Konfiguracja SAML SSO dla użytkowników Microsoft Entra ID

Te kroki poprowadzą Cię przez proces konfiguracji SAML SSO dla użytkowników Microsoft Entra ID (wcześniej znanego jako Azure AD), przy użyciu ADSelfService Plus jako dostawcy tożsamości (IdP) i Microsoft Entra ID jako dostawcy usług (SP).

Kroki łączenia kont użytkowników Microsoft Entra ID i lokalnych kont AD

1. Za pomocą Microsoft Entra Connect

   • GUID jako sourceAnchor: Jeśli masz Microsoft Entra Connect, użyj go, aby zaktualizować atrybut sourceAnchor w Office 365 za pomocą wartości atrybutu GUID z AD.
   • Inny unikalny atrybut AD jako sourceAnchor: Jeśli już przypisałeś inną wartość atrybutu inną niż GUID dla atrybutu sourceAnchor, użyj opcji Łączenie Kont w ADSelfService Plus, aby mapować go z odpowiednim atrybutem w AD.

2. Za pomocą narzędzia do konwersji GUID na ImmutableID zewnętrznego dostawcy

   • Konwersja GUID na ImmutableID: Jeśli nie masz Microsoft Entra Connect, możesz pobrać narzędzie zewnętrzne, które konwertuje GUID na ImmutableID. Użyj narzędzia, aby konwertować wartość GUID każdego użytkownika na wartości ImmutableID i zaktualizować je w Microsoft Entra ID.
   • Aktualizacja wartości ImmutableID w Microsoft Entra ID: Gdy już przekształcisz GUID na ImmutableID, musisz zaktualizować tę wartość w Microsoft Entra ID dla każdego użytkownika, korzystając z poniższych poleceń PowerShell.

     Polecenie do aktualizacji atrybutu ImmutableID dla istniejących użytkowników

     Set-Msoluser -UserPrincipalName "<user_mailID>" -ImmutableID “<immutable_id> ”

     Polecenie do aktualizacji atrybutu ImmutableID podczas tworzenia nowych użytkowników

     $cred = Get-Credential
     Connect-MsolService -Credential $cred
     New-MsolUser -UserPrincipalName "user01@mycompany.com" -ImmutableId "<immutable_id>" -DisplayName "user 01" -FirstName "user" -LastName "01" -LicenseAssignment "<service_pack>" -UsageLocation "<location>"

     Uwaga: Możesz sprawdzić, czy aktualizacja była udana, używając tego polecenia: Get-MsolUser -UserPrincipalName "<user_mailID>" | select userprincipalname, Immutableid

Wymagania wstępne

1. Zaloguj się do ADSelfService Plus jako administrator.

2. Przejdź do  Konfiguracja → Samoobsługa → Synchronizacja Haseł/Sing On → Dodaj Aplikację, a następnie wybierz Microsoft 365/Azure z wyświetlonych aplikacji.
   Uwaga: Możesz również znaleźć aplikację Microsoft 365/Azure, której potrzebujesz w pasku wyszukiwania znajdującym się w lewym panelu lub w opcji nawigacji alfabetycznej w prawym panelu.
3. Kliknij Szczegóły IdP w prawym górnym rogu ekranu.

4. W oknie pop-up, które się pojawi, skopiuj ID encji, URL logowania oraz URL wylogowania, a następnie pobierz certyfikat SSO, klikając na Pobierz certyfikat.

Kroki konfiguracji Microsoft Entra ID do użycia jako SP

1. Otwórz PowerShell z uprawnieniami administratora.

2. Połącz z MsolService za pomocą następującego polecenia.

   Connect-MsolService
   Get-MsolDomain

   To polecenie pokaże listę domen.

3. Wprowadź domenę, dla której chcesz włączyć SSO.

   $dom = "selfservice.com"

4. Wprowadź wartości URL logowania i ID encji z kroku 4 warunków wstępnych dla poleceń $url i $uri, oraz wartość URL wylogowania dla polecenia $logouturl.

   $url = "<wartość URL logowania>"
   Na przykład, $url = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"
   $uri = "<wartość ID encji>"
   Na przykład, $uri = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"
   $logouturl = "<wartość URL wylogowania>"
   Na przykład, $logouturl = "https://selfservice.com:9251/iamapps/ssologout/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

5. Teraz skopiuj zawartość pliku certyfikatu SSO z kroku 5 warunków wstępnych i wklej ją jako wartość dla poniższego polecenia.

   $cert = "MIICqjCCAhOgAwIBAgIJAN..........dTOjFfqqA="

   
   

6. Uruchom poniższe polecenie, aby włączyć SSO w Microsoft Entra ID.

   Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

7. Aby przetestować konfigurację, użyj następującego polecenia.

   Get-MSolDomainFederationSettings -DomainName $dom | Format-List *

   
   
Uwaga:

Jeśli już włączyłeś SSO Microsoft Entra ID używając innego IdP lub chcesz zaktualizować ustawienia SSO ADSelfService Plus, musisz najpierw wyłączyć SSO w Microsoft Entra ID, a następnie postępować zgodnie z krokami podanymi w tym przewodniku. Aby wyłączyć SSO w Microsoft Entra ID, użyj poniższego polecenia:

$dom = "selfservice.com"
Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName $dom -Authentication Managed

Proszę zauważyć, że powyższa zmiana może zająć trochę czasu, aby została wdrożona w Microsoft Entra ID.

Kroki konfiguracji ADSelfService Plus do użycia jako IdP

1. Teraz przełącz się na stronę konfiguracji Microsoft 365/Azure ADSelfService Plus
2. Wprowadź Nazwę aplikacji i Opis.
3. W polu Nazwa domeny wprowadź nazwę domeny, którą użyłeś w kroku 4 kroków konfiguracji Microsoft Entra ID.
4. W polu Przypisz zasady wybierz zasady, dla których należy włączyć Azure AD SAML SSO.
   Uwaga: ADSelfService Plus pozwala na tworzenie zasad opartych na OU i grupach dla Twoich domen AD. Aby utworzyć zasadę, przejdź do Konfiguracja → Samoobsługa → Konfiguracja polityki → Dodaj nową politykę.
5. Wybierz zakładkę SAML i zaznacz pole Włącz jednolity logon.
6. Wybierz ID Nazwy format, który musi być przesłany w odpowiedzi SAML. Format identyfikatora nazwy określi rodzaj wartości przesyłanej w odpowiedzi SAML w celu weryfikacji tożsamości użytkownika.

Uwaga: Użyj Nieokreślony jako domyślnej opcji, jeśli nie jesteś pewien formatu wartości atrybutu logowania używanego przez aplikację

7. Kliknij Dodaj aplikację

Uwaga: ADSelfService Plus obsługuje inicjowane przez SP i IdP przepływy SSO SAML dla Microsoft Entra ID.