声明感知应用 执行重定向至安全令牌服务(STS)。 STS 从用户请求凭据以换取令牌,然后将用户重定向到应用程序。 可通过几种方法让应用程序代理使用这些重定向。 使用本文配置您的声明感知应用程序的部署。
先决条件
声明感知应用重定向到的 STS 必须在本地网络以外可用。 通过代理或允许外部连接公开它。
发布应用程序
- 根据 使用应用程序代理发布应用程序中所述的说明发布应用程序。
- 导航到门户中的应用程序页,然后选择 “单一登录”。
- 如果选择 Microsoft Entra ID 作为 预身份验证方法,请选择 禁用Microsoft Entra 单一登录 作为 内部身份验证方法。 如果选择直通作为预身份验证方法,则无需更改任何内容。
配置 Active Directory 联合服务
可以通过以下两种方式之一为声明感知应用配置 Active Directory 联合身份验证服务。 第一个是使用自定义域。 第二个是 WS-Federation。
选项 1:自定义域
如果应用程序的所有内部 URL 都是完全限定的域名(FQDN),则可以为应用程序配置 自定义域 。 使用自定义域创建与内部 URL 相同的外部 URL。 当外部 URL 与内部 URL 匹配时,无论用户是本地还是远程用户,STS 重定向都起作用。
选项 2:WS-Federation
打开 Active Directory 联合身份验证服务管理。
转到 受信方信任,右键单击使用应用程序代理发布的应用程序,然后选择 “属性”。
在 “终结点” 选项卡上的 “终结点类型” 下,选择 WS-Federation。
在 “受信任的 URL”下,输入之前在应用代理中的“外部 URL”中输入的 URL,然后选择“确定”。
