Поделиться через


Единый вход для локальных приложений с прокси-сервером приложения (SAML)

Предоставьте единый вход локальным приложениям, защищенным с помощью проверки подлинности языка разметки утверждений безопасности (SAML). Предоставление удаленного доступа к приложениям единого входа на основе SAML с помощью прокси приложения. С помощью единого входа SAML Microsoft Entra проходит проверку подлинности в приложении с помощью учетной записи Microsoft Entra пользователя. Microsoft Entra ID передает приложению данные для входа через протокол соединения. Вы можете сопоставлять пользователей с конкретными ролями приложений согласно правилам, определенным в утверждениях SAML. В дополнение к единому входу в SAML прокси приложения пользователи имеют внешний доступ к приложению и простой единый вход.

Приложения должны иметь возможность использовать токены SAML, выданные идентификатором Microsoft Entra. Такая конфигурация неприменима к приложениям, которые используют локальный поставщик удостоверений. В этих сценариях рекомендуется просмотреть ресурсы для переноса приложений в идентификатор Microsoft Entra.

Единый вход SAML с прокси приложениями также работает с функцией шифрования токенов SAML. Дополнительные сведения см. в разделе "Настройка шифрования токенов SAML Microsoft Entra".

Схемы протоколов описывают последовательность единого входа для потока, инициированного поставщиком услуг (sp-инициированной) и потока, инициированного поставщиком удостоверений (idP-инициированный). Прокси приложения работает с единым входом SAML путем кэширования запроса SAML и ответа на нее из локального приложения.

На схеме показаны взаимодействия приложения, прокси приложения, клиента и идентификатора Microsoft Entra для единого входа, инициированного S P..

На схеме показаны взаимодействия приложения, прокси приложения, клиента и идентификатора Microsoft Entra для единого входа, инициированного P- d.

Создание приложения и настройка единого входа на основе SAML

  1. В Центре администрирования Microsoft Entra выберите приложения Microsoft Entra ID > Enterprise и выберите новое приложение.

  2. Введите отображаемое имя для нового приложения, установите флажок Интеграция с любыми другими приложениями, которых нет в коллекции и щелкните Создать.

  3. На странице Обзор для приложения выберите Единый вход.

  4. Выберите SAML в качестве метода единого входа.

  5. Сначала настройте работу единого входа на основе SAML в корпоративной сети, используя простую конфигурацию SAML из статьи Настройка единого входа на основе SAML.

  6. Добавьте хотя бы одного пользователя в приложение и убедитесь, что тестовая учетная запись имеет доступ к приложению. Подключитесь к корпоративной сети и воспользуйтесь тестовой учетной записью, чтобы проверить единый вход в приложение.

    Примечание.

    После настройки прокси приложения вы вернетесь и обновите URL-адрес ответа SAML.

Публикация локального приложения с помощью прокси приложения

Перед предоставлением единого входа для локальных приложений включите прокси приложения и установите соединитель. Дополнительные сведения о подготовке локальной среды, установке и регистрации соединителя и тестировании соединителя. После настройки соединителя выполните следующие действия, чтобы опубликовать новое приложение с помощью прокси приложения.

  1. Если приложение по-прежнему открыто в Центре администрирования Microsoft Entra, выберите прокси приложения. Укажите внутренний URL-адрес для приложения. Если вы используете личный домен, необходимо также передать сертификат TLS/SSL для приложения.

    Примечание.

    Мы рекомендуем везде, где возможно, использовать личные домены для оптимизации взаимодействия с пользователем. Узнайте больше о работе с пользовательскими доменами в прокси приложения Microsoft Entra.

  2. Выберите идентификатор Microsoft Entra в качестве метода предварительной проверки подлинности для приложения.

  3. Скопируйте Внешний URL-адрес для приложения. Этот URL-адрес необходим для завершения конфигурации SAML.

  4. С помощью тестовой учетной записи попробуйте открыть приложение с внешним URL-адресом, чтобы убедиться, что прокси приложения настроен правильно. Если возникли проблемы, см. статью "Устранение неполадок прокси приложения" и сообщений об ошибках.

Обновление конфигурации SAML

  1. Если приложение по-прежнему открыто в Центре администрирования Microsoft Entra, выберите единый вход.

  2. На странице "Настройка единого входа с помощью SAML" перейдите к заголовку "Базовая конфигурация SAML" и выберите значок "Изменить" (карандаш). Убедитесь, что внешний URL-адрес, настроенный в прокси-сервере приложения, заполняется полями идентификатора, URL-адреса ответа и URL-адреса выхода. Эти URL-адреса необходимы для правильной работы прокси приложения.

  3. Измените URL-адрес ответа, настроенный ранее, чтобы его домен был доступен в Интернете через прокси приложения. Например, если внешний URL-адрес и https://contosotravel-f128.msappproxy.net исходный URL-адрес ответа былhttps://contosotravel.com/acs, необходимо обновить исходный URL-адрес ответа на https://contosotravel-f128.msappproxy.net/acs.

  4. Установите флажок рядом с обновленным полем URL-адрес ответа, чтобы это значение использовалось по умолчанию.

    • Выбрав нужный URL-адрес ответа как значение по умолчанию, вы можете удалить ранее настроенный URL-адрес ответа с внутренним URL-адресом.

    • Для потока, инициированного поставщиком услуг, проверьте правильность значения URL-адреса ответа или URL-адреса службы обработчика утверждений в серверном приложении, которые нужны для получения маркера аутентификации.

    Примечание.

    Если серверное приложение ожидает, что URL-адрес ответа будет внутренним URL-адресом, необходимо либо использовать пользовательские домены, чтобы иметь соответствующие внутренние и внешние URL-адреса, либо установить расширение Мои приложения безопасного входа на устройствах пользователей. Это расширение автоматически перенаправляется в соответствующую службу прокси приложения. Сведения об установке расширения см. в статье о расширении защищенного входа в "Мои приложения".

Тестирование приложения

Приложение работает и работает. Чтобы проверить приложение:

  1. Введите в адресную строку браузера значение внешнего URL-адреса, которое вы создали при публикации приложения.
  2. Войдите с помощью тестовой учетной записи, назначенной приложению. Теперь вы сможете загрузить приложение и использовать единый вход в него.

Следующие шаги