Поделиться через

Включение единого входа для корпоративного приложения с помощью службы STS проверяющей стороны

  • Статья

В этой статье вы используете Центр администрирования Microsoft Entra для включения единого входа (SSO) для корпоративного приложения, которое зависит от службы маркеров безопасности проверяющей стороны (STS). Доверяющая сторона STS поддерживает язык разметки для утверждений безопасности (SAML) и может быть интегрирована с Microsoft Entra в качестве корпоративного приложения. После настройки единого входа пользователи могут войти в приложение с помощью учетных данных Microsoft Entra.

Схема, показывающая отношение доверия между приложением, проверяющей стороной STS и идентификатором Microsoft Entra в качестве поставщика удостоверений.

Если ваше приложение будет интегрироваться непосредственно с Microsoft Entra для единой аутентификации и не требует службы токенов безопасности доверяющей стороны (STS), ознакомьтесь со статьей «Включить единую аутентификацию для корпоративного приложения».

Рекомендуется использовать непроизводственные среды для тестирования действий, описанных в этой статье, перед настройкой приложения в рабочем клиенте.

Предпосылки

Чтобы настроить единый вход, потребуется следующее:

  • Сторона, полагающаяся на STS, такая как службы федерации Active Directory (AD FS) или PingFederate, с конечными точками HTTPS
    1. Вам потребуется идентификатор сущности (идентификатор сущности) проверяющей стороны STS. Это должно быть уникальным для всех Служб проверки подлинности и приложений, настроенных в клиенте Microsoft Entra. В одном клиенте Microsoft Entra с одним и тем же идентификатором сущности не может быть два приложения. Например, если Active Directory Federation Services (AD FS) служат проверяющей стороной STS, то идентификатор может быть URL-адресом формы http://{hostname.domain}/adfs/services/trust.
    2. Вам также нужен URL-адрес службы потребителей утверждения или URL-адрес ответа доверяющей стороны STS. Этот URL-адрес должен быть URL-адресом HTTPS для безопасной передачи токенов SAML из Microsoft Entra в службу STS проверяющей стороны в рамках SSO в приложение. Например, если AD FS является доверяющей стороной STS, то URL-адрес может иметь форму https://{hostname.domain}/adfs/ls/.
  • Приложение, которое уже интегрировано с этой доверяющей стороной STS
  • Одна из следующих ролей в Microsoft Entra: администратор облачных приложений, администратор приложений
  • Тестовый пользователь в Microsoft Entra, который может войти в приложение

Замечание

В этом руководстве предполагается, что существует один клиент Microsoft Entra, один сервер токенов безопасности (STS) и одно приложение, подключенное к серверу токенов безопасности (STS). В этом руководстве показано, как настроить Microsoft Entra для использования идентификатора сущности, предоставленного проверяющей стороной STS, чтобы определить соответствующее корпоративное приложение, чтобы отправить токен SAML в ответ. Если у вас есть несколько приложений, подключенных к одной проверяющей стороне STS, Microsoft Entra не сможет различать эти два приложения при выдаче токенов SAML. Настройка различных идентификаторов сущностей выходит за рамки этого руководства.

Создание приложения в Microsoft Entra

Сначала создайте корпоративное приложение в Microsoft Entra, чтобы Microsoft Entra могла сгенерировать токены SAML для предоставления их приложению через проверяющую сторону STS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к Entra ID>Enterprise приложениям>Все приложения.
  3. Если вы уже настроили приложение, представляющее STS доверяющей стороны, введите имя существующего приложения в поле поиска, выберите приложение из результатов поиска и продолжайте в следующем разделе.
  4. Выберите новое приложение.
  5. Выберите "Создать собственное приложение".
  6. Введите имя нового приложения в поле входных имен, выберите "Интегрировать любое другое приложение, которое вы не найдете в коллекции (не в коллекции)" и нажмите кнопку "Создать".

Настройка единого входа в приложении

  1. В разделе "Управление " в меню слева выберите единый вход , чтобы открыть панель единого входа для редактирования.

  2. Выберите SAML, чтобы открыть страницу настроек единого входа.

  3. В поле "Базовая конфигурация SAML" нажмите кнопку "Изменить". Идентификатор и URL-адрес ответа должны быть заданы перед внесением дальнейших изменений конфигурации SAML. Снимок экрана: необходимая базовая конфигурация SAML для единого входа для корпоративного приложения.

  4. На странице "Базовая конфигурация SAML" в разделе "Идентификатор сущности", если идентификатор не указан, выберите "Добавить идентификатор". Введите идентификатор приложения, предоставленный проверяющей стороной STS. Например, идентификатор может быть URL-адресом формы http://{hostname.domain}/adfs/services/trust.

  5. На странице "Базовая конфигурация SAML" в разделе "URL-адрес ответа" (URL-адрес службы потребителей утверждений) выберите "Добавить URL-адрес ответа". Введите URL-адрес HTTPS доверяющей стороны службы приёма утверждений STS. Например, URL-адрес может иметь форму https://{hostname.domain}/adfs/ls/.

  6. При необходимости настройте URL-адреса для входа, состояние ретрансляции или выхода, если это необходимо для STS доверяющей стороны.

  7. Нажмите кнопку "Сохранить".

Скачивание метаданных и сертификатов из Microsoft Entra

Служба проверяющей стороны STS может требовать метаданные федерации из Microsoft Entra в качестве поставщика идентификационных данных, чтобы завершить настройку. Метаданные федерации и связанные сертификаты предоставляются в разделе сертификатов SAML на странице "Базовая конфигурация SAML ". Дополнительные сведения см. в разделе метаданных федерации.

Снимок экрана: сертификаты подписи SAML и параметры скачивания метаданных федерации для корпоративного приложения.

  • Если служба STS проверяющей стороны может скачать метаданные федерации из конечной точки Интернета, скопируйте значение рядом с URL-адресом метаданных федерации приложений.
  • Если служба STS доверяющей стороны требует локальный XML-файл, содержащий федеративные метаданные, нажмите Скачать рядом с Федеративные метаданные XML.
  • Если для доверяющей стороны STS требуется сертификат поставщика удостоверений, нажмите Скачать рядом с Сертификат (Base64) или Сертификат (необработанный).
  • Если STS вашей доверяющей стороны не поддерживает метаданные федерации, скопируйте URL-адрес входа и идентификатор Microsoft Entra, чтобы настроить STS доверяющей стороны. Снимок экрана: URL-адрес входа Microsoft Entra и идентификатор корпоративного приложения.

Настройте утверждения, выданные Microsoft Entra

По умолчанию в SAML-токен, который Microsoft Entra отправляет стороне, доверяющей STS, включены только несколько атрибутов пользователей Microsoft Entra. Можно добавить дополнительные утверждения, необходимые для приложений, и изменить атрибут, указанный в идентификаторе имени SAML. Дополнительные сведения о стандартных утверждениях см. в справочнике по утверждениям токена SAML.

  1. В поле "Атрибуты и утверждения" нажмите кнопку "Изменить".
  2. Чтобы изменить атрибут Entra ID, который отправляется в качестве значения идентификатора имени, выберите строку Unique User Identifier (Name ID). Исходный атрибут можно изменить на другой встроенный или расширенный атрибут Microsoft Entra. Затем нажмите кнопку "Сохранить".
  3. Чтобы изменить, какой атрибут Entra ID отправляется в качестве значения уже настроенного утверждения, выберите строку в разделе "Дополнительные утверждения ".
  4. Чтобы добавить новое утверждение, нажмите кнопку "Добавить новое утверждение".
  5. После завершения выберите вход на основе SAML, чтобы закрыть этот экран.

Настройте, кто может входить в приложение.

При тестировании конфигурации необходимо назначить определенного тестового пользователя приложению в Microsoft Entra, чтобы убедиться, что пользователь может войти в приложение через Microsoft Entra и проверяющую сторону STS.

  1. В разделе "Управление " в меню слева выберите пункт "Свойства".
  2. Убедитесь, что параметр Разрешение на вход пользователей установлен на Да.
  3. Убедитесь, что для параметра "Назначение" задано значение "Да".
  4. Если вы внесли какие-либо изменения, нажмите кнопку "Сохранить".
  5. В разделе "Управление " в меню слева выберите "Пользователи" и "Группы".
  6. Выберите "Добавить пользователя или группу".
  7. Выберите "Нет".
  8. В поле поиска введите имя тестового пользователя, а затем выберите пользователя и нажмите кнопку "Выбрать".
  9. Выберите "Назначить ", чтобы назначить пользователя роли пользователя по умолчанию для приложения.
  10. В разделе "Безопасность " в меню слева выберите условный доступ.
  11. Выберите "Что если".
  12. Выберите "Нет пользователя или субъекта-службы", выберите "Нет пользователя" и выберите пользователя, ранее назначенного приложению.
  13. Выберите любое облачное приложение и выберите корпоративное приложение.
  14. Выберите "Что если". Убедитесь, что все политики, которые будут применяться, позволяют пользователю входить в приложение.

Сконфигурируйте Microsoft Entra в качестве поставщика удостоверений в вашей проверяющей стороне STS

Затем импортируйте метаданные федерации в STS проверяющей стороны. Ниже показано использование AD FS, но вместо этого можно использовать другую проверяющую сторону STS.

  1. В списке доверия поставщика утверждений службы STS доверяющей стороны выберите Добавить доверие поставщика утверждений и нажмите Пуск.
  2. В зависимости от того, скачали ли вы метаданные федерации из Microsoft Entra, выберите Импортировать данные о поставщике утверждений, опубликованные в Интернете или на локальной сети, или Импортировать данные о поставщике утверждений из файла.
  3. Вам может потребоваться также предоставить сертификат Microsoft Entra проверяющей стороне STS.
  4. После завершения настройки Microsoft Entra в качестве поставщика удостоверений убедитесь, что:
    • Идентификатор поставщика утверждений — это универсальный код ресурса (URI) формы https://sts.windows.net/{tenantid}.
    • Если используется глобальная служба Microsoft Entra ID, конечные точки для единого входа SAML — это URI формы https://login.microsoftonline.com/{tenantid}/saml2. Для информации о национальных облаках см. проверку подлинности Microsoft Entra и национальные облака.
    • Сертификат Microsoft Entra распознается STS доверяющей стороной.
    • Шифрование не настроено.
    • Утверждения, настроенные в Microsoft Entra, указаны как доступные для сопоставлений правил утверждений в системе STS проверяющей стороны. При последующем добавлении дополнительных утверждений может потребоваться также добавить их в конфигурацию поставщика удостоверений в службе STS доверяющей стороны.

Настройка правил утверждений в службе STS проверяющей стороны

После того как станет известно, какие утверждения Microsoft Entra будет отправлять в качестве удостоверяющего поставщика службам STS проверяющей стороны, необходимо будет сопоставить или преобразовать эти утверждения в те, которые требуются вашему приложению. Ниже показано использование AD FS, но вместо этого можно использовать другую проверяющую сторону STS.

  1. В списке доверия поставщика утверждений проверяющей стороны выберите доверие поставщика утверждений для Microsoft Entra и выберите "Изменить правила утверждений".
  2. Для каждого утверждения, предоставленного Microsoft Entra и требуемого вашим приложением, выберите «Добавить правило». В каждом правиле выберите "Передать" или "Фильтровать входящее утверждение" или"Преобразовать входящее утверждение" на основе требований приложения.

Проверка единого входа в приложение

После настройки приложения в Microsoft Entra и проверяющей стороне STS пользователи могут войти в него, аутентифицировавшись в Microsoft Entra, после чего маркер, предоставленный Microsoft Entra, преобразуется проверяющей стороной STS в форму и утверждения, необходимые для вашего приложения.

В этом руководстве показано тестирование потока входа с помощью веб-приложения, которое реализует шаблон единого входа, инициированного проверяющей стороной. Дополнительные сведения см. в статье о протоколе SAML единого входа.

Схема, показывающая перенаправление веб-браузера между приложением, доверяющей стороной STS и Microsoft Entra ID в качестве поставщика идентификации.

  1. В частном сеансе браузера подключитесь к приложению и инициируйте процесс входа. Приложение перенаправляет веб-браузер на службу STS проверяющей стороны, а эта служба STS определяет поставщиков удостоверений, которые могут предоставлять соответствующие утверждения.
  2. В проверяющей стороне stS, если появится запрос, выберите поставщика удостоверений Microsoft Entra. Полагющаяся сторона STS перенаправляет веб-браузер в конечную точку аутентификации Microsoft Entra, https://login.microsoftonline.com если используется глобальная служба идентификации Microsoft Entra.
  3. Войдите в Microsoft Entra с помощью удостоверения тестового пользователя, ранее настроенного на шаге настройки, который может войти в приложение. Затем Microsoft Entra находит корпоративное приложение на основе идентификатора сущности и перенаправляет веб-браузер на конечную точку URL-адреса ответа STS проверяющей стороны, при этом веб-браузер переносит токен SAML.
  4. Служба STS, которая является стороной, которой доверяют, проверяет, что токен SAML был выдан Microsoft Entra, затем извлекает и преобразует утверждения из токена SAML и перенаправляет веб-браузер на приложение. Убедитесь, что приложение получило необходимые утверждения от Microsoft Entra через этот процесс.

Полная конфигурация

  1. После тестирования начальной конфигурации входа необходимо убедиться, что служба STS проверяющей стороны остается актуальной, так как новые сертификаты добавляются в Microsoft Entra. Для мониторинга метаданных федерации поставщика удостоверений у некоторых проверяющих сторон может быть встроенный процесс.
  2. В этом руководстве показано, как настроить единый вход. Ваша регистрирующая сторона STS может также поддерживать функцию единого выхода по SAML. Дополнительные сведения об этой возможности см. в статье Single Sign-Out SAML Protocol.
  3. Вы можете удалить назначение тестового пользователя приложению. Для назначения пользователей приложению можно использовать другие функции, такие как динамические группы или управление правами. Дополнительные сведения см. в кратком руководстве по созданию и назначению учетной записи пользователя.

Дальнейшие шаги