啟用企業應用程式的單一登入
在本文中,您會使用 Microsoft Entra 系統管理中心,為企業應用程式啟用您新增至 Microsoft Entra 租用戶的單一登入 (SSO)。 設定 SSO 之後,您的使用者可以使用其 Microsoft Entra 認證登入。
Microsoft Entra ID 有一個資源庫,其中包含使用 SSO 的數千個預先整合應用程式。 本文會使用名為 Microsoft Entra SAML Toolkit 1 的企業應用程式作為範例,但是這些概念適用於 Microsoft Entra 應用程式資源庫中大多數預先整合的企業應用程式。
建議您使用非生產環境來測試本文中的步驟。
必要條件
若要設定 SSO,您需要:
- Microsoft Entra 使用者帳戶。 若尚未有帳戶,可以免費建立帳戶。
- 下列其中一個角色:雲端應用程式管理員、應用程式系統管理員或服務主體擁有者。
- 完成快速入門:建立和指派使用者帳戶中的步驟。
啟用單一登入
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
若要為應用程式啟用 SSO:
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [所有應用程式]。
在搜尋方塊中輸入現有應用程式的名稱,然後從搜尋結果中選取應用程式。 例如, Microsoft Entra SAML Toolkit 1。
在左側功能表的 [管理] 區段中,選取 [單一登入] 來開啟 [單一登入] 窗格以進行編輯。
選取 [SAML] 以開啟 SSO 設定頁面。 設定應用程式之後,使用者就可以使用來自 Microsoft Entra 租用戶的認證來登入該應用程式。
將應用程式設定為使用 Microsoft Entra ID 進行 SAML 型 SSO 的程序,會因為應用程式不同而有所差異。 若為資源庫中的任何企業應用程式,請使用 [設定指南] 連結來尋找設定應用程式所需步驟的相關資訊。 本文會列出 Microsoft Entra SAML Toolkit 1 的步驟。
在 [設定 Microsoft Entra SAML Toolkit 1] 區段中,記錄 [登入 URL]、[Microsoft Entra 識別碼] 和 [登出 URL] 屬性的值,以供稍後使用。
在租用戶中設定單一登入
您可以新增登入和回覆 URL 值,並下載憑證以開始在 Microsoft Entra ID 中設定 SSO。
在 Microsoft Entra ID 中設定 SSO:
- 在 Microsoft Entra 系統管理中心中,選取 [使用 SAML 設定單一登入] 窗格上的 [基本 SAML 設定] 區段中的 [編輯]。
- 針對 [回覆 URL (判斷提示取用者服務 URL)],輸入
https://samltoolkit.azurewebsites.net/SAML/Consume
。 - 針對 [登入 URL],輸入
https://samltoolkit.azurewebsites.net/
。 標識元 (實體標識符) 通常是您所整合之應用程式特有的URL。 針對此範例中的 Microsoft Entra SAML Toolkit 1 應用程式,當您輸入登入 URL 和回復 URL 值之後,就會自動產生此值。 請遵循您所整合之應用程式的特定組態指南,以判斷正確的值。 - 選取儲存。
- 在 [SAML 憑證] 區段中,針對 [憑證 (原始)] 選取 [下載] 以下載 SAML 簽署憑證並儲存,以供稍後使用。
在應用程式中設定單一登入
在應用程式中使用單一登入,您需要向應用程式註冊使用者帳戶,並新增您先前記錄的 SAML 設定值。
註冊使用者帳戶
若要向應用程式註冊使用者帳戶:
開啟新的瀏覽器視窗,並瀏覽至應用程式的登入 URL。 針對 Microsoft Entra SAML Toolkit 應用程式,位址為
https://samltoolkit.azurewebsites.net
。在頁面右上角選取 [註冊]。
針對 [電子郵件],輸入會存取應用程式的使用者電子郵件地址。 請確保使用者帳戶已指派給應用程式。
在 [密碼] 輸入並確認密碼。
選取註冊。
設定 SAML 設定
設定應用程式的 SAML 設定:
- 在應用程式單一登入頁面上,使用您已指派給應用程式的使用者帳戶認證進行登入,然後選取頁面左上角的 [SAML 設定]。
- 選取頁面中間的 [建立]。
- 在 [登入 URL]、[Microsoft Entra 識別碼] 和 [登出 URL] 中,輸入您稍早記錄的值。
- 選取 [選擇檔案],上傳您先前下載的憑證。
- 選取 建立。
- 複製 [SP 起始登入 URL] 和 [判斷提示取用者服務 (ACS) URL] 的值,以供稍後使用。
更新單一登入值
使用您針對 [SP 起始登入 URL] 和 [判斷提示取用者服務 (ACS) URL] 記錄的值,更新您租用戶中的單一登入值。
若要更新單一登入值:
- 在 Microsoft Entra 系統管理中心中,選取 [設定單一登入] 窗格上的 [基本 SAML 設定] 區段中的 [編輯]。
- 針對 [回覆 URL (判斷提示取用者服務 URL]),輸入您先前記錄的 [判斷提示取用者服務 (ACS) URL] 值。
- 針對 [登入 URL],輸入您先前記錄的 [SP 起始登入 URL] 值。
- 選取 [儲存]。
測試單一登入
您可以從 [設定單一登入] 窗格測試單一登入設定。
若要測試 SSO:
- 在 [使用 Microsoft Entra SAML Toolkit 1 測試單一登入] 區段中的 [以 SAML 設定單一登入] 窗格上,選取 [測試]。
- 使用您指派給應用程式的使用者帳戶 Microsoft Entra 認證來登入應用程式。