为企业应用程序启用单一登录
本文介绍如何使用 Microsoft Entra 管理中心为添加到 Microsoft Entra 租户的企业应用程序启用单一登录 (SSO)。 配置 SSO 后,用户可以使用其 Microsoft Entra 凭据进行登录。
Microsoft Entra ID 有一个库,其中包含数千个使用 SSO 的预集成应用程序。 本文使用名为 Microsoft Entra SAML Toolkit 1 的企业应用程序作为示例,但这些概念适用于 Microsoft Entra 应用程序库中大多数预配置的企业应用程序。
建议使用非生产环境来测试本文中的步骤。
先决条件
若要配置 SSO,需要满足以下条件:
- 一个 Microsoft Entra 用户帐户。 如果还没有帐户,可以免费创建一个帐户。
- 以下角色之一:云应用程序管理员、应用程序管理员或服务主体的所有者。
- 完成快速入门:创建并分配用户帐户中的步骤。
启用单一登录
提示
本文中的步骤可能因开始使用的门户而略有不同。
为应用程序启用 SSO:
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。
在“搜索”框中输入现有应用程序的名称,然后从搜索结果中选择该应用程序。 例如 Microsoft Entra SAML Toolkit 1。
在左侧菜单的“管理”部分中,选择“单一登录”,打开“单一登录”窗格进行编辑 。
选择“SAML”以打开“SSO 配置”页。 配置应用程序后,用户可以使用 Microsoft Entra 租户中的凭据进行登录。
将应用程序配置为使用 Microsoft Entra ID 进行基于 SAML 的 SSO 的过程因应用程序而异。 对于库中的任何企业应用程序,请使用“配置指南”链接查找有关配置应用程序所需步骤的信息。 本文中列出了用于 Microsoft Entra SAML Toolkit 1 的步骤。
在“设置 Microsoft Entra SAML Toolkit 1”部分,记录“登录 URL”、“Microsoft Entra 标识符”和“登录 URL”属性的值以供稍后使用。
在租户中配置单一登录
添加“登录”和“回复 URL”值,并下载证书以开始在 Microsoft Entra ID 中配置 SSO。
若要在 Microsoft Entra ID 中配置 SSO,请执行以下操作:
- 在 Microsoft Entra 管理中心,在“设置 SAML 单一登录”窗格上的“基本 SAML 配置”部分中选择“编辑”。
- 对于“回复 URL(断言使用者服务 URL)”,输入
https://samltoolkit.azurewebsites.net/SAML/Consume
。 - 对于登录 URL,输入
https://samltoolkit.azurewebsites.net/
。 - 选择“保存”。
- 在“SAML 证书”部分中,选择下载“证书(原始)”,下载 SAML 签名证书,并将其保存以供以后使用。
在应用程序中配置单一登录
在应用程序中使用单一登录时,需要向应用程序注册用户帐户并添加之前记录的 SAML 配置值。
注册用户帐户
向应用程序注册用户帐户:
打开新的浏览器窗口,并浏览到应用程序的登录 URL。 对于 Microsoft Entra SAML Toolkit 应用程序,地址为
https://samltoolkit.azurewebsites.net
。在页面右上角,选择“注册”。
对于“电子邮件”,输入可以访问应用程序的用户的电子邮件地址。 确保已将用户帐户分配给应用程序。
输入密码并进行确认。
选择“注册” 。
配置 SAML 设置
为应用程序配置 SAML 设置:
- 在应用程序的登录页面上,使用已分配给应用程序的用户帐户的凭据登录,并选择页面左上角的“SAML 配置”。
- 在页面中间,选择“创建”。
- 对于“登录 URL”、“Microsoft Entra 标识符”和“注销 URL”,请输入之前记录的值。
- 选择“选择文件”,上传之前下载的证书。
- 选择“创建” 。
- 复制“SP 发起的登录 URL”和“断言使用者服务(ACS) URL”以供稍后使用 。
更新单一登录值
使用为“SP 发起的登录 URL”和“断言使用者服务(ACS) URL”记录的值来更新租户中的单一登录值 。
更新单一登录值:
- 在 Microsoft Entra 管理中心,在“设置单一登录”窗格上的“基本 SAML 配置”部分中选择“编辑”。
- 对于“回复 URL (断言使用者服务 URL)”,请输入之前记录的“断言使用者服务(ACS) URL”值 。
- 对于“登录 URL”,请输入之前记录的“SP 发起的登录 URL”值 。
- 选择“保存”。
测试单一登录
可以从“设置单一登录”窗格测试单一登录配置。
测试 SSO:
- 在“测试 Microsoft Entra SAML Toolkit 1 的单一登录”部分的“使用 SAML 设置单一登录”窗格上,选择“测试”。
- 使用向应用程序分配的用户帐户的 Microsoft Entra 凭据登录应用程序。