使用Azure Active Directory自定义SSO

时间:2015-02-10 01:31:23

标签: azure azure-active-directory

我们目前使用Office 365,我们正在寻求扩展Azure Active Directory的使用,以便为第三方Web应用程序提供SSO。我们目前在应用程序库中不支持某些必需的应用程序,因此我一直在测试从头开始为其中一个应用程序创建SSO设置。请注意,这不是我自己开发的内部应用程序,而是支持SAML的商业应用程序。有没有关于设置这个没有开发人员关注的指导?我正在寻找甚至是可能的,还是仅仅适用于LOB应用?谢谢!

我没有SAML或网站开发的背景,所以请善待;)

1 个答案:

答案 0 :(得分:1)

拉里,我们希望得到有关此问题的反馈 - 告诉我们您正在使用哪些应用,我们可能会优先考虑他们的整合。 也就是说,如果您希望手动集成这些应用程序,则可能会取决于AzureAD是否支持这些应用程序所需的声明。这是你最好的选择:

  1. 在Azure AD中注册表示应用程序的新应用程序(在Azure管理门户的目录中的“应用程序”选项卡中)。在此应用程序注册中,请指定“回复URL”'作为应用程序期望发布标记的URL(在SAML-P中称为AssertionConsumerServiceURL)。此外,在此应用程序注册中,请指定“应用程序ID”URI'作为应用程序在令牌中所期望的受众字符串(在SAML-P中称为Audience)
  2. 在应用程序中注册Azure AD作为身份提供者。大多数应用程序仅需要指定令牌签名证书。从Azure AD元数据URL(https://login.windows.net/ {您的Azure AD租户ID或域名} /federationmetadata/2007-06/federationmetadata.xml)获取证书,并在应用程序中注册。某些应用程序还要求注册身份提供者的颁发者值。您的AzureAD将发行令牌,其发行人值为' https://sts.windows.net/ {您的Azure AD租户ID} /' (例如https://sts.windows.net/7fe877e6-a150-4992-bbfe-f517e304dfa0/)。如果您的应用程序支持SP发起的SSO - 向应用程序提供IdP登录URL(https://login.windows.net/ {您的Azure AD租户ID或域名} / saml2)以将用户重定向到(当用户单击登录时)。
  3. 最后,如果您的应用程序希望IdP启动SSO,请构建一个预设的SAML AuthNRequest并将其保存在URL中 - 当您的组织的用户点击此URL(预设的SAML AuthNRequest)时 - 他们将被重定向到Azure AD将在何处登录,然后令牌将发布到应用程序的AssertionConsumerServiceURL - 导致用户登录。您可以使用以下工具创建SAML AuthNRequest:https://www.authnauthz.com/samlscrewdriver/authnrequest
  4. 希望这会有所帮助。 再次 - 让我知道您想要整合的应用程序 - 我们可以提供更多帮助。