使用Azure Active Directory自定义SSO

Question

我们目前使用Office 365，并且希望扩展Azure Active Directory的使用以向第三方Web应用程序提供SSO。我们的某些必需应用程序目前不支持在应用程序库中，因此我一直在测试从头开始为其中一个应用程序创建SSO设置。请注意，这不是我自己开发的我自己的应用程序，而是一款支持SAML的商业应用程序。有没有关于设置这个没有开发人员重点的指导？我正在寻找甚至可能，或者这是真的只适用于LOB应用程序？谢谢！

我没有在SAML或web开发的背景下，所以请善待;）

Answer 1

拉里，我们爱得到这些反馈 - 告诉我们您正在使用哪些应用，我们也许能够将他们的整合优先级更高。也就是说，如果您想尝试手动集成这些应用程序，则取决于AzureAD是否支持这些应用程序所需的声明，这可能是可能的。下面是您的最佳投注：

1. 在代表应用程序的Azure AD中注册新应用程序（在Azure管理门户目录中的“应用程序”选项卡中）。在此应用程序注册中，将“回复URL”指定为应用程序期望发布令牌的URL（在SAML-P中称为AssertionConsumerServiceURL）。此外，在此应用程序注册中，将“应用程序ID URI”指定为应用程序在令牌中所期望的受众字符串（在SAML-P中称为受众）
2. 在应用程序中将您的Azure AD注册为身份提供商。大多数应用程序只需要指定令牌签名证书。从Azure AD元数据URL（https://login.windows.net/ {您的Azure AD租户ID或域名} /federationmetadata/2007-06/federationmetadata.xml）获取证书并将其注册到应用程序中。某些应用程序还要求注册身份提供商的发行人价值。您的AzureAD将发行颁发者值为'https://sts.windows.net/ {您的Azure AD租户ID} /'的令牌（例如https://sts.windows.net/7fe877e6-a150-4992-bbfe-f517e304dfa0/）。如果您的应用程序支持SP启动的SSO - 向应用程序提供IdP登录URL（您的Azure AD租户ID或域名}/saml2），以将用户重定向到（当用户单击登录时）。
3. 最后，如果您的应用程序期望IdP启动SSO，请构建一个SAML AuthNRequest预存并将其保存在URL中 - 当您的组织的用户点击此URL（SAML AuthNRequest）时，它们将被重定向到Azure AD，签到，然后令牌将被张贴到应用程序的AssertionConsumerServiceURL - 导致越来越登录的用户可以使用以下工具来创建一个SAML AuthNRequest：https://www.authnauthz.com/SAML/OutboundAuthNRequest

希望这有助于。 再次 - 让我知道你想要集成什么应用程序 - 我们可能会帮助更多。