使用Azure Active Directory的自定義SSO

Question

當前，我們使用Office 365，並且正在尋求擴大Azure Active Directory的使用范圍，以向第三方Web應用程序提供SSO。 應用程序庫中當前不支持某些必需的應用程序，因此我一直在測試從頭開始為其中一個應用程序創建SSO設置。 請注意，這不是我自己開發的應用程序，而是支持SAML的商業應用程序。 有沒有針對開發人員的設置指導？ 我正在尋找什至是可能的東西，還是真的僅用於LOB應用程序？ 謝謝！

我沒有SAML或Web開發的背景，所以請客氣;）

Answer 1

拉里（Larry），我們很樂意就此獲得反饋-告訴我們您正在使用哪些應用程序，我們也許可以優先考慮它們的集成。 就是說，如果您希望嘗試手動集成這些應用程序，則取決於AzureAD是否支持這些應用程序所需的聲明，這可能是可行的。 這是您最好的選擇：

1. 在您的Azure AD中注冊一個代表該應用程序的新應用程序（在Azure管理門戶目錄的“應用程序”選項卡中）。 在此應用程序注冊上，將“答復URL”指定為應用程序期望在其上發布令牌的URL（在SAML-P中稱為AssertionConsumerServiceURL）。 另外，在此應用程序注冊上，將“應用程序ID URI”指定為應用程序在令牌中期望的受眾字符串（在SAML-P中稱為“受眾”）
2. 在應用程序中，將您的Azure AD注冊為身份提供者。 大多數應用程序僅需要指定令牌簽名證書。 從您的Azure AD元數據URL（ https://login.windows.net/ {您的Azure AD租戶ID或域名} /federationmetadata/2007-06/federationmetadata.xml）中獲取證書，然后在應用程序中注冊它。 某些應用程序還要求注冊身份提供者的發行者值。 您的AzureAD將發行具有' https://sts.windows.net/ {您的Azure AD租戶ID} /'的Issuer值的令牌（例如https://sts.windows.net/7fe877e6-a150-4992-bbfe-f517e304dfa0 / ）。 如果您的應用程序支持SP發起的SSO，請向應用程序提供IdP登錄URL（ https://login.windows.net/ {您的Azure AD租戶ID或域名} / saml2），以將用戶重定向到（單擊時）登入）。
3. 最后，如果您的應用程序希望IdP啟動SSO，則構造一個罐頭SAML AuthNRequest並將其保存在URL中-當您的組織的用戶單擊此URL（罐頭SAML AuthNRequest）時-他們將被重定向到他們將登錄的Azure AD然后將令牌發布到應用程序的AssertionConsumerServiceURL-導致用戶登錄。您可以使用以下工具創建SAML AuthNRequest： https ://www.authnauthz.com/samlscrewdriver/authnrequest

希望這可以幫助。 再說一遍-讓我知道您要集成到哪些應用程序中-我們也許可以提供更多幫助。