Azure AD Connect: Verwenden Sie einen SAML 2.0-Identitätsanbieter für Single Sign On – Azure – Microsoft Entra (2023)

  • Artikel

Dieses Dokument enthält Informationen zur Verwendung eines SAML 2.0-kompatiblen SP-Lite-Profil-basierten Identitätsanbieters als bevorzugten Security Token Service (STS)/Identitätsanbieter. Dieses Szenario ist nützlich, wenn Sie bereits lokal über ein Benutzerverzeichnis und einen Kennwortspeicher verfügen, auf die über SAML 2.0 zugegriffen werden kann. Dieses vorhandene Benutzerverzeichnis kann für die Anmeldung bei Microsoft 365 und anderen durch Azure AD gesicherten Ressourcen verwendet werden. Das SAML 2.0 SP-Lite-Profil basiert auf dem weit verbreiteten föderierten Identitätsstandard Security Assertion Markup Language (SAML), um ein Anmelde- und Attributaustausch-Framework bereitzustellen.

Notiz

Eine Liste der Drittanbieter-IDPs, die für die Verwendung mit Azure AD getestet wurden, finden Sie unterKompatibilitätsliste für den Azure AD-Verbund

Microsoft unterstützt dieses Anmeldeerlebnis als Integration eines Microsoft-Cloud-Dienstes wie Microsoft 365 mit Ihrem ordnungsgemäß konfigurierten, auf dem SAML 2.0-Profil basierenden IdP. SAML 2.0-Identitätsanbieter sind Produkte von Drittanbietern und daher bietet Microsoft keinen Support für die Bereitstellung, Konfiguration und Best Practices zur Fehlerbehebung in Bezug auf sie. Nach der ordnungsgemäßen Konfiguration kann die Integration mit dem SAML 2.0-Identitätsanbieter mit dem Microsoft Connectivity Analyzer Tool auf ordnungsgemäße Konfiguration getestet werden, was im Folgenden ausführlicher beschrieben wird. Weitere Informationen zu Ihrem profilbasierten SAML 2.0 SP-Lite-Identitätsanbieter erhalten Sie bei der Organisation, die ihn bereitgestellt hat.

Wichtig

In diesem Anmeldeszenario mit SAML 2.0-Identitätsanbietern ist nur eine begrenzte Anzahl von Clients verfügbar. Dazu gehören:

  • Webbasierte Clients wie Outlook Web Access und SharePoint Online
  • E-Mail-Rich-Clients, die Basisauthentifizierung und eine unterstützte Exchange-Zugriffsmethode wie IMAP, POP, Active Sync, MAPI usw. verwenden (der Enhanced Client Protocol-Endpunkt muss bereitgestellt werden), einschließlich:
    • Microsoft Outlook 2010/Outlook 2013/Outlook 2016, Apple iPhone (verschiedene iOS-Versionen)
    • Verschiedene Google Android-Geräte
    • Windows Phone 7, Windows Phone 7.8 und Windows Phone 8.0
    • Windows 8-Mail-Client und Windows 8.1-Mail-Client
    • Windows 10-Mail-Client

Alle anderen Clients sind in diesem Anmeldeszenario bei Ihrem SAML 2.0-Identitätsanbieter nicht verfügbar. Beispielsweise kann sich der Lync 2010-Desktop-Client nicht beim Dienst anmelden, wenn Ihr SAML 2.0-Identitätsanbieter für Single Sign-On konfiguriert ist.

Anforderungen an das Azure AD SAML 2.0-Protokoll

Dieses Dokument enthält detaillierte Anforderungen an das Protokoll und die Nachrichtenformatierung, die Ihr SAML 2.0-Identitätsanbieter implementieren muss, um eine Verbindung mit Azure AD herzustellen und die Anmeldung bei einem oder mehreren Microsoft-Clouddiensten (z. B. Microsoft 365) zu ermöglichen. Die SAML 2.0-Relying Party (SP-STS) für einen Microsoft-Clouddienst, der in diesem Szenario verwendet wird, ist Azure AD.

Es wird empfohlen, sicherzustellen, dass die Ausgabenachrichten Ihres SAML 2.0-Identitätsanbieters den bereitgestellten Beispiel-Traces so ähnlich wie möglich sind. Verwenden Sie nach Möglichkeit auch bestimmte Attributwerte aus den bereitgestellten Azure AD-Metadaten. Sobald Sie mit Ihren Ausgabemeldungen zufrieden sind, können Sie sie wie unten beschrieben mit dem Microsoft Connectivity Analyzer testen.

Die Azure AD-Metadaten können von dieser URL heruntergeladen werden:https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml.Für Kunden in China, die die China-spezifische Instanz von Microsoft 365 verwenden, sollte der folgende Verbundendpunkt verwendet werden:https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml.

Anforderungen an das SAML-Protokoll

In diesem Abschnitt wird detailliert beschrieben, wie die Anforderungs- und Antwortnachrichtenpaare zusammengestellt werden, um Ihnen bei der korrekten Formatierung Ihrer Nachrichten zu helfen.

Azure AD kann für die Zusammenarbeit mit Identitätsanbietern konfiguriert werden, die das SAML 2.0 SP Lite-Profil mit einigen spezifischen Anforderungen verwenden, wie unten aufgeführt. Mithilfe der Beispiel-SAML-Anforderungs- und -Antwortnachrichten sowie automatisierter und manueller Tests können Sie daran arbeiten, Interoperabilität mit Azure AD zu erreichen.

(Video) Azure AD SSO Setup

Anforderungen an den Signaturblock

Innerhalb der SAML-Antwortnachricht enthält der Signaturknoten Informationen über die digitale Signatur für die Nachricht selbst. Für den Signaturblock gelten folgende Anforderungen:

  1. Der Assertionsknoten selbst muss signiert sein
  2. Als DigestMethod muss der RSA-sha1-Algorithmus verwendet werden. Andere digitale Signaturalgorithmen werden nicht akzeptiert.
  3. Sie können das XML-Dokument auch signieren.
  4. Der Transformationsalgorithmus muss mit den Werten im folgenden Beispiel übereinstimmen:
  5. Der SignatureMethod-Algorithmus muss mit dem folgenden Beispiel übereinstimmen:

Notiz

Zur Verbesserung der Sicherheit ist der SHA-1-Algorithmus veraltet. Stellen Sie sicher, dass Sie einen sichereren Algorithmus wie SHA-256 verwenden. Mehr Informationenkann gefunden werden.

Unterstützte Bindungen

Bindungen sind die transportbezogenen Kommunikationsparameter, die erforderlich sind. Für die Bindungen gelten folgende Anforderungen

  1. HTTPS ist der erforderliche Transport.
  2. Azure AD erfordert HTTP POST für die Token-Übermittlung während der Anmeldung.
  3. Azure AD verwendet HTTP POST für die Authentifizierungsanforderung an den Identitätsanbieter und REDIRECT für die Abmeldenachricht an den Identitätsanbieter.

Erforderliche Attribute

Diese Tabelle zeigt Anforderungen für bestimmte Attribute in der SAML 2.0-Nachricht.

AttributBeschreibung
NameIDDer Wert dieser Behauptung muss mit der ImmutableID des Azure AD-Benutzers übereinstimmen. Es kann bis zu 64 alphanumerische Zeichen umfassen. Alle nicht-HTML-sicheren Zeichen müssen codiert werden, beispielsweise wird ein „+“-Zeichen als „.2B“ angezeigt.
IDPEmailDer Benutzerprinzipalname (UPN) wird in der SAML-Antwort als Element mit dem Namen IDPEmail aufgeführt. Der Benutzerprinzipalname (UPN) des Benutzers in Azure AD/Microsoft 365. Der UPN liegt im E-Mail-Adressformat vor. UPN-Wert in Windows Microsoft 365 (Azure Active Directory).
AusstellerErforderlich ist ein URI des Identitätsanbieters. Verwenden Sie den Aussteller aus den Beispielnachrichten nicht erneut. Wenn Ihre Azure AD-Mandanten über mehrere Top-Level-Domänen verfügen, muss der Aussteller mit der angegebenen URI-Einstellung übereinstimmen, die pro Domäne konfiguriert ist.

Wichtig

Azure AD unterstützt derzeit den folgenden NameID-Format-URI für SAML 2.0:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.

Beispiel-SAML-Anfrage- und Antwortnachrichten

Für den Anmeldenachrichtenaustausch wird ein Anforderungs- und Antwortnachrichtenpaar angezeigt. Im Folgenden sehen Sie eine Beispielanforderungsnachricht, die von Azure AD an einen Beispiel-SAML 2.0-Identitätsanbieter gesendet wird. Der Beispiel-SAML 2.0-Identitätsanbieter ist Active Directory Federation Services (AD FS), der für die Verwendung des SAML-P-Protokolls konfiguriert ist. Auch mit anderen SAML 2.0-Identitätsanbietern wurden Interoperabilitätstests abgeschlossen.

 urn:federation:MicrosoftOnline  

Im Folgenden finden Sie eine Beispielantwortnachricht, die vom beispielhaften SAML 2.0-kompatiblen Identitätsanbieter an Azure AD/Microsoft 365 gesendet wird.

 http://WS2012R2-0.contoso.com/adfs/services/trust     http://WS2012R2-0.contoso.com/adfs /services/trust     < ds:Reference URI="#_7e3c1bcd-f180-4f78-83e1-7680920793aa">      CBn/5YqbheaJP425c0pHva9PhNY=   TciWMyHW2ZODrh/2xrvp5ggmcHBFEd 9vrp6DYXp +hZWJzmXMmzwmwS8KNRJKy8H7XqBsdELA1Msqi8I3TmWdnoIRfM/ZAyUppo8suMu6Zw+boE32hoQRnX9EWN/f0vH6zA/YKTzrjca6JQ8gAV1ErwvRWDpyMcwdYCiWALv9ScbkAcebOE1s1JctZ 5RBXggdZWrYi72X+I4i6WgyZcIGai/rZ4v2otoWAEHS0y1yh1qT7NDPpl/McDaTGkNU6C+8VfjD78DrUXEcAfKvPgKlKrOMZnD1lCGsViimGY+LSuIdY45MLmyaa5UT4KWph6dA==  < ds: XIuY29tMB4XDTE0MDEyMDE1MTY0MFoXDTE1MDEyMDE1MTY0MFowMzExMC8GA1UEAxMoQURGUyBTaWduaW5nIC0gV1MyMDEyUjItMC5zd2luZm9ybWVyLmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKe +rLVmXy1QwCwZwqgbbp1/+3ZWxd9T/jV0hpLIIWr+LCOHqq8n8beJvlivgLmDJo8f+EITnAxWcsJUvVai/35AhHCUq9tc9sqMp5PWtabAEMb2AU72/QlX/72D2/NbGQq1BWYbqUpgpC Z2nSgvlWDHlCiUo//UGsvfox01kjTFlmqQInsJVfRxF5AcCAwEAATANBgkqhkiG9w0BAQsFAAOCAQEAi8c6C4zaTEc7aQiUgvnGQgCbMZbhUXXLGRpjvFLKaQzkwa9eq7WLJibcSNyGXBa/SfT5wJgsm3TP KgSehGAOTirhcqHheZyvBObAScY7GOT+u9pVYp6raFrc7ez3c+CGHeV/tNvy1hJNs12FYH4X+ZCNFIT9tprieR25NCdi5SWUbPZL0tVzJsHc1y92b2M2FxqRDohxQgJvyJOpcg2mSBzZZIkvDg7g fPSUXHVS1MQs0RHSbwq/XdQocUUhl9/e/YWCbNNxlM84BxFsBUok1dH /gzBySx+Fc8zYi7cOq9yaBT3RLT6cGmFGVYZJW4FyhPZOCLVNsLlnPQcX3dDg9A==          urn:federation:MicrosoftOnline     administrator@contoso.com     urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport    

Konfigurieren Sie Ihren SAML 2.0-kompatiblen Identitätsanbieter

Dieser Abschnitt enthält Richtlinien zum Konfigurieren Ihres SAML 2.0-Identitätsanbieters für die Verbindung mit Azure AD, um den Single-Sign-On-Zugriff auf einen oder mehrere Microsoft-Clouddienste (z. B. Microsoft 365) mithilfe des SAML 2.0-Protokolls zu ermöglichen. Die SAML 2.0-Relying Party für einen Microsoft-Clouddienst, der in diesem Szenario verwendet wird, ist Azure AD.

Ihr SAML 2.0-Identitätsanbieter muss die Informationen über die vertrauende Azure AD-Seite einhalten. Azure AD veröffentlicht Metadaten unterhttps://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml.

Es wird empfohlen, bei der Konfiguration Ihres SAML 2.0-Identitätsanbieters immer die neuesten Azure AD-Metadaten zu importieren.

Notiz

(Video) ThingWorx SSO: Login demonstration from Azure AD to ThingWorx

Azure AD liest keine Metadaten vom Identitätsanbieter.

Fügen Sie Azure AD als vertrauende Partei hinzu

Sie müssen die Kommunikation zwischen Ihrem SAML 2.0-Identitätsanbieter und Azure AD aktivieren. Diese Konfiguration hängt von Ihrem spezifischen Identitätsanbieter ab und Sie sollten die Dokumentation dazu konsultieren. In der Regel legen Sie die ID der vertrauenden Seite auf den gleichen Wert wie die EntityID aus den Azure AD-Metadaten fest.

Notiz

Stellen Sie sicher, dass die Uhr auf Ihrem SAML 2.0-Identitätsanbieterserver mit einer genauen Zeitquelle synchronisiert ist. Eine ungenaue Uhrzeit kann dazu führen, dass Verbundanmeldungen fehlschlagen.

Installieren Sie Windows PowerShell für die Anmeldung mit dem SAML 2.0-Identitätsanbieter

Nachdem Sie Ihren SAML 2.0-Identitätsanbieter für die Verwendung mit der Azure AD-Anmeldung konfiguriert haben, besteht der nächste Schritt darin, das Azure Active Directory-Modul für Windows PowerShell herunterzuladen und zu installieren. Nach der Installation verwenden Sie diese Cmdlets, um Ihre Azure AD-Domänen als Verbunddomänen zu konfigurieren.

Das Azure Active Directory-Modul für Windows PowerShell ist ein Download für die Verwaltung Ihrer Unternehmensdaten in Azure AD. Dieses Modul installiert eine Reihe von Cmdlets in Windows PowerShell; Sie führen diese Cmdlets aus, um den Single-Sign-On-Zugriff auf Azure AD und damit auf alle Cloud-Dienste einzurichten, die Sie abonniert haben. Anweisungen zum Herunterladen und Installieren der Cmdlets finden Sie unter/ previous-versions/azure/jj151815(v=azure.100)

Richten Sie eine Vertrauensstellung zwischen Ihrem SAML-Identitätsanbieter und Azure AD ein

Bevor Sie den Verbund in einer Azure AD-Domäne konfigurieren, muss eine benutzerdefinierte Domäne konfiguriert werden. Sie können die von Microsoft bereitgestellte Standarddomäne nicht einbinden. Die Standarddomäne von Microsoft endet mit „onmicrosoft.com“. Sie führen eine Reihe von Cmdlets in der Windows PowerShell-Befehlszeilenschnittstelle aus, um Domänen für Single Sign-On hinzuzufügen oder zu konvertieren.

Jede Azure Active Directory-Domäne, die Sie mit Ihrem SAML 2.0-Identitätsanbieter verbinden möchten, muss entweder als Single-Sign-On-Domäne hinzugefügt oder von einer Standarddomäne in eine Single-Sign-On-Domäne umgewandelt werden. Durch das Hinzufügen oder Konvertieren einer Domäne wird eine Vertrauensstellung zwischen Ihrem SAML 2.0-Identitätsanbieter und Azure AD eingerichtet.

Das folgende Verfahren führt Sie durch die Konvertierung einer vorhandenen Standarddomäne in eine Verbunddomäne mithilfe von SAML 2.0 SP-Lite.

Notiz

Bis zu zwei Stunden nach Durchführung dieses Schritts kann es in Ihrer Domain zu einem Ausfall kommen, der sich auf Benutzer auswirkt.

Konfigurieren einer Domäne in Ihrem Azure AD-Verzeichnis für den Verbund

  1. Stellen Sie als Mandantenadministrator eine Verbindung zu Ihrem Azure AD-Verzeichnis her:
Connect-MsolService
  1. Konfigurieren Sie Ihre gewünschte Microsoft 365-Domäne für die Verwendung der Föderation mit SAML 2.0:
$dom = "contoso.com" $BrandName = "Beispiel-SAML 2.0-IDP" $LogOnUrl = "https://WS2012R2-0.contoso.com/passiveLogon" $LogOffUrl = "https://WS2012R2-0.contoso.com /passiveLogOff" $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" $MyURI = "urn:uri:MySamlp2IDP" $MySigningCert = "MIIC7jCCAdagAwIBAgIQRrjsbFPaXIlOG3GTv50fkjANBgkqhkiG9w0BAQsFADAzMTEwLwYDVQQDEyh BREZTIFNpZ25pbmcgLSBXUzIwMTJSMi0wLnN3aW5mb3JtZXIuY29tMB4XDTE0MDEyMDE1MTY0MFoXDT E1MDEyMDE1MTY0MFowMzExMC8GA1UEAxMoQURGUyBTaWduaW5nIC0gV1MyMDEyUjItMC5zd2luZm9yb WVy LmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKe+rLVmXy1QwCwZwqgbbp1/kupQ VcjKuKLitVDbssFyqbDTjP7WRjlVMWAHBI3kgNT7oE362Gf2WMJFf1b0HcrsgLin7daRXpq4Qi6OA57 sw1YFMj3sqyuTP0eZV3S4+ZbDVob6amsZIdIwxaLP9Zfywg2bLsGnVldB0+XKedZwDbCLCVg+ 3ZWxd9 T/jV0hpLIIWr+LCOHqq8n8beJvlivgLmDJo8f+EITnAxWcsJUvVai/35AhHCUq9tc9sqMp5PWtabAEM b2AU72/QlX/72D2/NbGQq1BWYbqUpgpCZ2nSgvlWDHlCiUo//UGsv fox01kjTFlmqQInsJVfRxF5AcC AwEAATANBgkqhkiG9w0BAQsFAAOCAQEAi8c6C4zaTEc7aQiUgvnGQgCbMZbhUXXLGRpjvFLKaQzkwa9 eq7WLJibcSNyGXBa/SfT5wJgsm3TPKgSehGAOTirhcqHheZyvBOb AScY7GOT+u9pVYp6raFrc7ez3c+ CGHeV/tNvy1hJNs12FYH4X+ZCNFIT9tprieR25NCdi5SWUbPZL0tVzJsHc1y92b2M2FxqRDohxQgJvy JOpcg2mSBzZZIkvDg7gfPSUXHVS1MQs0RHSbwq/ XdQocUUhl9/e/YWCbNNxlM84BxFsBUok1dH/gzBy Sx+Fc8zYi7cOq9yaBT3RLT6cGmFGVYZJW4FyhPZOCLVNsLlnPQcX3dDg9A==" $uri = " http://WS2012R2-0.contoso.com/adfs/services/trust" $Protocol = "SAMLP" Set-MsolDomainAuthentication ` -DomainName $dom ` -FederationBrandName $BrandName ` -Authentication Federated ` -PassiveLogOnUri $LogOnUrl ` -ActiveLogOnUri $ ecpUrl ` -SigningCertificate $MySigningCert ` -IssuerUri $MyURI ` -LogOffUri $LogOffUrl ` -PreferredAuthenticationProtocol $Protocol
  1. Sie können die Base64-codierte Zeichenfolge des Signaturzertifikats aus Ihrer IDP-Metadatendatei erhalten. Für diesen Standort wurde ein Beispiel bereitgestellt, das je nach Implementierung jedoch geringfügig abweichen kann.
     MIIC5jCCAc6gAwIBAgIQLnaxUPzay6ZJsC8HVv/QfTANBgkqhkiG9w0BAQsFADAvMS0wKwYDVQQDEyRBREZTIFNpZ25pbmcgLSBmcy50ZWNobGFiY2VudHJhbC5vcmcwHh cNMTMxMTA0MTgxMzMyWhcNMTQxMTA0MTgxMzMyWjAvMS0wKwYDVQQDEyRBREZTIFNpZ25pbmcgLSBmcy50ZWNobGFiY2VudHJhbC5vcmcwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCwMdVLTr5Y TSRp+ccbSpuuFeXMfABD9mVCi2wtkRwC30TIyPdORz642MkurdxdPCWjwgJ0HW6TvXwcO9afH3OC5V//wEGDoNcI8PV4enCzTYFe/h//w51uqyv48Fbb3lEXs+aVl8155OAj2sO9IX64OJWKey82 GQWK3g7LfhWWpp17j5bKpSd9DBH5pvrV+Q1ESU3mx71TEOvikHGCZYitEPywNeVMLRKrevdWI3FAhFjcCSO6nWDiMqCqiTDYOURXIcHVYTSof1YotkJ4tG6mP5Kpjzd4VQvnR7Pjb47nhIYG6iZ3mR 1F85Ns9+hBWukQWNN2hcD/uGdPXhpdMVpBAgMBAAEwDQYJKoZIhvcNAQELBQADggEBAK7h7jF7wPzhZ1dPl4e+XMAr8I7TNbhgEU3+oxKyW/IioQbvZVw1mYVCbGq9Rsw4KE06eSMybqHln3w5E eBbLS0MEkApqHY+p68iRpguqa+W7UHKXXQVgPMCpqxMFKonX6VlSQOR64FgpBme2uG+LJ8reTgypEKspQIN0WvtPWmiq4zAwBp08hAacgv868c0MM4WbOYU0rzMIR6Q+ceGVRImlCwZ5b7XKp4mJZ 9hlaRjeuyVrDuzBkzROSurX1OXoci08yJvhbtiBJLf3uPOJHrhjKRwIt2TnzS9ElgFZlJiDIA26Athe73n43CT0af2IG6yC7e6sK4L3NEXJrwwUZk=   

Weitere Informationen zu „Set-MsolDomainAuthentication“ finden Sie unter:/ previous-versions/azure/dn194112(v=azure.100).

Notiz

(Video) How to Protect Microsoft 365 with Duo Single Sign-On

Du musst benutzen$ecpUrl = "https://WS2012R2-0.contoso.com/PAOS"Nur wenn Sie eine ECP-Erweiterung für Ihren Identitätsanbieter einrichten. Exchange Online-Clients, mit Ausnahme von Outlook Web Application (OWA), sind auf einen POST-basierten aktiven Endpunkt angewiesen. Wenn Ihr SAML 2.0 STS einen aktiven Endpunkt implementiert, der der ECP-Implementierung eines aktiven Endpunkts durch Shibboleth ähnelt, ist es für diese Rich Clients möglicherweise möglich, mit dem Exchange Online-Dienst zu interagieren.

Sobald die Föderation konfiguriert wurde, können Sie wieder zu „nicht verbunden“ (oder „verwaltet“) wechseln. Diese Änderung dauert jedoch bis zu zwei Stunden und erfordert die Zuweisung neuer zufälliger Passwörter für die cloudbasierte Anmeldung für jeden Benutzer. In manchen Fällen kann es erforderlich sein, wieder auf „verwaltet“ umzuschalten, um einen Fehler in Ihren Einstellungen zurückzusetzen. Weitere Informationen zur Domainkonvertierung finden Sie unter:/ previous-versions/azure/dn194122(v=azure.100).

Stellen Sie Benutzerprinzipale für Azure AD/Microsoft 365 bereit

Bevor Sie Ihre Benutzer bei Microsoft 365 authentifizieren können, müssen Sie Azure AD mit Benutzerprinzipalen bereitstellen, die der Behauptung im SAML 2.0-Anspruch entsprechen. Wenn diese Benutzerprinzipale Azure AD nicht im Voraus bekannt sind, können sie nicht für die Verbundanmeldung verwendet werden. Für die Bereitstellung von Benutzerprinzipalen kann entweder Azure AD Connect oder Windows PowerShell verwendet werden.

Mit Azure AD Connect können Sie aus dem lokalen Active Directory Prinzipale für Ihre Domänen in Ihrem Azure AD-Verzeichnis bereitstellen. Ausführlichere Informationen finden Sie unterIntegrieren Sie Ihre lokalen Verzeichnisse in Azure Active Directory.

Windows PowerShell kann auch verwendet werden, um das Hinzufügen neuer Benutzer zu Azure AD zu automatisieren und Änderungen aus dem lokalen Verzeichnis zu synchronisieren. Um die Windows PowerShell-Cmdlets verwenden zu können, müssen Sie Folgendes herunterladenAzure Active Directory-Module.

Dieses Verfahren zeigt, wie Sie einen einzelnen Benutzer zu Azure AD hinzufügen.

  1. Stellen Sie als Mandantenadministrator eine Verbindung zu Ihrem Azure AD-Verzeichnis her: Connect-MsolService.

  2. Erstellen Sie einen neuen Benutzerprinzipal:

    New-MsolUser ` -UserPrincipalName elwoodf1@contoso.com ` -ImmutableId ABCDEFG1234567890 ` -DisplayName "Elwood Folk" ` -FirstName Elwood ` -LastName Folk ` -AlternateEmailAddresses "Elwood.Folk@contoso.com" ` -UsageLocation "US"

Weitere Informationen zum „New-MsolUser“-Checkout finden Sie unter/ previous-versions/azure/dn194096(v=azure.100)

Notiz

Der Wert „UserPrincipalName“ muss mit dem Wert übereinstimmen, den Sie für „IDPEmail“ in Ihrem SAML 2.0-Anspruch senden, und der Wert „ImmutableID“ muss mit dem Wert übereinstimmen, der in Ihrer „NameID“-Behauptung gesendet wird.

Überprüfen Sie die einmalige Anmeldung mit Ihrem SAML 2.0-IDP

Bevor Sie als Administrator Single Sign-On (auch Identitätsföderation genannt) überprüfen und verwalten, überprüfen Sie die Informationen und führen Sie die Schritte in den folgenden Artikeln aus, um Single Sign-On mit Ihrem SAML 2.0 SP-Lite-basierten Identitätsanbieter einzurichten:

  1. Sie haben die Azure AD SAML 2.0-Protokollanforderungen überprüft
  2. Sie haben Ihren SAML 2.0-Identitätsanbieter konfiguriert
  3. Installieren Sie Windows PowerShell für Single Sign-On mit dem SAML 2.0-Identitätsanbieter
  4. Richten Sie eine Vertrauensstellung zwischen dem SAML 2.0-Identitätsanbieter und Azure AD ein
  5. Bereitstellung eines bekannten Testbenutzerprinzipals für Azure Active Directory (Microsoft 365) entweder über Windows PowerShell oder Azure AD Connect.
  6. Konfigurieren Sie die Verzeichnissynchronisierung mitAzure AD Connect.

Nachdem Sie Single Sign-On bei Ihrem SAML 2.0 SP-Lite-basierten Identitätsanbieter eingerichtet haben, sollten Sie überprüfen, ob es ordnungsgemäß funktioniert.

Notiz

(Video) SAML Single Sign On App explained

Wenn Sie eine Domäne konvertiert haben, anstatt eine hinzuzufügen, kann die Einrichtung von Single Sign-On bis zu 24 Stunden dauern. Bevor Sie Single Sign-On überprüfen, sollten Sie die Einrichtung der Active Directory-Synchronisierung abschließen, Ihre Verzeichnisse synchronisieren und Ihre aktivieren synchronisierte Benutzer.

Verwenden Sie das Tool, um zu überprüfen, ob Single Sign-On korrekt eingerichtet wurde

Um zu überprüfen, ob Single Sign-On korrekt eingerichtet wurde, können Sie das folgende Verfahren durchführen, um zu bestätigen, dass Sie sich mit Ihren Unternehmensanmeldeinformationen beim Cloud-Dienst anmelden können.

Microsoft hat ein Tool bereitgestellt, mit dem Sie Ihren SAML 2.0-basierten Identitätsanbieter testen können. Bevor Sie das Testtool ausführen, müssen Sie einen Azure AD-Mandanten für die Verbindung mit Ihrem Identitätsanbieter konfiguriert haben.

Notiz

Der Connectivity Analyzer erfordert Internet Explorer 10 oder höher.

  1. Laden Sie die herunterKonnektivitätsanalysator.

  2. Klicken Sie auf „Jetzt installieren“, um mit dem Herunterladen und Installieren des Tools zu beginnen.

  3. Wählen Sie „Ich kann keinen Verbund mit Office 365, Azure oder anderen Diensten einrichten, die Azure Active Directory verwenden“.

  4. Sobald das Tool heruntergeladen und ausgeführt wird, wird das Fenster „Konnektivitätsdiagnose“ angezeigt. Das Tool führt Sie Schritt für Schritt durch das Testen Ihrer Verbundverbindung.

  5. Der Connectivity Analyzer öffnet Ihren SAML 2.0-IDP, damit Sie sich anmelden und die Anmeldeinformationen für den Benutzerprinzipal eingeben können, den Sie testen:

    Azure AD Connect: Verwenden Sie einen SAML 2.0-Identitätsanbieter für Single Sign On – Azure – Microsoft Entra (1)

  6. Im Anmeldefenster für den Verbundtest sollten Sie einen Kontonamen und ein Kennwort für den Azure AD-Mandanten eingeben, der für den Verbund mit Ihrem SAML 2.0-Identitätsanbieter konfiguriert ist. Das Tool versucht, sich mit diesen Anmeldeinformationen anzumelden, und detaillierte Ergebnisse der während des Anmeldeversuchs durchgeführten Tests werden als Ausgabe bereitgestellt.

    Azure AD Connect: Verwenden Sie einen SAML 2.0-Identitätsanbieter für Single Sign On – Azure – Microsoft Entra (2)

  7. In diesem Fenster wird ein fehlgeschlagenes Testergebnis angezeigt. Wenn Sie auf „Detaillierte Ergebnisse überprüfen“ klicken, werden Informationen zu den Ergebnissen für jeden durchgeführten Test angezeigt. Sie können die Ergebnisse auch auf der Festplatte speichern, um sie mit anderen zu teilen.

Notiz

Der Konnektivitätsanalysator testet auch Active Federation mithilfe der WS*-basierten und ECP/PAOS-Protokolle. Wenn Sie diese nicht verwenden, können Sie den folgenden Fehler ignorieren: Testen des aktiven Anmeldeflusses mit dem Active Federation-Endpunkt Ihres Identitätsanbieters.

(Video) AD FS SSO Setup

Überprüfen Sie manuell, ob Single Sign-On korrekt eingerichtet wurde

Die manuelle Überprüfung bietet zusätzliche Schritte, die Sie unternehmen können, um sicherzustellen, dass Ihr SAML 2.0-Identitätsanbieter in vielen Szenarien ordnungsgemäß funktioniert. Um zu überprüfen, ob Single Sign-On ordnungsgemäß eingerichtet wurde, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich auf einem in die Domäne eingebundenen Computer bei Ihrem Cloud-Dienst mit demselben Anmeldenamen an, den Sie für Ihre Unternehmensanmeldeinformationen verwenden.
  2. Klicken Sie in das Passwortfeld. Wenn Single Sign-On eingerichtet ist, wird das Passwortfeld schattiert und Sie sehen die folgende Meldung: „Sie müssen sich jetzt bei anmelden.“
  3. Klicken Sie auf den Link „Anmelden bei “. Wenn Sie sich anmelden können, wurde Single Sign-On eingerichtet.

Nächste Schritte

  • Verwaltung und Anpassung von Active Directory Federation Services mit Azure AD Connect
  • Kompatibilitätsliste für den Azure AD-Verbund
  • Benutzerdefinierte Azure AD Connect-Installation

FAQs

How do I enable seamless single sign-on Azure AD Connect? ›

Sign in to the Azure portal with the Hybrid Identity Administrator account credentials for your tenant. In the left menu, select Azure Active Directory. Select Azure AD Connect. Verify that Seamless single sign-on is set to Enabled.

Is SAML 2.0 based on single sign-on? ›

SAML 2.0 (Security Assertion Markup Language) is an open standard created to provide cross-domain single sign-on (SSO). In other words, it allows a user to authenticate in a system and gain access to another system by providing proof of their authentication.

How to configure SAML 2.0 in Azure AD? ›

To configure Azure AD as the SAML 2.0 provider
  1. Select Add provider for your website.
  2. For Login provider, select Other.
  3. For Protocol, select SAML 2.0.
  4. Enter a provider name.
  5. Select Next.
  6. Select Confirm.
  7. Select Close.
Mar 30, 2023

What is single sign-on Azure AD Connect? ›

Azure Active Directory Seamless single sign-on (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. When enabled, users don't need to type in their passwords to sign in to Azure AD, and usually, even type in their usernames.

How do I know if seamless SSO is enabled? ›

Check status of feature

Ensure that the Seamless SSO feature is still Enabled on your tenant. You can check the status by going to the Azure Active Directory > Azure AD Connect pane in the Azure portal. Click through to see all the AD forests that have been enabled for Seamless SSO.

How do I turn off single sign-on in Azure? ›

To disable Enterprise Single Sign-On using the command line

The default installation directory is <drive>:\Program Files\Common Files\Enterprise Single Sign-On. Type ssomanage –disablesso .

What is the difference between single sign-on and SAML? ›

SAML enables SSO by defining how organizations can offer both authentication and authorization services as part of their infrastructure access strategy. As an open standard, SAML can be implemented by a wide variety of identity and access management (IAM) vendors.

How to configure SAML 2.0 for AWS single sign-on? ›

The steps in this section will walk you through this process.
  1. Sign in to your AWS Console.
  2. Go to Identity and Access Management (IAM) Service.
  3. Select Identity Providers in the menu bar.
  4. Click Create Provider to create a new instance.
  5. On the Configure Provider screen, enter the following: ...
  6. Finish provider configuration.

Is SAML and SSO the same? ›

The difference between SAML and SSO

However, while they're related, they're not the same. SAML is the standard through which SPs and IdPs communicate with each other to verify credentials. SSO is an authentication process intended to simplify access to multiple applications with a single set of credentials.

How does SAML work with Azure AD? ›

Azure AD: Enterprise cloud IdP that provides SSO and Multi-factor authentication for SAML apps. It synchronizes, maintains, and manages identity information for users while providing authentication services to relying applications.

How to configure SAML 2.0 in asp net? ›

  1. Step 1: Download and extract package. ● ...
  2. Step 2: Add the module in your application. ● ...
  3. Step 3: Configure your Identity Provider. ...
  4. Step 4: Configure your Service Provider. ...
  5. Step 5: Test Configuration. ...
  6. Step 6:Attribute Mapping. ...
  7. Step 7: Integration Code. ...
  8. Step 8: Add following link in your application for Single Sign-On (SSO)

What is the benefit of single sign-on Azure AD? ›

Azure AD's SSO feature enables users to login to multiple applications via a single pane, which includes both SaaS and on-premises applications. The SSO feature makes it easier for administrators to add new users and services without needing to set up credentials or security groups for each application or service.

What is single sign-on SSO Active Directory? ›

Single sign-on is an authentication method that allows users to sign in using one set of credentials to multiple independent software systems. Using SSO means a user doesn't have to sign in to every application they use.

What is single sign-on and federated authentication? ›

The key difference between SSO and FIM is while SSO is designed to authenticate a single credential across various systems within one organization, federated identity management systems offer single access to a number of applications across various enterprises.

How do you check SSO is working or not? ›

For example, if the email address retrieved during the SSO process is abc@somesite.com, the same should be in the service application. The most straightforward way to test this is to use a set of valid and invalid account information and use SSO to sign in.

How do I enable SSO authentication? ›

Configure the SSO profile for your organization
  1. Sign in to your Google Admin console. ...
  2. In the Admin console, go to Menu Security. ...
  3. In Third-party SSO profile for your organization, click Add SSO profile.
  4. Check the Set up SSO with third-party identity provider box.

Why is SSO not working? ›

If you encounter this error after setting up SSO using profiles, it's likely that your IdP is incorrectly assuming that you're using the SSO profile for your organization. If so, your IdP SSO profile settings may be usable only if you use them to configure the SSO profile for your organization.

How do I turn off basic authentication in Azure AD? ›

Disabling Basic Authentication
  1. Go to Azure Active Directory, Security, Conditional Access.
  2. Select “New policy”
  3. Name the policy “Basic Authentication Reporting”
  4. Under “Users or workload identities,” select “All users” (or you could create a group of users to pilot with)
Sep 6, 2022

How do I turn off Azure AD authentication? ›

Disable MFA in Microsoft Azure AD
  1. Open the Microsoft 365 Admin Center.
  2. In the left side navigation, click Azure Active Directory admin center.
  3. In the left side navigation, click Azure Active Directory.
  4. Click Properties.
  5. Click Manage Security Defaults.
  6. Select No to Disable Security defaults.

How do I disable SSO for a single user? ›

Clicks Setup cog wheel. In Setup QuickFind box, type “Single Sign-On Settings”. Choose this option (under the Identity header). Click “Disable login with Salesforce credentials” checkbox.

Is SAML 2.0 still used? ›

SAML 2.0 was introduced in 2005 and remains the current version of the standard. The previous version, 1.1, is now largely deprecated.

How does SAML 2.0 authentication work? ›

SAML works by exchanging user information, such as logins, authentication state, identifiers, and other relevant attributes between the identity and service provider. As a result, it simplifies and secures the authentication process as the user only needs to log in once with a single set of authentication credentials.

What is the difference between ad authentication and SSO? ›

AD and SSO are very different; one is an on-prem directory service — the authoritative source of identities, the other a cloud-based, web app identity extension point solution that federates the identities from a core directory to web applications.

What is single sign-on SSO using SAML? ›

Google offers a SAML-based single sign-on (SSO) service that provides partner companies with full control over the authorization and authentication of hosted user accounts that can access web-based applications like Gmail or Google Calendar.

How do you implement single sign-on using SAML? ›

Implementation of SAML SSO follows 5 simple steps which are outlined in detail below.
  1. Step 1: Exchange of metadata information. ...
  2. Step 2: Identity provider configuration. ...
  3. Step 3: Enable SAML in Configuration. ...
  4. Step 4: Test the single sign-on connection. ...
  5. Step 5: Go live.
Feb 13, 2022

How do I set up a SAML identity provider? ›

Add a SAML Identity Provider
  1. In the Admin Console, go to SecurityIdentity Providers.
  2. Click Add Identity Provider, and then select Add SAML 2.0 IdP.
  3. Configure the General Settings. ...
  4. Configure Authentication Settings. ...
  5. Configure JIT Settings. ...
  6. Configure SAML Protocol Settings. ...
  7. Optional. ...
  8. Click Add Identity Provider.

Does Active Directory use SAML? ›

In Windows Active Directory (AD) environments, SAML SSO can allow employees to access a wide range of applications using only their AD credentials. On-premises AD users can continue to use a centralized identity source (AD) for access to cloud apps like Microsoft 365.

What is the difference between Active Directory and SAML? ›

While SAML is an identity provider, ADFS is a service provider. A SAML 2.0 Identity Provider (IdP) can take multiple forms, one of which is a self hosted Active Directory Federation Services (ADFS) server.

Is SAML used for authentication? ›

Security Assertion Markup Language (SAML) is an open federation standard that allows an identity provider (IdP) to authenticate users and then pass an authentication token to another application known as a service provider (SP).

What is difference between LDAP and SAML? ›

LDAP: What's the Difference? The difference between SAML and LDAP is that SAML is designed for cloud-based connections using only an IdP and SP to communicate user data. LDAP, however, is typically used for accessing on-premises resources by installing a client on the user's device to connect with a directory service.

How do I get SAML metadata from Azure? ›

Import the Azure Active Directory metadata document
  1. In Deep Security Manager, go to Administration > User Management > Identity Providers > SAML.
  2. Click Get Started or New.
  3. Click Choose File, select the Federation Metadata XML file that was downloaded from Azure Active Directory and click Next.

What is Sam account in Active Directory? ›

The Security Accounts Manager (SAM) is a database file in the Microsoft Windows operating system (OS) that contains usernames and passwords. The primary purpose of the SAM is to make the system more secure and protect from a data breach in case the system is stolen.

How does Azure AD authenticate users? ›

Azure AD Multi-Factor Authentication works by requiring two or more of the following authentication methods: Something you know, typically a password. Something you have, such as a trusted device that is not easily duplicated, like a phone or hardware key. Something you are - biometrics like a fingerprint or face scan.

What is the difference between SAML and OpenID Connect in Azure AD? ›

SAML authentication is commonly used with identity providers such as Active Directory Federation Services (AD FS) federated to Azure AD, so it's often used in enterprise applications. OpenID Connect is commonly used for apps that are purely in the cloud, such as mobile apps, websites, and web APIs.

What is the difference between SAML and OAuth in Azure Active Directory? ›

SAML authenticates the user's identity to a service, while OAuth authorizes the user to access specific resources owned by the service provider. Both can be used for single sign-on (SSO), which permits users to access IT resources with only one set of login credentials (e.g., username and password).

What are the two models for users to authenticate using SAML select two? ›

Users are provisioned and authenticate once to an identity provider. Zscaler recommends this method for authentication. To learn more, see Understanding SAML.
...
Following are the supported authentication methods:
  • Passwords (Default)
  • Kerberos.
  • One-Time Link.
  • One-Time Token.

What is SAML 2.0 name identifier formats? ›

SAML 2.0 name identifier formats control how the users at identity providers are mapped to users at service providers during single sign-on. Use the email address name identifier format if you want a user to log in at the service provider as the same user that they use to log in at the identity provider.

Which URLs should you use for the SAML configuration in Azure AD? ›

For the Azure AD SAML Toolkit application, the address is https://samltoolkit.azurewebsites.net . Select Register in the upper right corner of the page. For Email, enter the email address of the user that will access the application. Ensure that the user account is already assigned to the application.

Do you need Azure AD premium for SSO? ›

Azure AD licensing - SSO for pre-integrated enterprise applications is free. However, the number of objects in your directory and the features you wish to deploy may require more licenses.

What are the two features that Azure AD provides? ›

Azure Active Directory (Azure AD), part of Microsoft Entra, is an enterprise identity service that provides single sign-on, multifactor authentication, and conditional access to guard against 99.9 percent of cybersecurity attacks.

Why is single sign-on SSO important? ›

SSO reduces the number of attack surfaces because users only log in once each day and only use one set of credentials. Reducing login to one set of credentials improves enterprise security. When employees have to use separate passwords for each app, they usually don't.

Can Active Directory be used for SSO? ›

Microsoft Active Directory Federation Services is a platform that can handle single sign-on for many applications outside of the firewall. This platform is flexible for your needs, and it can be a strong solution.

What does single sign-on SSO use instead of user credentials to authenticate? ›

This could simply be a username and password or it might include some other form of authentication like a One-Time Password (OTP). Once the Identity Provider validates the credentials provided, it will send a token back to the Service Provider confirming a successful authentication.

Which two authentication types support single sign-on? ›

SPNEGO-based SSO

Some of these mechanisms can include Kerberos and NTLM authentication.

What sign in methods do ad connect seamless SSO work with? ›

Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods.

Which technologies enable SSO with Azure AD? ›

With federated single sign-on, Azure AD authenticates the user to the application by using their Azure AD account. This method is supported for SAML 2.0, WS-Federation, or OpenID Connect applications. Federated SSO is the richest mode of SSO.

How do I set up Azure SSO application? ›

One-click SSO configuration steps
  1. Add the application from the Azure Marketplace.
  2. Select Single sign-on.
  3. Select Enable single sign-on.
  4. Populate the mandatory configuration values in the Basic SAML Configuration section.
Jan 23, 2023

What is seamless vs single sign-on? ›

Single sign on (SSO) is an authentication method that lets you use a single username and password to access multiple applications. Seamless SSO occurs when a user is automatically signed into their connected applications when they're on corporate desktops connected to the corporate network.

What does it mean when it says sign in with SSO? ›

Single sign-on (SSO) is an identification method that enables users to log in to multiple applications and websites with one set of credentials. SSO streamlines the authentication process for users.

What is single sign-on SSO enabled? ›

With SSO, meaning Single Sign-On, after you're logged in via the SSO solution, you can access all company-approved applications and websites without having to log in again. That includes cloud applications as well as on-prem applications, often available through an SSO portal (also called a login portal).

Which three authentication methods can Azure AD users use? ›

Available verification methods
  • Microsoft Authenticator.
  • Authenticator Lite (in Outlook)
  • Windows Hello for Business.
  • FIDO2 security key.
  • OATH hardware token (preview)
  • OATH software token.
  • SMS.
  • Voice call.
Mar 14, 2023

What is the difference between Azure AD and Azure SSO? ›

Azure AD is designed to manage access to cloud-based applications and servers using modern authentication protocols such as SAML 2.0, OpenID Connect, OAuth 2.0, and WS-Federation. Azure AD Single Sign-On (SSO) is an Azure AD feature that allows users to conveniently log into SaaS applications.

Does Azure AD use SAML? ›

Azure AD: Enterprise cloud IdP that provides SSO and Multi-factor authentication for SAML apps. It synchronizes, maintains, and manages identity information for users while providing authentication services to relying applications.

How to configure SSO in Active Directory? ›

To enable Single Sign-On, from Policy Manager:
  1. Select Setup > Authentication > Authentication Settings. The Authentication Settings dialog box appears.
  2. Select the Single Sign-On tab.
  3. Select the Enable Single Sign-On (SSO) with Active Directory check box.

How to implement SSO in application? ›

SSO implementation revolves around a central server. All applications trust this main server and use it to access your login credentials. When you first log in, the server creates a cookie with your details. When you access a new application, you get redirected to this central server.

What's the difference between single sign-on SSO and social sign-on Salesforce? ›

What's the difference between single sign-on (SSO) and social sign-on? With SSO, users can access services without logging in to each one. With social sign-on, users can access a service using their social account credentials.

What is the difference between seam and seamless? ›

①seamless steel pipe are mainly used as pipelines or structural parts for fluid transportation, mainly in the machinery industry, while seam steel pipes are mainly used in the construction industry, such as water, gas, compressed air and other low-pressure fluids.

What is the difference between multifactor and single sign-on? ›

The main difference between MFA and SSO is that MFA is a type of authentication that alleviates the low security of passwords by introducing an extra layer of security, whereas SSO is a cloud security technology that mitigates the hassle of reentering the password by asking the user to type their password only once per ...

Videos

1. How to Install and Configure Duo Single Sign-On
(Duo Security)
2. Troubleshooting Duo Authentication Proxy | Additional Configuration Options | Proxy Manager
(Duo Security)
3. Duo Authentication Proxy Overview
(Duo Security)
4. How to Protect Cisco ASA and AnyConnect with Duo SSO
(Duo Security)
5. Zero Trust on AWS | AWS Events
(AWS Events)
6. How to Install and Configure Duo Network Gateway
(Duo Security)

References

Top Articles
Latest Posts
Article information

Author: Roderick King

Last Updated: 04/13/2023

Views: 5247

Rating: 4 / 5 (51 voted)

Reviews: 90% of readers found this page helpful

Author information

Name: Roderick King

Birthday: 1997-10-09

Address: 3782 Madge Knoll, East Dudley, MA 63913

Phone: +2521695290067

Job: Customer Sales Coordinator

Hobby: Gunsmithing, Embroidery, Parkour, Kitesurfing, Rock climbing, Sand art, Beekeeping

Introduction: My name is Roderick King, I am a cute, splendid, excited, perfect, gentle, funny, vivacious person who loves writing and wants to share my knowledge and understanding with you.