Merencanakan penyebaran akses menyeluruh
Artikel ini memberikan informasi yang dapat Anda gunakan untuk merencanakan penyebaran akses menyeluruh (SSO) Anda di Microsoft Azure Active Directory (Azure AD). Saat merencanakan penyebaran SSO dengan aplikasi di Azure AD, Anda perlu mempertimbangkan pertanyaan berikut:
- Apa peran administratif yang diperlukan untuk mengelola aplikasi?
- Apakah sertifikat aplikasi Security Assertion Markup Language (SAML) perlu diperbarui?
- Siapa yang perlu diberi tahu tentang perubahan terkait implementasi SSO?
- Lisensi apa yang diperlukan untuk memastikan manajemen aplikasi yang efektif?
- Apakah akun pengguna bersama dan tamu digunakan untuk mengakses aplikasi?
- Apakah saya memahami opsi penyebaran SSO?
Peran Administratif
Selalu gunakan peran dengan izin terkecil yang tersedia untuk menyelesaikan tugas yang diperlukan dalam Microsoft Azure AD. Tinjau berbagai peran yang tersedia dan pilih yang tepat untuk menyelesaikan kebutuhan Anda untuk setiap persona untuk aplikasi. Beberapa peran mungkin perlu diterapkan untuk sementara dan dihapus setelah penyebaran selesai.
| Persona | Peran | Peran Microsoft Azure AD (jika perlu) |
|---|---|---|
| Admin meja bantuan | Dukungan Tingkat 1 menampilkan log masuk untuk mengatasi masalah. | Tidak ada |
| Admin identitas | Mengonfigurasi dan men-debug saat masalah melibatkan Microsoft Azure Active Directory | Admin Aplikasi Cloud |
| Admin aplikasi | Pengesahan pengguna dalam aplikasi, konfigurasi pada pengguna dengan izin | Tidak ada |
| Admin infrastruktur | Pemilik sertifikat rollover | Admin Aplikasi Cloud |
| Pemilik bisnis/pemangku kepentingan | Pengesahan pengguna dalam aplikasi, konfigurasi pada pengguna dengan izin | Tidak ada |
Untuk mempelajari lebih lanjut tentang peran administratif Azure AD, lihat Peran bawaan Azure AD.
Sertifikat
Saat Anda mengaktifkan federasi pada aplikasi SAML, Azure AD membuat sertifikat yang secara default berlaku selama tiga tahun. Anda bisa mengkustomisasi tanggal kedaluwarsa untuk sertifikat tersebut jika diperlukan. Pastikan Anda memiliki proses untuk memperbarui sertifikat sebelum kedaluwarsa.
Anda dapat mengubah durasi sertifikat tersebut di portal Microsoft Azure. Pastikan untuk mendanai kedaluwarsa dan mengetahui bagaimana Anda akan mengelola perpanjangan sertifikat Anda. Anda harus mengidentifikasi peran yang tepat dan daftar distribusi email yang terlibat dengan pengelolaan siklus hidup sertifikat penandatanganan. Peran berikut direkomendasikan:
- Pemilik untuk memperbarui properti pengguna dalam aplikasi
- Pemilik Panggilan untuk dukungan penyelesaian masalah
- Daftar distribusi email yang dipantau dengan cermat untuk pemberitahuan perubahan terkait sertifikat
Siapkan proses terkait cara Anda menangani perubahan sertifikat antara Microsoft Azure AD dan aplikasi Anda. Dengan tersedianya proses ini, Anda dapat membantu mencegah atau meminimalkan pemadaman karena sertifikat kedaluwarsa atau rollover sertifikat paksa. Untuk informasi selengkapnya, lihat Mengelola sertifikat untuk akses menyeluruh terfederasi di Microsoft Azure Active Directory.
Komunikasi
Komunikasi sangat penting bagi keberhasilan layanan baru apa pun. Komunikasikan secara proaktif kepada pengguna Anda tentang adanya perubahan pada pengalaman mereka ke depannya. Komunikasikan kapan akan berubah, dan bagaimana mendapatkan dukungan jika mengalami masalah. Tinjau opsi tentang bagaimana cara pengguna dapat mengakses aplikasi yang SSO-nya diaktifkan, dan buat komunikasi Anda agar sesuai dengan pilihan Anda.
Terapkan rencana komunikasi Anda. Pastikan Anda memberi tahu pengguna bahwa perubahan akan datang, kapan perubahan itu akan diberlakukan, dan apa yang harus dilakukan sekarang. Juga, pastikan Anda memberikan informasi tentang cara mencari bantuan.
Lisensi
Pastikan aplikasi dicakup oleh persyaratan lisensi berikut:
Lisensi Microsoft Azure AD - SSO untuk aplikasi perusahaan pra-terintegrasi gratis. Namun, jumlah objek di direktori Anda dan fitur yang ingin Anda terapkan mungkin memerlukan lebih banyak lisensi. Untuk daftar lengkap persyaratan lisensi, lihat Harga Azure Active Directory.
Lisensi aplikasi - Anda akan memerlukan lisensi yang sesuai untuk aplikasi Anda untuk memenuhi kebutuhan bisnis Anda. Bekerjalah dengan pemilik aplikasi untuk menentukan apakah pengguna yang ditetapkan ke aplikasi memiliki lisensi yang sesuai untuk perannya dalam aplikasi. Jika Azure AD mengelola penyediaan otomatis berdasarkan peran, peran yang ditetapkan di Azure AD harus selaras dengan jumlah lisensi yang dimiliki dalam aplikasi. Lisensi yang salah yang dimiliki dalam aplikasi dapat menyebabkan kesalahan selama proses provisi atau pembaruan akun pengguna.
Akun bersama
Dari perspektif masuk, aplikasi dengan akun bersama tidak berbeda dari aplikasi enterprise yang menggunakan SSO kata sandi untuk pengguna individual. Namun, ada lebih banyak langkah yang diperlukan saat merencanakan dan mengonfigurasi aplikasi yang dimaksudkan untuk menggunakan akun bersama.
- Bekerja dengan pengguna untuk mendokumentasikan informasi berikut:
- Set pengguna di organisasi yang akan menggunakan aplikasi.
- Set kredensial yang ada dalam aplikasi yang terkait dengan set pengguna.
- Untuk setiap kombinasi set pengguna dan kredensial, buat grup keamanan di cloud atau secara lokal sesuai kebutuhan Anda.
- Mereset kredensial bersama. Setelah aplikasi disebarkan di Microsoft Azure AD, individu tidak akan memerlukan kata sandi akun bersama. Microsoft Azure AD menyimpan kata sandi dan Anda harus mempertimbangkan untuk mengaturnya agar menjadi panjang dan rumit.
- Konfigurasikan rollover kata sandi otomatis jika aplikasi mendukungnya. Dengan begitu, bahkan administrator yang melakukan pengaturan awal akan mengetahui kata sandi akun bersama.
Opsi akses menyeluruh
Azure AD menyimpan kata sandi dan Anda harus mempertimbangkan untuk mengaturnya agar menjadi panjang dan rumit. Pemilihan metode SSO bergantung pada bagaimana aplikasi dikonfigurasi untuk autentikasi.
- Aplikasi cloud dapat menggunakan OpenID Connect, OAuth, SAML, berbasis sandi, atau ditautkan untuk SSO. Akses menyeluruh juga dapat dinonaktifkan.
- Aplikasi lokal dapat menggunakan berbasis kata sandi, Autentikasi Windows Terintegrasi, berbasis header, atau ditautkan untuk SSO. Pilihan lokal berfungsi saat aplikasi dikonfigurasi untuk Proksi Aplikasi.
Diagram alur ini dapat membantu Anda memutuskan metode SSO mana yang terbaik untuk situasi Anda.
Protokol SSO berikut tersedia untuk digunakan:
OpenID Koneksi dan OAuth - Pilih OpenID Koneksi dan OAuth 2.0 jika aplikasi yang Anda sambungkan mendukungnya. Untuk informasi selengkapnya, lihat Protokol OAuth 2.0 dan OpenID Connect pada platform identitas Microsoft. Untuk langkah-langkah menerapkan OpenID Koneksi SSO, lihat Menyiapkan akses menyeluruh berbasis OIDC untuk aplikasi di Azure Active Directory.
SAML - Pilih SAML jika memungkinkan untuk aplikasi yang ada yang tidak menggunakan OpenID Connect atau OAuth. Untuk informasi selengkapnya, lihat protokol SAML akses menyeluruh.
Berbasis kata sandi - Pilih berbasis kata sandi saat aplikasi memiliki halaman masuk HTML. SSO berbasis kata sandi juga dikenal sebagai vaulting kata sandi. SSO berbasis kata sandi memungkinkan Anda mengelola akses dan kata sandi pengguna ke aplikasi web yang tidak mendukung federasi identitas. Ini juga berguna untuk skenario di mana beberapa pengguna perlu berbagi satu akun, seperti ke akun aplikasi media sosial organisasi Anda.
SSO berbasis kata sandi mendukung aplikasi yang memerlukan beberapa bidang masuk untuk aplikasi yang memerlukan lebih dari sekadar bidang nama pengguna dan kata sandi untuk masuk. Anda dapat menyesuaikan label bidang nama pengguna dan kata sandi yang dilihat pengguna Anda di Aplikasi Saya saat mereka memasukkan informasi masuk. Untuk langkah-langkah menerapkan SSO berbasis kata sandi, lihat Akses menyeluruh berbasis kata sandi.
Linked - Pilih tertaut saat aplikasi dikonfigurasi untuk SSO di layanan penyedia identitas lain. Opsi tertaut memungkinkan Anda mengonfigurasi lokasi target saat pengguna memilih aplikasi di portal pengguna akhir organisasi Anda. Anda dapat menambahkan tautan ke aplikasi web kustom yang saat ini menggunakan federasi, seperti Layanan Federasi Direktori Aktif (AD FS).
Anda juga dapat menambahkan tautan ke halaman web tertentu yang ingin ditampilkan di panel akses pengguna dan ke aplikasi yang tidak memerlukan autentikasi. Opsi Tertaut tidak menyediakan fungsionalitas masuk melalui kredensial Azure AD. Untuk langkah-langkah menerapkan SSO tertaut, lihat Akses menyeluruh tertaut.
Dinonaktifkan - Pilih SSO yang dinonaktifkan saat aplikasi belum siap dikonfigurasi untuk SSO.
Integrated Windows Authentication (IWA) - Pilih akses menyeluruh IWA untuk aplikasi yang menggunakan IWA, atau untuk aplikasi yang sadar terhadap klaim. Untuk informasi selengkapnya, lihat Delegasi yang Dibatasi Kerberos untuk akses menyeluruh ke aplikasi dengan Proksi Aplikasi.
Berbasis header - Pilih masuk tunggal berbasis header saat aplikasi menggunakan header untuk autentikasi. Untuk informasi selengkapnya, lihat SSO berbasis header.