使用应用程序代理通过密码存储进行单一登录
Microsoft Entra 应用程序代理可以发布本地应用程序供远程员工进行安全访问,从而提高工作效率。 在 Microsoft Entra 管理中心,还可以对这些应用设置单一登录 (SSO)。 用户只需使用 Microsoft Entra ID 进行身份验证,无需再次登录便可访问企业应用程序。
应用程序代理支持多种单一登录模式。 基于密码的登录适合组合使用用户名和密码进行身份验证的应用程序。 Microsoft Entra ID 会存储登录信息,并在用户远程访问应用程序时自动向应用程序提供该信息。
先决条件
本文要求使用应用程序代理发布和测试应用。 若要了解详细信息,请参阅使用 Microsoft Entra 应用程序代理发布应用程序。
为应用程序设置密码存储
至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。
从列表中选择要设置 SSO 的应用。
选择“应用程序代理”。
将“预身份验证类型”更改为“直通”,并选择“保存” 。 稍后可以再次切换回 Microsoft Entra ID 类型。
选择“单一登录”。
对于 SSO 模式,请选择“基于密码的登录”。
对于登录 URL,请输入用户在公司网络外登录应用时在其中输入用户名和密码的页面的 URL。 该页面可能是通过应用程序代理发布应用时创建的外部 URL。
选择“保存”。
选择“应用程序代理”。
将“预身份验证类型”更改为“Microsoft Entra ID”,并选择“保存”。
选择“用户和组”。
将用户分配到该应用程序,选择“添加用户”。
若要预定义用户的凭据,请选中用户名前面的复选框,并选择“更新凭据”。
浏览到“标识”>“应用程序”>“应用注册”>“所有应用程序”。
从列表中选择要配置密码 SSO 的应用。
选择“品牌” 。
在“密码 SSO”页面中将“主页 URL”更新为“登录 URL”,并选择“保存”。
测试应用
转到“我的应用”门户。 使用凭据(或者已设置的具有访问权限的测试帐户的凭据)登录。 成功登录后,选择应用的图标。 打开“我的应用”门户可能会触发“我的应用”安全登录浏览器扩展的安装。 如果已预定义凭据,应会自动对应用进行身份验证,否则需要在首次验证时指定用户名或密码。
后续步骤
- 了解如何通过其他方式实现单一登录
- 了解使用 Microsoft Entra 应用程序代理远程访问应用时的安全注意事项