声明感知应用对安全令牌服务 (STS) 执行重定向。 STS 请求用来自用户的凭据交换令牌,然后将用户重定向到应用程序。 可通过几种方法让应用程序代理使用这些重定向。 使用本文配置声明感知应用的部署。
先决条件
识别声明的应用重定向到的 STS 必须在外部网络上可用。 通过代理或允许外部连接公开它。
发布应用程序
- 根据 使用应用程序代理发布应用程序中所述的说明发布应用程序。
- 导航到门户中的应用程序页,选择“单一登录”。
- 如果选择“Microsoft Entra ID”作为“预身份验证方法”,请选择“禁用 Microsoft Entra 单一登录”作为“内部身份验证方法”。 如果选择“传递”作为“预身份验证方法”,则无需更改任何内容。
配置Active Directory 联合身份验证服务
可以通过以下两种方式之一为声明感知应用配置 Active Directory 联合身份验证服务。 第一种方式是使用自定义域。 第二种方式是使用 WS 联合身份验证。
方法 1:自定义域
如果应用程序的所有内部 URL 都是完全限定的域名 (FQDN),则可以配置应用程序的自定义域。 使用自定义域创建与内部 URL 相同的外部 URL。 外部 URL 匹配内部 URL 时,无论用户是在本地还是远程,STS 重定向都会起作用。
方法 2:WS 联合身份验证
打开 Active Directory 联合身份验证服务管理。
转到 信赖方信任,右键单击用应用程序代理发布的应用程序,再选择 “属性”。
在“终结点”选项卡的“终结点类型”下,选择“WS-Federation”。
在受信任的 URL下,输入您在应用程序代理中输入的外部 URL,然后选择确定。
