为企业应用程序启用 SAML 单一登录

本文介绍如何使用 Microsoft Entra 管理中心为添加到 Microsoft Entra 租户的企业应用程序启用单一登录 (SSO)。配置 SSO 后，用户可以使用其 Microsoft Entra 凭据进行登录。

Microsoft Entra ID 有一个库，其中包含数千个使用 SSO 的预集成应用程序。本文使用名为 Microsoft Entra SAML Toolkit 1 的企业应用程序作为示例，但这些概念适用于 Microsoft Entra 应用程序库中大多数预配置的企业应用程序。

如果应用程序未直接与 Microsoft Entra ID 集成进行单一登录，而是由信赖方安全令牌服务（STS）向应用程序提供令牌，请参阅文章 “为具有信赖方安全令牌服务的企业应用程序启用单一登录”。

我们建议使用非生产环境来测试本文中的步骤。

先决条件

若要配置 SSO，需要满足以下条件：

为应用程序启用 SSO：

至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
请导航到 Entra ID>企业应用程序>所有应用程序。
在“搜索”框中输入现有应用程序的名称，然后从搜索结果中选择该应用程序。例如 Microsoft Entra SAML Toolkit 1。
在左侧菜单的“管理”部分中，选择“单一登录”，打开“单一登录”窗格进行编辑。
选择“SAML”以打开“SSO 配置”页面。配置应用程序后，用户可以使用 Microsoft Entra 租户中的凭据进行登录。
将应用程序配置为使用 Microsoft Entra ID 进行基于 SAML 的 SSO 的过程因应用程序而异。对于库中的任何企业应用程序，请使用“配置指南”链接查找有关配置应用程序所需步骤的信息。本文中列出了用于 Microsoft Entra SAML Toolkit 1 的步骤。
在“设置 Microsoft Entra SAML Toolkit 1”部分，记录“登录 URL”、“Microsoft Entra 标识符”和“登录 URL”属性的值以供稍后使用。

添加“登录”和“回复 URL”值，并下载证书以开始在 Microsoft Entra ID 中配置 SSO。

若要在 Microsoft Entra ID 中配置 SSO，请执行以下操作：

在 Microsoft Entra 管理中心，在“设置 SAML 单一登录”窗格上的“基本 SAML 配置”部分中选择“编辑”。
对于“回复 URL（断言使用者服务 URL）”，输入 https://samltoolkit.chinacloudsites.cn/SAML/Consume。
对于“登录 URL”，输入 https://samltoolkit.chinacloudsites.cn/。 “标识符（实体 ID）”通常是特定于要与之集成的应用程序的 URL。对于此示例中的 Microsoft Entra SAML Toolkit 1 应用程序，输入登录 URL 和 回复 URL 值后，将自动生成该值。按照要与之集成的应用程序的特定配置指南来确定正确值。
选择“保存”。
在“SAML 证书”部分中，针对“证书（原始）”选择“下载”，下载 SAML 签名证书，并将其保存以供以后使用。

在应用程序中使用单一登录时，需要向应用程序注册用户帐户并添加之前记录的 SAML 配置值。

向应用程序注册用户帐户：

打开新的浏览器窗口，并浏览到应用程序的登录 URL。对于 Microsoft Entra SAML Toolkit 应用程序，地址为 https://samltoolkit.chinacloudsites.cn。
在页面右上角，选择“注册”。
对于“电子邮件”，输入可以访问应用程序的用户的电子邮件地址。确保已将用户帐户分配给应用程序。
输入“密码”并进行确认。
选择“注册”。

为应用程序配置 SAML 设置：

使用为“SP 发起的登录 URL”和“断言使用者服务 (ACS) URL”记录的值来更新租户中的单一登录值。

更新单一登录值：

可以从“设置单一登录”窗格测试单一登录配置。

测试 SSO：