共用方式為


啟用企業應用程式的單一登入

在本文中,您會使用 Microsoft Entra 系統管理中心,為企業應用程式啟用您新增至 Microsoft Entra 租用戶的單一登入 (SSO)。 設定 SSO 之後,您的使用者可以使用其 Microsoft Entra 認證登入。

Microsoft Entra ID 有一個資源庫,其中包含使用 SSO 的數千個預先整合應用程式。 本文會使用名為 Microsoft Entra SAML Toolkit 1 的企業應用程式作為範例,但是這些概念適用於 Microsoft Entra 應用程式資源庫中大多數預先整合的企業應用程式。

建議您使用非生產環境來測試本文中的步驟。

必要條件

若要設定 SSO,您需要:

啟用單一登入

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

若要為應用程式啟用 SSO:

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [所有應用程式]

  3. 在搜尋方塊中輸入現有應用程式的名稱,然後從搜尋結果中選取應用程式。 例如, Microsoft Entra SAML Toolkit 1

  4. 在左側功能表的 [管理] 區段中,選取 [單一登入] 來開啟 [單一登入] 窗格以進行編輯。

  5. 選取 [SAML] 以開啟 SSO 設定頁面。 設定應用程式之後,使用者就可以使用來自 Microsoft Entra 租用戶的認證來登入該應用程式。

  6. 將應用程式設定為使用 Microsoft Entra ID 進行 SAML 型 SSO 的程序,會因為應用程式不同而有所差異。 若為資源庫中的任何企業應用程式,請使用 [設定指南] 連結來尋找設定應用程式所需步驟的相關資訊。 本文會列出 Microsoft Entra SAML Toolkit 1 的步驟。

    螢幕擷取畫面顯示如何設定企業應用程式的單一登入。

  7. [設定 Microsoft Entra SAML Toolkit 1] 區段中,記錄 [登入 URL][Microsoft Entra 識別碼][登出 URL] 屬性的值,以供稍後使用。

在租用戶中設定單一登入

您可以新增登入和回覆 URL 值,並下載憑證以開始在 Microsoft Entra ID 中設定 SSO。

在 Microsoft Entra ID 中設定 SSO:

  1. 在 Microsoft Entra 系統管理中心中,選取 [使用 SAML 設定單一登入] 窗格上的 [基本 SAML 設定] 區段中的 [編輯]
  2. 針對 [回覆 URL (判斷提示取用者服務 URL)],輸入 https://samltoolkit.azurewebsites.net/SAML/Consume
  3. 針對 [登入 URL],輸入 https://samltoolkit.azurewebsites.net/。 標識元 (實體標識符) 通常是您所整合之應用程式特有的URL。 針對此範例中的 Microsoft Entra SAML Toolkit 1 應用程式,當您輸入登入 URL 和回復 URL 值之後,就會自動產生此值。 請遵循您所整合之應用程式的特定組態指南,以判斷正確的值。
  4. 選取儲存
  5. 在 [SAML 憑證] 區段中,針對 [憑證 (原始)] 選取 [下載] 以下載 SAML 簽署憑證並儲存,以供稍後使用。

在應用程式中設定單一登入

在應用程式中使用單一登入,您需要向應用程式註冊使用者帳戶,並新增您先前記錄的 SAML 設定值。

註冊使用者帳戶

若要向應用程式註冊使用者帳戶:

  1. 開啟新的瀏覽器視窗,並瀏覽至應用程式的登入 URL。 針對 Microsoft Entra SAML Toolkit 應用程式,位址為 https://samltoolkit.azurewebsites.net

  2. 在頁面右上角選取 [註冊]

  3. 針對 [電子郵件],輸入會存取應用程式的使用者電子郵件地址。 請確保使用者帳戶已指派給應用程式。

  4. 在 [密碼] 輸入並確認密碼。

  5. 選取註冊

設定 SAML 設定

設定應用程式的 SAML 設定:

  1. 在應用程式單一登入頁面上,使用您已指派給應用程式的使用者帳戶認證進行登入,然後選取頁面左上角的 [SAML 設定]
  2. 選取頁面中間的 [建立]
  3. [登入 URL][Microsoft Entra 識別碼][登出 URL] 中,輸入您稍早記錄的值。
  4. 選取 [選擇檔案],上傳您先前下載的憑證。
  5. 選取 建立
  6. 複製 [SP 起始登入 URL] 和 [判斷提示取用者服務 (ACS) URL] 的值,以供稍後使用。

更新單一登入值

使用您針對 [SP 起始登入 URL] 和 [判斷提示取用者服務 (ACS) URL] 記錄的值,更新您租用戶中的單一登入值。

若要更新單一登入值:

  1. 在 Microsoft Entra 系統管理中心中,選取 [設定單一登入] 窗格上的 [基本 SAML 設定] 區段中的 [編輯]
  2. 針對 [回覆 URL (判斷提示取用者服務 URL]),輸入您先前記錄的 [判斷提示取用者服務 (ACS) URL] 值。
  3. 針對 [登入 URL],輸入您先前記錄的 [SP 起始登入 URL] 值。
  4. 選取 [儲存]。

測試單一登入

您可以從 [設定單一登入] 窗格測試單一登入設定。

若要測試 SSO:

  1. [使用 Microsoft Entra SAML Toolkit 1 測試單一登入] 區段中的 [以 SAML 設定單一登入] 窗格上,選取 [測試]
  2. 使用您指派給應用程式的使用者帳戶 Microsoft Entra 認證來登入應用程式。

下一步