使用Azure Active Directory自定义SSO

Question

我们目前使用Office 365，我们正在寻求扩展Azure Active Directory的使用，以便为第三方Web应用程序提供SSO。我们目前在应用程序库中不支持某些必需的应用程序，因此我一直在测试从头开始为其中一个应用程序创建SSO设置。请注意，这不是我自己开发的内部应用程序，而是支持SAML的商业应用程序。有没有关于设置这个没有开发人员关注的指导？我正在寻找甚至是可能的，还是仅仅适用于LOB应用？谢谢！

我没有SAML或网站开发的背景，所以请善待;）

Answer 1

拉里，我们希望得到有关此问题的反馈 - 告诉我们您正在使用哪些应用，我们可能会优先考虑他们的整合。 也就是说，如果您希望手动集成这些应用程序，则可能会取决于AzureAD是否支持这些应用程序所需的声明。这是你最好的选择：

1. 在Azure AD中注册表示应用程序的新应用程序（在Azure管理门户的目录中的“应用程序”选项卡中）。在此应用程序注册中，请指定“回复URL”＆＃39;作为应用程序期望发布标记的URL（在SAML-P中称为AssertionConsumerServiceURL）。此外，在此应用程序注册中，请指定“应用程序ID”URI＆＃39;作为应用程序在令牌中所期望的受众字符串（在SAML-P中称为Audience）
2. 在应用程序中注册Azure AD作为身份提供者。大多数应用程序仅需要指定令牌签名证书。从Azure AD元数据URL（https://login.windows.net/ {您的Azure AD租户ID或域名} /federationmetadata/2007-06/federationmetadata.xml）获取证书，并在应用程序中注册。某些应用程序还要求注册身份提供者的颁发者值。您的AzureAD将发行令牌，其发行人值为＆＃39; https://sts.windows.net/ {您的Azure AD租户ID} /＆＃39; （例如https://sts.windows.net/7fe877e6-a150-4992-bbfe-f517e304dfa0/）。如果您的应用程序支持SP发起的SSO - 向应用程序提供IdP登录URL（https://login.windows.net/ {您的Azure AD租户ID或域名} / saml2）以将用户重定向到（当用户单击登录时）。
3. 最后，如果您的应用程序希望IdP启动SSO，请构建一个预设的SAML AuthNRequest并将其保存在URL中 - 当您的组织的用户点击此URL（预设的SAML AuthNRequest）时 - 他们将被重定向到Azure AD将在何处登录，然后令牌将发布到应用程序的AssertionConsumerServiceURL - 导致用户登录。您可以使用以下工具创建SAML AuthNRequest：https://www.authnauthz.com/samlscrewdriver/authnrequest

希望这会有所帮助。 再次 - 让我知道您想要整合的应用程序 - 我们可以提供更多帮助。