování, vystínuje se pole s heslem a zobrazí se následující zpráva: "Teď je potřeba se přihlásit ve <vaší společnosti>.".
  3. Vyberte přihlašovací údaje na <odkazu vaší společnosti> . Pokud se můžete přihlásit, nastaví se jednotné přihlašování.

Další kroky