本文介绍了如何在 Microsoft Entra ID 中设置基于密码的单一登录 (SSO)。 使用基于密码的 SSO 时,用户在首次登录应用程序时使用用户名和密码登录。 首次登录后,Microsoft Entra ID 会为应用程序提供用户名和密码。
基于密码的 SSO 使用应用程序提供的现有身份验证过程。 为应用程序启用基于密码的 SSO 时,Microsoft Entra ID 会收集应用程序的用户名和密码并将其安全地进行存储。 用户凭据以加密状态存储在目录中。 任何基于云且具有基于 HTML 的登录页面的应用程序都支持基于密码的 SSO。
遇到以下情况时,请选择基于密码的 SSO:
- 应用程序不支持安全断言标记语言 (SAML) SSO 协议。
- 应用程序使用用户名和密码而非访问令牌和标头进行身份验证。
基于密码的 SSO 的配置页非常简单。 配置页仅包含应用程序使用的登录页的 URL。 此字符串必须是包含“用户名”输入字段的页面。
先决条件
要在 Microsoft Entra 租户中配置基于密码的 SSO,需要:
- 拥有有效订阅的 Azure 帐户。 如果还没有帐户,可以 免费创建帐户
- 应用程序管理员、云应用程序管理员或服务主体的所有者。
- 一个支持基于密码的 SSO 的应用程序。
配置基于密码的单一登录
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 请导航到 Entra ID>企业应用程序>所有应用程序。
- 在“搜索”框中输入现有应用程序的名称,然后从搜索结果中选择该应用程序。
- 选择“单一登录”,然后选择“基于密码” 。
- 输入应用程序的登录页的 URL。
- 选择“保存”。
Microsoft Entra ID 分析登录页的 HTML 以获得用户名和密码输入字段。 如果尝试成功,则已登录。 下一步是 将用户或组分配到 应用程序。
在分配用户和组后,你可以提供凭据,以便在用户登录到应用程序时使用。
- 选择“用户和组”,选中用户或组所在行的复选框,然后选择“更新凭据”。
- 输入要用于该用户或组的用户名和密码。 否则,系统会在启动时提示用户自行输入凭据。
手动配置
如果 Microsoft Entra ID 尝试分析失败,可以手动配置登录。
- 选择“配置 {应用程序名称} 密码单一登录设置”以显示“配置登录”页。
- 选择“手动检测登录字段”。 此时会显示描述如何手动检测登录字段的更多说明。
- 选择捕获登录字段。 此时将在新选项卡中打开“捕获状态”页,显示消息“元数据捕获当前正在进行”。
- 如果新选项卡中显示了“所需的我的应用扩展”框,请选择“立即安装”以安装“我的应用安全登录扩展”浏览器扩展。 (浏览器扩展要求使用的浏览器是 Microsoft Edge 或 Chrome。)接下来,安装、启动和启用该扩展,并刷新捕获状态页。 然后,浏览器扩展将打开一个显示所输入 URL 的选项卡。
- 在包含所输入 URL 的选项卡中,完成登录过程。 填写“用户名”和“密码”字段,然后尝试登录。 (不必提供正确的密码。)会出现一个提示,要求你保存捕获的登录字段。
- 选择“确定”。 浏览器扩展更新“捕获状态”页,其中包含“应用程序已更新元数据”的消息。 浏览器选项卡关闭。
- 在Microsoft Entra ID 配置登录页中,选择“ 确定”,我能够成功登录到应用。
- 选择“确定”。
局限性
对于基于密码的 SSO,最终用户的浏览器可以是:
- Internet Explorer 8、9、10、11 - 在 Windows 7 或更高版本上(有限支持)
- Windows 10 周年纪念版或更高版本上的 Microsoft Edge
- Chrome - 在 Windows 7 或更高版本以及 macOS X 或更高版本上
用户最多只能为使用基于密码的单一登录的应用程序配置 48 个凭据 。