Egyszeri bejelentkezés üzembe helyezésének tervezése

Ez a cikk olyan információkat tartalmaz, amelyekkel megtervezheti az egyszeri bejelentkezés (SSO) üzembe helyezését az Azure Active Directoryban (Azure AD). Ha az SSO üzembe helyezését az alkalmazásokkal Azure AD tervezi, az alábbi kérdéseket kell figyelembe vennie:

  • Milyen rendszergazdai szerepkörök szükségesek az alkalmazás kezeléséhez?
  • Meg kell újítani a tanúsítványt?
  • Kiket kell értesíteni az egyszeri bejelentkezés végrehajtásával kapcsolatos változásokról?
  • Milyen licencek szükségesek az alkalmazás hatékony felügyeletéhez?
  • Használnak megosztott felhasználói fiókokat az alkalmazás eléréséhez?
  • Megértettem az egyszeri bejelentkezés üzembe helyezésének lehetőségeit?

Felügyeleti szerepkörök

Mindig használja a szerepkört a rendelkezésre álló legkevesebb engedéllyel a szükséges feladat végrehajtásához Azure AD. Tekintse át az elérhető különböző szerepköröket, és válassza ki a megfelelőt az alkalmazás minden egyes személyének igényeinek kielégítéséhez. Előfordulhat, hogy egyes szerepköröket ideiglenesen kell alkalmazni, és el kell távolítani az üzembe helyezés befejezése után.

Persona Szerepkörök Azure AD szerepkör (ha szükséges)
Ügyfélszolgálati rendszergazda 1. rétegbeli támogatás None
Identitásadminisztrátor Konfigurálás és hibakeresés Azure AD Globális rendszergazda
Alkalmazás-rendszergazda Felhasználóigazolás az alkalmazásban, konfiguráció az engedélyekkel rendelkező felhasználókon None
Infrastruktúra-rendszergazdák Tanúsítványátállítás tulajdonosa Globális rendszergazda
Üzleti tulajdonos/érdekelt Felhasználóigazolás az alkalmazásban, konfiguráció az engedélyekkel rendelkező felhasználókon None

Az Azure AD beépített szerepköreit ismertető cikkben további információt talál az Azure AD rendszergazdai szerepköreiről.

Tanúsítványok

Ha engedélyezi az összevont egyszeri bejelentkezést az alkalmazáshoz, Azure AD létrehoz egy, alapértelmezés szerint három évig érvényes tanúsítványt. Szükség esetén testre szabhatja a tanúsítvány lejárati dátumát. Győződjön meg arról, hogy rendelkezik a tanúsítványok lejárat előtti megújítására vonatkozó folyamatokkal.

A tanúsítvány időtartamát a Azure Portal módosíthatja. Mindenképpen dokumentálja a lejáratot, és tudja, hogyan fogja kezelni a tanúsítvány megújítását. Fontos azonosítani az aláíró tanúsítvány életciklusának kezeléséhez szükséges megfelelő szerepköröket és e-mail-terjesztési listákat. A következő szerepkörök használata ajánlott:

  • Tulajdonos az alkalmazás felhasználói tulajdonságainak frissítéséhez
  • Tulajdonos hívása az alkalmazás hibaelhárítási támogatásához
  • A tanúsítványokkal kapcsolatos változásértesítések szigorúan figyelt e-mail-terjesztési listája

Állítson be egy folyamatot, a Azure AD és az alkalmazás közötti tanúsítványváltozások kezelésére. Ennek a folyamatnak a végrehajtásával megelőzheti vagy minimalizálhatja a tanúsítványlejáró vagy a kényszerített tanúsítványáthelyezés miatti kimaradást. További információ: Összevont egyszeri bejelentkezés tanúsítványainak kezelése az Azure Active Directoryban.

Kommunikáció

A kommunikáció kritikus fontosságú az új szolgáltatások sikeressége szempontjából. Proaktívan kommunikáljon a felhasználókkal arról, hogy hogyan változik a felhasználói élményük. Közölje, hogy mikor változik, és hogyan kaphat támogatást, ha problémákat tapasztal. Tekintse át, hogy a felhasználók hogyan férnek hozzá az egyszeri bejelentkezést használó alkalmazásaikhoz, és a saját igényeinek megfelelően készítse el a kommunikációt.

Implementálja a kommunikációs tervet. Győződjön meg arról, hogy tudatja a felhasználókat, hogy változás érkezik, amikor megérkezik, és hogy mi a teendő most. Arról is győződjön meg, hogy megadja a segítségkérés módjával kapcsolatos információkat.

Licencek

Győződjön meg arról, hogy az alkalmazásra a következő licencelési követelmények vonatkoznak:

  • Azure AD licencelés – Az előre integrált vállalati alkalmazások egyszeri bejelentkezése ingyenes. A címtárban lévő objektumok száma és az üzembe helyezni kívánt funkciók azonban további licenceket igényelhetnek. A licenckövetelmények teljes listáját lásd: Az Azure Active Directory díjszabása.

  • Alkalmazáslicencek – Az üzleti igényeknek megfelelő licencekre lesz szüksége az alkalmazásokhoz. Az alkalmazás tulajdonosával együttműködve állapítsa meg, hogy az alkalmazáshoz rendelt felhasználók rendelkeznek-e a szerepköreiknek megfelelő licencekkel az alkalmazásban. Ha Azure AD a szerepkörök alapján kezeli az automatikus kiépítést, a Azure AD hozzárendelt szerepköröknek az alkalmazáson belül birtokolt licencek számához kell igazodniuk. Az alkalmazásban birtokolt licencek helytelen száma hibákat okozhat a felhasználói fiók kiépítése vagy frissítése során.

Közös fiókok

A bejelentkezés szempontjából a megosztott fiókkal rendelkező alkalmazások nem különböznek az egyéni felhasználók számára jelszó egyszeri bejelentkezést használó vállalati alkalmazásoktól. A megosztott fiókok használatára szánt alkalmazások tervezéséhez és konfigurálásához azonban további lépésekre van szükség.

  • A felhasználókkal együttműködve dokumentálja a következő információkat:
    • A szervezet azon felhasználóinak halmaza, akik használni fogják az alkalmazást.
    • A felhasználók készletéhez társított meglévő hitelesítő adatok készlete az alkalmazásban.
  • A felhasználói beállítások és a hitelesítő adatok minden kombinációjához hozzon létre egy biztonsági csoportot a felhőben vagy a helyszínen a követelmények alapján.
  • Állítsa alaphelyzetbe a megosztott hitelesítő adatokat. Miután az alkalmazás üzembe lett helyezve Azure AD, a felhasználóknak nincs szükségük a megosztott fiók jelszavára. Azure AD tárolja a jelszót, és érdemes megfontolnia a hosszú és összetett beállítását.
  • Ha az alkalmazás támogatja, konfigurálja a jelszó automatikus átállítását. Így még a kezdeti beállítást végző rendszergazda sem ismeri a megosztott fiók jelszavát.

Az egyszeri bejelentkezés beállításai

Az egyszeri bejelentkezést többféleképpen konfigurálhatja az alkalmazásokhoz. Az egyszeri bejelentkezési módszer kiválasztása az alkalmazás hitelesítési konfigurációjának függvénye.

  • A felhőalkalmazások használhatnak OpenID Connect-alapú, OAuth-alapú, SAML-alapú, jelszóalapú vagy összekapcsolt egyszeri bejelentkezést. Az egyszeri bejelentkezést le is lehet tiltani.
  • A helyszíni alkalmazások használhatnak jelszóalapú, integrált Windows-hitelesítésen alapuló, fejlécalapú vagy hivatkozásalapú egyszeri bejelentkezést. A helyszíni lehetőségek akkor működnek, ha az alkalmazások alkalmazásproxy használatára vannak konfigurálva.

Ez a folyamatábra segít megállapítani, hogy az adott esetben melyik egyszeri bejelentkezési módszert érdemes használni.

Az egyszeri bejelentkezési módszerek döntési folyamatábrája

A következő SSO-protokollok használhatók:

  • OpenID Connect és OAuth – Válassza az OpenID Connect és az OAuth 2.0 lehetőséget, ha az alkalmazás, amelyhez csatlakozik, támogatja azt. További információ: OAuth 2.0 és OpenID Connect protokollok a Microsoft Identitásplatform. Az OpenID Connect SSO implementálásának lépéseiért lásd: OIDC-alapú egyszeri bejelentkezés beállítása egy alkalmazáshoz az Azure Active Directoryban.

  • SAML – Amikor csak lehetséges, válassza az SAML lehetőséget az OpenID Connectet vagy OAuth-t nem használó meglévő alkalmazásokhoz. További információ: Single Sign-On SAML protokoll.

  • Jelszóalapú – Válassza a jelszóalapú beállítást, ha az alkalmazás rendelkezik HTML bejelentkezési oldallal. A jelszóalapú egyszeri bejelentkezést jelszótárolónak is nevezik. A jelszóalapú egyszeri bejelentkezés lehetővé teszi az identitás-összevonást nem támogató webalkalmazások felhasználói hozzáférésének és jelszavának kezelését. Az is hasznos, ha több felhasználónak egyetlen fiókot kell megosztania, például a szervezet közösségimédia-alkalmazásfiókjait.

    A jelszóalapú egyszeri bejelentkezés támogatja azokat az alkalmazásokat, amelyek több bejelentkezési mezőt igényelnek azoknál az alkalmazásoknál, amelyekhez nem csak felhasználónév- és jelszómezőkre van szükség a bejelentkezéshez. Testre szabhatja azon felhasználónév- és jelszómezők címkéit, amelyekkel a felhasználók a hitelesítő adataik megadásakor Saját alkalmazások láthatják. A jelszóalapú egyszeri bejelentkezés implementálásának lépéseiért lásd: Jelszóalapú egyszeri bejelentkezés.

  • Csatolt – Válassza a csatolt lehetőséget, ha az alkalmazás SSO-hoz van konfigurálva egy másik identitásszolgáltató szolgáltatásban. A csatolt beállítás lehetővé teszi a célhely konfigurálását, amikor a felhasználó kiválasztja az alkalmazást a szervezet portáljain. Hozzáadhat csatolást egy olyan egyéni webalkalmazáshoz, amely jelenleg összevonást használ, például az Active Directory összevonási szolgáltatásokat (AD FS).

    Ezenkívül hozzáadhat csatolásokat bizonyos weboldalakhoz is, amelyeket meg szeretne jeleníteni a felhasználói hozzáférési paneleken, valamint olyan alkalmazáshoz, amely nem igényel hitelesítést. A csatolt beállítás nem biztosít bejelentkezési funkciót az Azure AD hitelesítő adataival. A társított egyszeri bejelentkezés implementálásának lépéseit lásd: Csatolt egyszeri bejelentkezés.

  • Letiltva – Akkor válassza a letiltott egyszeri bejelentkezést, ha az alkalmazás nem áll készen az egyszeri bejelentkezés konfigurálására.

  • Integrált Windows-hitelesítés (IWA) – Válassza az IWA egyszeri bejelentkezést az IWA-t használó alkalmazásokhoz vagy a jogcímbarát alkalmazásokhoz. További információ: Kerberos korlátozott delegálás az alkalmazásokba való egyszeri bejelentkezéshez alkalmazásproxy.

  • Fejlécalapú – Válassza ki a fejlécalapú egyszeri bejelentkezést, ha az alkalmazás fejléceket használ a hitelesítéshez. További információ: Fejlécalapú egyszeri bejelentkezés.

Következő lépések