Co je jednotné přihlašování v Azure Active Directory?

Tento článek obsahuje informace o dostupných možnostech jednotného přihlašování a úvod k plánování nasazení jednotného přihlašování při používání Azure Active Directory (Azure AD). Jednotné přihlašování je metoda ověřování, která umožňuje uživatelům přihlašovat se k různým nezávislým softwarovým systémům pomocí jedné sady přihlašovacích údajů. S využitím jednotného přihlašování se uživatel nemusí přihlašovat ke každé aplikaci, kterou používá. Díky jednotnému přihlašování mají uživatelé přístup ke všem potřebným aplikacím, aniž by se museli ověřovat pomocí různých přihlašovacích údajů. Stručný úvod najdete v tématu Jednotné přihlašování azure Active Directory.

V Azure AD už existuje mnoho aplikací, které můžete použít s jednotným přihlašováním. V závislosti na potřebách aplikace a způsobu implementace máte několik možností jednotného přihlašování. Před vytvořením aplikací v Azure AD si naplánujte nasazení jednotného přihlašování. Správu aplikací je možné usnadnit pomocí portálu Moje aplikace.

Možnosti jednotného přihlašování

Výběr metody jednotného přihlašování závisí na tom, jakým způsobem je pro aplikaci nakonfigurované ověřování. Cloudové aplikace můžou používat možnosti založené na federaci, jako je OpenID Connect, OAuth a SAML. Aplikace může také používat jednotné přihlašování založené na heslech, propojené jednotné přihlašování nebo jednotné přihlašování je možné zakázat.

  • Federace – Když nastavíte jednotné přihlašování pro práci mezi více zprostředkovateli identity, nazývá se federace. Implementace jednotného přihlašování založená na federačních protokolech zlepšuje zabezpečení, spolehlivost, prostředí koncových uživatelů a implementaci.

    S federovaným jednotným přihlašováním Azure AD ověřuje uživatele v aplikaci pomocí svého účtu Azure AD. Tato metoda je podporovaná pro aplikace SAML 2.0, WS-Federation nebo OpenID Connect . Federované jednotné přihlašování je bohatý režim jednotného přihlašování. Použití federovaného jednotného přihlašování se službou Azure AD, pokud ji aplikace podporuje, místo jednotného přihlašování založeného na heslech a služby Ad FS (Active Directory Federation Services).

    Existují některé scénáře, kdy možnost jednotného přihlašování není k dispozici pro podnikovou aplikaci. Pokud byla aplikace zaregistrovaná pomocí registrací aplikací na portálu, je funkce jednotného přihlašování ve výchozím nastavení nakonfigurovaná tak, aby používala OpenID Connect a OAuth. V tomto případě se možnost jednotného přihlašování nezobrazí v navigaci v podnikových aplikacích.

    Jednotné přihlašování není dostupné, když je aplikace hostovaná v jiném tenantovi. Jednotné přihlašování také není dostupné, pokud váš účet nemá požadovaná oprávnění (globální správce, správce cloudových aplikací, správce aplikací nebo vlastník instančního objektu). Oprávnění můžou také způsobit scénář, kdy můžete otevřít jednotné přihlašování, ale nebude možné je uložit.

  • Heslo – Místní aplikace můžou pro jednotné přihlašování používat metodu založenou na heslech. Tato volba funguje, když jsou aplikace nakonfigurované pro proxy aplikací.

    S jednotným přihlašováním založeným na heslech se uživatelé přihlašují k aplikaci pomocí uživatelského jména a hesla při prvním přístupu k aplikaci. Po prvním přihlášení poskytuje uživatelské jméno a heslo k aplikaci služba Azure AD. Jednotné přihlašování založené na heslech umožňuje zabezpečené ukládání a přehrávání hesel aplikací pomocí rozšíření webového prohlížeče nebo mobilní aplikace. Tato možnost využívá stávající přihlašovací proces poskytovaný aplikací, umožňuje správci spravovat hesla a nevyžaduje, aby uživatel heslo znal. Další informace najdete v tématu Přidání jednotného přihlašování založeného na heslech do aplikace.

  • Propojené – Propojené přihlašování může poskytovat konzistentní uživatelské prostředí při migraci aplikací po určitou dobu. Pokud migrujete aplikace do Azure AD, můžete pomocí propojeného jednotného přihlašování rychle publikovat odkazy na všechny aplikace, které chcete migrovat. Uživatelé můžou najít všechny odkazy na portálech Moje aplikace nebo Microsoft 365.

    Po ověření uživatele v propojené aplikaci je potřeba vytvořit účet, aby byl uživateli poskytnut přístup k jednotnému přihlašování. K zřízení tohoto účtu může dojít buď automaticky, nebo k němu může dojít ručně správcem. Zásady podmíněného přístupu ani vícefaktorové ověřování nemůžete použít pro propojenou aplikaci, protože propojená aplikace neposkytuje funkce jednotného přihlašování prostřednictvím Azure AD. Při konfiguraci propojené aplikace jednoduše přidáváte odkaz, který se zobrazí pro spuštění aplikace. Další informace najdete v tématu Přidání propojeného jednotného přihlašování do aplikace.

  • Zakázáno – Pokud je jednotné přihlašování zakázané, není pro aplikaci k dispozici. Když je jednotné přihlašování zakázané, můžou se uživatelé muset ověřit dvakrát. Nejprve se uživatelé ověřují ve službě Azure AD a pak se přihlásí k aplikaci.

    Zakázat jednotné přihlašování, když:

    • Tuto aplikaci nemůžete integrovat s jednotným přihlašováním Azure AD.
    • Testujete další aspekty aplikace.
    • Místní aplikace nevyžaduje, aby se uživatelé ověřili, ale chcete, aby se ověřili. Když je jednotné přihlašování zakázané, musí se uživatel ověřit.

    Pokud jste aplikaci nakonfigurovali pro jednotné přihlašování založené na PROTOKOLU SAML a změníte režim jednotného přihlašování na zakázaný, nezabrání uživatelům přihlašovat se k aplikaci mimo portál MyApps. Abyste toho dosáhli, musíte zakázat možnost přihlášení uživatelů.

Plánování nasazení jednotného přihlašování

Webové aplikace hostují různé společnosti a zpřístupní je jako služba. Mezi oblíbené příklady webových aplikací patří Microsoft 365, GitHub a Salesforce. Existují tisíce dalších lidí. Uživatelé přistupují k webovým aplikacím pomocí webového prohlížeče na svém počítači. Jednotné přihlašování umožňuje uživatelům přecházet mezi různými webovými aplikacemi, aniž by se museli několikrát přihlašovat. Další informace najdete v tématu Plánování nasazení jednotného přihlašování.

Způsob implementace jednotného přihlašování závisí na tom, kde je aplikace hostovaná. Hostování je důležité kvůli způsobu směrování síťového provozu pro přístup k aplikaci. Uživatelé nemusí používat internet pro přístup k místním aplikacím (hostovaným v místní síti). Pokud je aplikace hostovaná v cloudu, uživatelé potřebují, aby ji mohli používat internet. Aplikace hostované v cloudu se také nazývají aplikace SaaS (Software as a Service).

Pro cloudové aplikace se používají federační protokoly. Pro místní aplikace můžete použít také jednotné přihlašování. Proxy aplikací můžete použít ke konfiguraci přístupu pro vaši místní aplikaci. Další informace najdete v tématu Vzdálený přístup k místním aplikacím prostřednictvím proxy aplikací Azure AD.

Moje aplikace

Pokud jste uživatelem aplikace, pravděpodobně se o podrobnosti o jednotném přihlašování moc nezajímá. Chcete jenom používat aplikace, které vám umožní produktivitu, aniž byste museli zadávat heslo tolik. Své aplikace můžete najít a spravovat na portálu Moje aplikace. Další informace najdete v tématu Přihlášení a spuštění aplikací z portálu Moje aplikace.

Další kroky