Co je jednotné přihlašování v Microsoft Entra ID?
Tento článek obsahuje informace o možnostech jednotného přihlašování (SSO), které máte k dispozici. Popisuje také úvod k plánování nasazení jednotného přihlašování při použití ID Microsoft Entra. Jednotné přihlašování je metoda ověřování, která uživatelům umožňuje přihlásit se pomocí jedné sady přihlašovacích údajů k více nezávislým softwarovým systémům. Použití jednotného přihlašování znamená, že se uživatel nemusí přihlašovat ke každé aplikaci, kterou používá. S jednotným přihlašováním mají uživatelé přístup ke všem potřebným aplikacím, aniž by se museli ověřovat pomocí různých přihlašovacích údajů. Stručný úvod najdete v tématu Jednotné přihlašování Microsoft Entra.
Mnoho aplikací již existuje v Microsoft Entra ID, které můžete použít s jednotným přihlašováním. V závislosti na potřebách aplikace a způsobu implementace máte několik možností jednotného přihlašování. Než vytvoříte aplikace v Microsoft Entra ID, chvíli naplánujte nasazení jednotného přihlašování. Správu aplikací je možné usnadnit pomocí portálu Moje aplikace.
Možnosti jednotného přihlašování
Volba metody jednotného přihlašování závisí na tom, jak je aplikace nakonfigurovaná pro ověřování. Cloudové aplikace můžou používat možnosti založené na federaci, jako je OpenID Connect a SAML. Aplikace může také používat jednotné přihlašování založené na heslech, propojené jednotné přihlašování nebo jednotné přihlašování je možné zakázat.
Federace – Když nastavíte jednotné přihlašování pro práci mezi více zprostředkovateli identit, nazývá se federace. Implementace jednotného přihlašování založená na federačních protokolech zlepšuje zabezpečení, spolehlivost, prostředí koncových uživatelů a implementaci.
S federovaným jednotným přihlašováním Microsoft Entra ověřuje uživatele v aplikaci pomocí svého účtu Microsoft Entra. Tato metoda je podporovaná pro aplikace SAML 2.0, WS-Federation nebo OpenID Connect . Federované jednotné přihlašování je nejbohatší režim jednotného přihlašování. Pokud aplikace podporuje jednotné přihlašování založené na heslech a Active Directory Federation Services (AD FS) (AD FS), použijte federované jednotné přihlašování s Microsoft Entra ID.
Existuje několik scénářů, kdy pro podnikovou aplikaci není k dispozici možnost jednotného přihlašování. Pokud byla aplikace zaregistrovaná pomocí Registrace aplikací na portálu, je funkce jednotného přihlašování nakonfigurovaná tak, aby používala OpenID Connect. V tomto případě se možnost jednotného přihlašování nezobrazuje v navigaci v podnikových aplikacích. OpenID Connect je ověřovací protokol založený na OAuth 2.0, což je autorizační protokol. OpenID Connect používá K zpracování autorizační části procesu OAuth 2.0. Když se uživatel pokusí přihlásit, OpenID Connect ověří svou identitu na základě ověřování prováděného autorizačním serverem. Po ověření uživatele se OAuth 2.0 použije k udělení přístupu aplikace k prostředkům uživatele bez vystavení přihlašovacích údajů.
Jednotné přihlašování není dostupné, pokud je aplikace hostovaná v jiném tenantovi. Jednotné přihlašování není k dispozici také v případě, že váš účet nemá požadovaná oprávnění (správce cloudových aplikací, správce aplikací nebo vlastník instančního objektu). Oprávnění můžou také způsobit scénář, kdy můžete otevřít jednotné přihlašování, ale nemusí být možné je uložit.
Heslo – Místní aplikace můžou pro jednotné přihlašování používat metodu založenou na heslech. Tato volba funguje, když jsou aplikace nakonfigurované pro proxy aplikací.
S jednotným přihlašováním založeným na heslech se uživatelé při prvním přístupu k aplikaci přihlašují pomocí uživatelského jména a hesla. Po prvním přihlášení microsoft Entra ID poskytne aplikaci uživatelské jméno a heslo. Jednotné přihlašování založené na heslech umožňuje zabezpečené ukládání hesel aplikací a přehrání pomocí rozšíření webového prohlížeče nebo mobilní aplikace. Tato možnost používá existující přihlašovací proces poskytovaný aplikací, umožňuje správci spravovat hesla a nevyžaduje, aby uživatel znal heslo. Další informace najdete v tématu Přidání jednotného přihlašování založeného na heslech do aplikace.
Propojené – Propojené přihlašování může poskytovat konzistentní uživatelské prostředí při migraci aplikací v průběhu časového období. Pokud migrujete aplikace na Microsoft Entra ID, můžete pomocí propojeného jednotného přihlašování rychle publikovat odkazy na všechny aplikace, které chcete migrovat. Uživatelé můžou najít všechny odkazy na portálech Moje aplikace nebo Microsoft 365.
Po ověření uživatele v propojené aplikaci je potřeba vytvořit účet před poskytnutím přístupu k jednotnému přihlašování. Zřizování tohoto účtu může probíhat buď automaticky, nebo k němu může dojít ručně správcem. Na propojenou aplikaci nemůžete použít zásady podmíněného přístupu ani vícefaktorové ověřování, protože propojená aplikace neposkytuje funkce jednotného přihlašování prostřednictvím Microsoft Entra ID. Když konfigurujete propojenou aplikaci, jednoduše přidáváte odkaz, který se zobrazí pro spuštění aplikace. Další informace najdete v tématu Přidání propojeného jednotného přihlašování do aplikace.
Zakázáno – Pokud je jednotné přihlašování zakázané, není pro aplikaci k dispozici. Když je jednotné přihlašování zakázané, uživatelé se možná budou muset ověřit dvakrát. Nejprve se uživatelé ověřují v Microsoft Entra ID a pak se přihlásí k aplikaci.
Zakázat jednotné přihlašování, když:
Nejste připraveni tuto aplikaci integrovat s jednotným přihlašováním Microsoft Entra.
Testujete další aspekty aplikace.
Místní aplikace nevyžaduje, aby se uživatelé ověřili, ale chcete, aby se ověřili. Když je jednotné přihlašování zakázané, musí se uživatel ověřit.
Pokud jste aplikaci nakonfigurovali pro jednotné přihlašování založené na SAML iniciované sp a změníte režim jednotného přihlašování na zakázaný, nezabráníte uživatelům přihlásit se k aplikaci mimo portál MyApps. Pokud chcete uživatelům zabránit v přihlašování mimo portál Moje aplikace, musíte zakázat možnost přihlášení uživatelů.
Plánování nasazení jednotného přihlašování
Webové aplikace jsou hostovány různými společnostmi a zpřístupněny jako služba. Mezi oblíbené příklady webových aplikací patří Microsoft 365, GitHub a Salesforce. Existuje tisíce dalších. Uživatelé přistupují k webovým aplikacím pomocí webového prohlížeče na svém počítači. Jednotné přihlašování umožňuje uživatelům přecházet mezi různými webovými aplikacemi, aniž by se museli několikrát přihlašovat. Další informace najdete v tématu Plánování nasazení jednotného přihlašování.
Způsob implementace jednotného přihlašování závisí na tom, kde je aplikace hostovaná. Hostování je důležité kvůli způsobu směrování síťového provozu pro přístup k aplikaci. Uživatelé nemusí pro přístup k místním aplikacím (hostovaným v místní síti) používat internet. Pokud je aplikace hostovaná v cloudu, uživatelé k jejímu používání potřebují internet. Aplikace hostované v cloudu se také nazývají aplikace Typu software jako služba (SaaS).
Pro cloudové aplikace se používají federační protokoly. Pro místní aplikace můžete také použít jednotné přihlašování. Ke konfiguraci přístupu pro místní aplikaci můžete použít proxy aplikací. Další informace naleznete v tématu Vzdálený přístup k místním aplikacím prostřednictvím proxy aplikací Microsoft Entra.
Moje aplikace
Pokud jste uživatelem aplikace, pravděpodobně vás na podrobnosti jednotného přihlašování moc nezajímá. Chcete jenom používat aplikace, které vám umožní produktivitu, aniž byste museli zadávat heslo tolik. Aplikace můžete najít a spravovat na portálu Moje aplikace. Další informace najdete v tématu Přihlášení a spuštění aplikací z portálu Moje aplikace.