使用Azure Active Directory的自定义SSO

Question

当前，我们使用Office 365，并且正在寻求扩大Azure Active Directory的使用范围，以向第三方Web应用程序提供SSO。 应用程序库中当前不支持某些必需的应用程序，因此我一直在测试从头开始为其中一个应用程序创建SSO设置。 请注意，这不是我自己开发的应用程序，而是支持SAML的商业应用程序。 有没有针对开发人员的设置指导？ 我正在寻找什至是可能的东西，还是真的仅用于LOB应用程序？ 谢谢！

我没有SAML或Web开发的背景，所以请客气;）

Answer 1

拉里（Larry），我们很乐意就此获得反馈-告诉我们您正在使用哪些应用程序，我们也许可以优先考虑它们的集成。 就是说，如果您希望尝试手动集成这些应用程序，则取决于AzureAD是否支持这些应用程序所需的声明，这可能是可行的。 这是您最好的选择：

1. 在您的Azure AD中注册一个代表该应用程序的新应用程序（在Azure管理门户目录的“应用程序”选项卡中）。 在此应用程序注册上，将“答复URL”指定为应用程序期望在其上发布令牌的URL（在SAML-P中称为AssertionConsumerServiceURL）。 另外，在此应用程序注册上，将“应用程序ID URI”指定为应用程序在令牌中期望的受众字符串（在SAML-P中称为“受众”）
2. 在应用程序中，将您的Azure AD注册为身份提供者。 大多数应用程序仅需要指定令牌签名证书。 从您的Azure AD元数据URL（ https://login.windows.net/ {您的Azure AD租户ID或域名} /federationmetadata/2007-06/federationmetadata.xml）中获取证书，然后在应用程序中注册它。 某些应用程序还要求注册身份提供者的发行者值。 您的AzureAD将发行具有' https://sts.windows.net/ {您的Azure AD租户ID} /'的Issuer值的令牌（例如https://sts.windows.net/7fe877e6-a150-4992-bbfe-f517e304dfa0 / ）。 如果您的应用程序支持SP发起的SSO，请向应用程序提供IdP登录URL（ https://login.windows.net/ {您的Azure AD租户ID或域名} / saml2），以将用户重定向到（单击时）登入）。
3. 最后，如果您的应用程序希望IdP启动SSO，则构造一个罐头SAML AuthNRequest并将其保存在URL中-当您的组织的用户单击此URL（罐头SAML AuthNRequest）时-他们将被重定向到他们将登录的Azure AD然后将令牌发布到应用程序的AssertionConsumerServiceURL-导致用户登录。您可以使用以下工具创建SAML AuthNRequest： https ://www.authnauthz.com/samlscrewdriver/authnrequest

希望这可以帮助。 再说一遍-让我知道您要集成到哪些应用程序中-我们也许可以提供更多帮助。