Sdílet prostřednictvím

Použití zprostředkovatele identity (IdP) SAML 2.0 pro Jednotné přihlašování

  • Článek

Tento dokument obsahuje informace o použití zprostředkovatele identity založeného na profilu SP-Lite kompatibilní s PROTOKOLEM SAML 2.0 jako upřednostňovaného zprostředkovatele tokenů zabezpečení (STS) nebo zprostředkovatele identity. Tento scénář je užitečný, pokud už máte adresář uživatele a místní úložiště hesel, ke kterému je možné přistupovat pomocí SAML 2.0. Tento stávající uživatelský adresář lze použít k přihlášení k Microsoftu 365 a dalším prostředkům zabezpečeným ID Microsoft Entra. Profil SAML 2.0 SP-Lite je založený na široce používaném standardu federované identity SAML (Security Assertion Markup Language) k poskytování architektury výměny atributů a přihlašování.

Poznámka:

Seznam ID třetích stran, které byly testovány pro použití s Microsoft Entra ID, naleznete v seznamu kompatibility federace Microsoft Entra.

Microsoft podporuje toto přihlašování jako integraci cloudové služby Microsoftu, jako je Microsoft 365, s správně nakonfigurovaným profilem zprostředkovatele identity založeným na SAML 2.0. Zprostředkovatelé identity SAML 2.0 jsou produkty třetích stran, a proto Microsoft neposkytuje podporu pro nasazení, konfiguraci a řešení potíží s osvědčenými postupy pro ně. Po správné konfiguraci je možné pomocí nástroje Microsoft Connectivity Analyzer otestovat integraci se zprostředkovatelem identity SAML 2.0, který je podrobněji popsaný níže. Další informace o poskytovateli identity založeném na profilu SAML 2.0 SP-Lite získáte v organizaci, která ji poskytla.

Důležité

V tomto scénáři přihlašování s zprostředkovateli identity SAML 2.0 jsou k dispozici pouze omezené sady klientů, mezi které patří:

  • Webové klienty, jako je Outlook Web Access a SharePoint Online
  • Klienti s bohatými e-maily, kteří používají základní ověřování a podporovanou metodu přístupu k Exchangi, jako je IMAP, POP, Active Sync, MAPI atd. (Je nutné nasadit koncový bod rozšířeného klientského protokolu, včetně:
    • Microsoft® Outlook® 2010/Outlook 2013/Outlook 2016, Apple iPhone (různé verze iOS)
    • Různá zařízení Google s Androidem
    • Windows Phone 7, Windows Phone 7.8 a Windows Phone 8.0
    • Poštovní klient systému Windows 8 a Poštovní klient systému Windows 8.1
    • Poštovní klient Windows 10

Všichni ostatní klienti nejsou v tomto scénáři přihlašování u zprostředkovatele identity SAML 2.0 k dispozici. Desktopový klient Lyncu 2010 se například nemůže přihlásit ke službě pomocí zprostředkovatele identity SAML 2.0 nakonfigurovaného pro jednotné přihlašování.

Požadavky protokolu Microsoft Entra SAML 2.0

Tento dokument obsahuje podrobné požadavky na formátování protokolu a zpráv, které musí váš zprostředkovatel identity SAML 2.0 implementovat pro federaci s MICROSOFT Entra ID, aby bylo možné povolit přihlášení k jedné nebo více cloudovým službám Microsoftu (například Microsoft 365). Předávající strana SAML 2.0 (SP-STS) pro cloudovou službu Microsoftu použitá v tomto scénáři je ID Microsoft Entra.

Doporučujeme zajistit, aby se výstupní zprávy zprostředkovatele identity SAML 2.0 co nejvíce podobaly zadaným ukázkovým trasám. Pokud je to možné, použijte také konkrétní hodnoty atributů ze zadaných metadat Microsoft Entra. Jakmile budete s výstupními zprávami spokojeni, můžete testovat pomocí nástroje Microsoft Connectivity Analyzer, jak je popsáno níže.

Metadata Microsoft Entra lze stáhnout z této adresy URL: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Pro zákazníky v Číně, kteří používají instanci Microsoftu 365 specifickou pro Čínu, by se měl použít následující koncový bod federace: https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml.

Požadavky protokolu SAML

Tato část podrobně popisuje, jak jsou spárované páry zpráv žádostí a odpovědí, aby vám pomohly správně formátovat zprávy.

Id Microsoft Entra je možné nakonfigurovat tak, aby fungovalo s zprostředkovateli identity, kteří používají profil SAML 2.0 SP Lite s některými konkrétními požadavky, jak je uvedeno níže. Pomocí ukázkových zpráv žádostí SAML a odpovědí spolu s automatizovaným a ručním testováním můžete pracovat na zajištění interoperability s ID Microsoft Entra.

Požadavky na blok podpisu

V rámci zprávy odpovědi SAML obsahuje uzel Podpis informace o digitálním podpisu pro samotnou zprávu. Blok podpisu má následující požadavky:

  1. Samotný kontrolní uzel musí být podepsaný.
  2. Algoritmus RSA-sha1 se musí použít jako DigestMethod. Jiné algoritmy digitálního podpisu nejsou přijaty. <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1"/>
  3. Dokument XML můžete také podepsat.
  4. Transformační algoritmus musí odpovídat hodnotám v následující ukázce: <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature"/> <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#"/>
  5. Algoritmus SignatureMethod musí odpovídat následující ukázce: <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

Poznámka:

Aby se zlepšil algoritmus SHA-1 zabezpečení, je zastaralý. Ujistěte se, že používáte bezpečnější algoritmus, jako je SHA-256. Další informace najdete.

Podporované vazby

Vazby jsou požadované parametry komunikace související s přenosem. Pro vazby platí následující požadavky:

  1. HTTPS je požadovaný přenos.
  2. Id Microsoft Entra vyžaduje http POST pro odeslání tokenu během přihlašování.
  3. Microsoft Entra ID používá http POST pro požadavek na ověření na zprostředkovatele identity a REDIRECT pro odhlašování zprávy k zprostředkovateli identity.

Povinné atributy

Tato tabulka uvádí požadavky na konkrétní atributy ve zprávě SAML 2.0.

Atribut Popis
NameID Hodnota tohoto kontrolního výrazu musí být stejná jako ImmutableID uživatele Microsoft Entra. Může mít maximálně 64 alfa číselných znaků. Všechny znaky, které nejsou v html, musí být zakódované, například znak +, se zobrazí jako .2B.
IDPEmail Hlavní název uživatele (UPN) je uvedený v odpovědi SAML jako element s názvem IDPEmail UserPrincipalName (UPN) v Microsoft Entra ID / Microsoft 365. Hlavní název uživatele (UPN) je ve formátu e-mailové adresy. Hodnota hlavního názvu uživatele (UPN) ve Windows Microsoft 365 (Microsoft Entra ID).
Issuer Vyžaduje se, aby byl identifikátor URI zprostředkovatele identity. Nepoužívejte vystavitele z ukázkových zpráv znovu. Pokud máte ve svých tenantech Microsoft Entra více domén nejvyšší úrovně, musí vystavitel odpovídat zadanému nastavení identifikátoru URI nakonfigurovaného pro každou doménu.

Důležité

Id Microsoft Entra v současné době podporuje následující identifikátor URI formátu NameID pro SAML 2.0:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.

Ukázkové zprávy požadavku SAML a odpovědi

Pro výměnu přihlašovacích zpráv se zobrazí dvojice žádostí a odpovědí. Následuje ukázková zpráva požadavku odesílaná z Id Microsoft Entra do ukázkového zprostředkovatele identity SAML 2.0. Ukázkový zprostředkovatel identity SAML 2.0 je Active Directory Federation Services (AD FS) (AD FS) nakonfigurovaný tak, aby používal protokol SAML-P. Testování interoperability bylo také dokončeno s dalšími zprostředkovateli identity SAML 2.0.

<samlp:AuthnRequest ID="_1e089e5c-a976-4881-af74-3b92c89e7e2c" Version="2.0" IssueInstant="2024-03-12T14:00:18.450Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Pokud je povoleno isSignedAuthenticationRequestRequired, jak je vysvětleno v internaldomainfederation-update, požadavek by vypadal jako v tomto příkladu:

  <samlp:AuthnRequest ID="_1868c6f2-1fdd-40b9-818f-b4b44efb92c5" Version="2.0" IssueInstant="2024-03-11T16:51:17.120Z" Destination="https://fs.contoso.com/adfs/ls/" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><Signature xmlns="http://www.w3.org/2000/09/xmldsig#"><SignedInfo><CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><Reference URI="#_1868c6f2-1fdd-40b9-818f-b4b44efb92c5"><Transforms><Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></Transforms><DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><DigestValue>aB1cD2eF3gH4iJ5kL6-mN7oP8qR=</DigestValue></Reference></SignedInfo><SignatureValue>cD2eF3gH4iJ5k...L6mN7-oP8qR9sT==</SignatureValue><KeyInfo><ds:X509Data xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:X509SKI>eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</ds:X509SKI></ds:X509Data><ds:KeyName xmlns:ds="http://www.w3.org/2000/09/xmldsig#">MicrosoftOnline</ds:KeyName></KeyInfo></Signature><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Následuje ukázková zpráva odpovědi odesílaná z ukázkového zprostředkovatele identity vyhovujícího SAML 2.0 do Microsoft Entra ID / Microsoft 365.

    <samlp:Response ID="_592c022f-e85e-4d23-b55b-9141c95cd2a5" Version="2.0" IssueInstant="2014-01-31T15:36:31.357Z" Destination="https://login.microsoftonline.com/login.srf" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
    </samlp:Status>
    <Assertion ID="_7e3c1bcd-f180-4f78-83e1-7680920793aa" IssueInstant="2014-01-31T15:36:31.279Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
      <ds:SignedInfo>
        <ds:CanonicalizationMethod Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
        <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <ds:Reference URI="#_7e3c1bcd-f180-4f78-83e1-7680920793aa">
          <ds:Transforms>
            <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature" />
            <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
          </ds:Transforms>
          <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1" />
          <ds:DigestValue>CBn/aB1cD2eF3gH4iJ5kL6-mN7oP8qR=</ds:DigestValue>
        </ds:Reference>
      </ds:SignedInfo>
      <ds:SignatureValue>cD2eF3gH4iJ5kL6mN7-oP8qR9sT==</ds:SignatureValue>
      <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</ds:X509Certificate>
        </ds:X509Data>
      </KeyInfo>
    </ds:Signature>
    <Subject>
      <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">ABCDEG1234567890</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" NotOnOrAfter="2014-01-31T15:41:31.357Z" Recipient="https://login.microsoftonline.com/login.srf" />
      </SubjectConfirmation>
    </Subject>
    <Conditions NotBefore="2014-01-31T15:36:31.263Z" NotOnOrAfter="2014-01-31T16:36:31.263Z">
      <AudienceRestriction>
        <Audience>urn:federation:MicrosoftOnline</Audience>
      </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
      <Attribute Name="IDPEmail">
        <AttributeValue>administrator@contoso.com</AttributeValue>
      </Attribute>
    </AttributeStatement>
    <AuthnStatement AuthnInstant="2014-01-31T15:36:30.200Z" SessionIndex="_7e3c1bcd-f180-4f78-83e1-7680920793aa">
      <AuthnContext>
        <AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnContextClassRef>
      </AuthnContext>
    </AuthnStatement>
    </Assertion>
    </samlp:Response>

Konfigurace zprostředkovatele identity vyhovujícího standardu SAML 2.0

Tato část obsahuje pokyny ke konfiguraci zprostředkovatele identity SAML 2.0 pro federaci s ID Microsoft Entra, aby bylo možné povolit jednotné přihlašování k jedné nebo více cloudovým službám Microsoftu (například Microsoft 365) pomocí protokolu SAML 2.0. Předávající strana SAML 2.0 pro cloudovou službu Microsoftu použitá v tomto scénáři je ID Microsoft Entra.

Přidání metadat Microsoft Entra

Váš zprostředkovatel identity SAML 2.0 musí dodržovat informace o předávající straně Microsoft Entra ID. Microsoft Entra ID publikuje metadata na adrese https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml.

Při konfiguraci zprostředkovatele identity SAML 2.0 doporučujeme vždy importovat nejnovější metadata Microsoft Entra.

Poznámka:

Id Microsoft Entra nečte metadata zprostředkovatele identity.

Přidání ID Microsoft Entra jako předávající strany

Musíte povolit komunikaci mezi zprostředkovatelem identity SAML 2.0 a ID Microsoft Entra. Tato konfigurace závisí na vašem konkrétním zprostředkovateli identity a měli byste si pro ni projděte dokumentaci. ID předávající strany byste obvykle nastavili na stejné jako ID entity z metadat Microsoft Entra.

Poznámka:

Ověřte, že se hodiny na serveru zprostředkovatele identity SAML 2.0 synchronizují s přesným zdrojem času. Nepřesný čas hodin může způsobit selhání federovaných přihlášení.

Instalace PowerShellu pro přihlášení pomocí zprostředkovatele identity SAML 2.0

Po nakonfigurování zprostředkovatele identity SAML 2.0 pro použití s přihlašováním Microsoft Entra je dalším krokem stažení a instalace modulu Microsoft Graph PowerShell . Po instalaci použijete tyto rutiny ke konfiguraci domén Microsoft Entra jako federovaných domén.

Modul Microsoft Graph PowerShell je stažení pro správu dat organizace v Microsoft Entra ID. Tento modul nainstaluje sadu rutin do PowerShellu; Tyto rutiny spustíte, abyste nastavili přístup jednotného přihlašování k ID Microsoft Entra a následně ke všem cloudovým službám, ke které jste přihlášeni. Pokyny ke stažení a instalaci rutin najdete v tématu Instalace sady Microsoft Graph PowerShell SDK.

Nastavení vztahu důvěryhodnosti mezi vaším zprostředkovatelem identity SAML a ID Microsoft Entra

Před konfigurací federace v doméně Microsoft Entra musí mít nakonfigurovanou vlastní doménu. Výchozí doménu, kterou poskytuje Microsoft, nemůžete federovat. Výchozí doména od Microsoftu končí na onmicrosoft.com. Spustíte řadu rutin PowerShellu pro přidání nebo převod domén pro jednotné přihlašování.

Každá doména Microsoft Entra, kterou chcete federovat pomocí zprostředkovatele identity SAML 2.0, musí být buď přidána jako doména jednotného přihlašování, nebo převedena na doménu jednotného přihlašování ze standardní domény. Přidání nebo převod domény nastaví vztah důvěryhodnosti mezi vaším zprostředkovatelem identity SAML 2.0 a ID Microsoft Entra.

Následující postup vás provede převodem existující standardní domény na federovanou doménu pomocí SAML 2.0 SP-Lite.

Poznámka:

U vaší domény může docházet k výpadku, který má vliv na uživatele až 2 hodiny po provedení tohoto kroku.

Konfigurace domény v adresáři Microsoft Entra pro federaci

  1. Připojte se ke svému adresáři Microsoft Entra jako správce tenanta:

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"

  2. Nakonfigurujte požadovanou doménu Microsoftu 365 tak, aby používala federaci s SAML 2.0:

    $Domain = "contoso.com"  
$LogOnUrl = "https://WS2012R2-0.contoso.com/passiveLogon" 
$LogOffUrl = "https://WS2012R2-0.contoso.com/passiveLogOff" 
$ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" 
$MyUri = "urn:uri:MySamlp2IDP"
$idptokensigningcert = [System.Security.Cryptography.X509Certificates.X509Certificate2]("C:\temp\contosoidptokensign.cer")  
$MySigningCert = [system.convert]::tobase64string($idptokensigningcert.rawdata) 
$Protocol = "saml"

New-MgDomainFederationConfiguration `
  -DomainId $Domain `
  -ActiveSignInUri $ecpUrl `
  -IssuerUri $MyUri `
  -PassiveSignInUri $LogOnUrl `
  -PreferredAuthenticationProtocol $Protocol `
  -SignOutUri $LogOffUrl `
  -SigningCertificate $MySigningCert

  3. Řetězec zakódovaný podpisovým certifikátem Base64 můžete získat ze souboru metadat IDP. Příklad tohoto umístění je uvedený níže, ale může se mírně lišit v závislosti na vaší implementaci.

    <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <KeyDescriptor use="signing">
    <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
     <X509Data>
       <X509Certificate> eF3gH4iJ5kL6mN7oP8-qR9sT0uV=</X509Certificate>
      </X509Data>
    </KeyInfo>
  </KeyDescriptor>
</IDPSSODescriptor>

Další informace naleznete v tématu New-MgDomainFederationConfiguration.

Poznámka:

Musíte použít $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" jenom v případě, že pro svého zprostředkovatele identity nastavíte rozšíření ECP. Klienti Exchange Online, s výjimkou Outlook Web Application (OWA), spoléhají na aktivní koncový bod založený na post. Pokud služba SAML 2.0 STS implementuje aktivní koncový bod podobný implementaci ECP aktivního koncového bodu Shibboleth, může být možné, aby tito klienti s bohatými službami interagovali se službou Exchange Online.

Po nakonfigurování federace můžete přepnout zpět na nefederované (nebo spravované), ale dokončení této změny trvá až dvě hodiny a vyžaduje přiřazení nových náhodných hesel pro cloudové přihlašování každému uživateli. V některých scénářích může být vyžadováno přepnutí zpět na "spravovanou" k resetování chyby v nastavení. Další informace o převodu domény naleznete v tématu Remove-MgDomainFederationConfiguration.

Zřízení objektů zabezpečení uživatele pro Microsoft Entra ID / Microsoft 365

Než budete moct ověřovat uživatele v Microsoftu 365, musíte zřídit ID Microsoft Entra s objekty zabezpečení uživatele, které odpovídají kontrolnímu výrazu v deklaraci identity SAML 2.0. Pokud tyto objekty zabezpečení uživatele nejsou předem známé pro ID Microsoft Entra, nejde je použít pro federované přihlašování. K zřizování objektů zabezpečení uživatele je možné použít Microsoft Entra Connect nebo PowerShell.

Microsoft Entra Connect se dá použít ke zřizování objektů zabezpečení pro vaše domény v adresáři Microsoft Entra z místní Active Directory. Podrobnější informace najdete v tématu Integrace místních adresářů s Microsoft Entra ID.

PowerShell se dá použít také k automatizaci přidávání nových uživatelů do Microsoft Entra ID a k synchronizaci změn z místního adresáře. Pokud chcete použít rutiny PowerShellu, musíte stáhnout modul Microsoft Graph PowerShellu .

Tento postup ukazuje, jak přidat jednoho uživatele do Microsoft Entra ID.

  1. Připojte se ke svému adresáři Microsoft Entra jako správce tenanta pomocí Connect-MgGraph.

  2. Vytvořte nový objekt zabezpečení uživatele:

    $Password =  -join ((48..57) + (97..122) | Get-Random -Count 12 | % {[char]$_})
$PasswordProfile = @{ Password = "$Password" }

New-MgUser `
  -UserPrincipalName "elwoodf1@contoso.com" `
  -DisplayName "Elwood Folk" `
  -GivenName "Elwood" `
  -Surname "Folk" `
  -AccountEnabled `
  -MailNickName 'ElwoodFolk' `
  -OnPremisesImmutableId ABCDEFG1234567890 `
  -OtherMails "Elwood.Folk@contoso.com" `
  -PasswordProfile $PasswordProfile `
  -UsageLocation "US"

Další informace naleznete v tématu New-MgUser.

Poznámka:

Hodnota UserPrincipalName musí odpovídat hodnotě, kterou odešlete pro "IDPEmail" v deklaraci IDENTITY SAML 2.0 a hodnota OnPremisesImmutableId musí odpovídat hodnotě odeslané v kontrolním výrazu NameID.

Ověření jednotného přihlašování pomocí protokolu IDP SAML 2.0

Než jako správce ověříte a spravujete jednotné přihlašování (označované také jako federace identit), projděte si informace a proveďte kroky v následujících článcích a nastavte jednotné přihlašování pomocí zprostředkovatele identity založeného na SAML 2.0 SP-Lite:

  1. Prošli jste si požadavky protokolu Microsoft Entra SAML 2.0.
  2. Nakonfigurovali jste zprostředkovatele identity SAML 2.0.
  3. Instalace PowerShellu pro jednotné přihlašování pomocí zprostředkovatele identity SAML 2.0
  4. Nastavení vztahu důvěryhodnosti mezi zprostředkovatelem identity SAML 2.0 a ID Microsoft Entra
  5. Zřídil známý objekt zabezpečení testovacího uživatele pro Microsoft Entra ID (Microsoft 365) prostřednictvím PowerShellu nebo Microsoft Entra Connect.
  6. Nakonfigurujte synchronizaci adresářů pomocí nástroje Microsoft Entra Connect.

Po nastavení jednotného přihlašování u zprostředkovatele identity založeného na SAML 2.0 SP-Lite byste měli ověřit, že funguje správně. Další informace o testování jednotného přihlašování založeného na SAML najdete v tématu Testování jednotného přihlašování založeného na SAML.

Poznámka:

Pokud jste místo přidání domény převedli doménu, může trvat až 24 hodin, než nastavíte jednotné přihlašování. Než ověříte jednotné přihlašování, měli byste dokončit nastavení synchronizace služby Active Directory, synchronizovat adresáře a aktivovat synchronizované uživatele.

Ruční ověření správného nastavení jednotného přihlašování

Ruční ověření poskytuje další kroky, které můžete provést, abyste zajistili, že váš zprostředkovatel identity SAML 2.0 funguje v mnoha scénářích správně. Pokud chcete ověřit, že je jednotné přihlašování správně nastavené, proveďte následující kroky:

  1. Na počítači připojeném k doméně se přihlaste ke cloudové službě pomocí stejného přihlašovacího názvu, který používáte pro své podnikové přihlašovací údaje.
  2. Vyberte uvnitř pole s heslem. Pokud je nastavené jednotné přihlašování, vystínuje se pole s heslem a zobrazí se následující zpráva: "Teď je potřeba se přihlásit ve <vaší společnosti>.".
  3. Vyberte přihlašovací údaje na <odkazu vaší společnosti> . Pokud se můžete přihlásit, nastaví se jednotné přihlašování.

Další kroky