Apa itu akses menyeluruh di Azure Active Directory?
Artikel ini memberi Anda informasi tentang opsi akses menyeluruh (SSO) yang tersedia untuk Anda. Ini juga menguraikan pengenalan untuk merencanakan penyebaran akses menyeluruh saat menggunakan Azure Active Directory (Azure AD). Akses menyeluruh adalah metode autentikasi yang memungkinkan pengguna untuk masuk menggunakan satu set info masuk ke beberapa sistem perangkat lunak independen. Akses menyeluruh berarti pengguna tidak perlu masuk ke tiap aplikasi yang mereka gunakan. Dengan SSO, pengguna dapat mengakses semua aplikasi yang diperlukan tanpa diharuskan untuk mengautentikasi menggunakan info masuk yang berbeda. Untuk pengenalan singkat, lihat Azure Active Directory single sign-on.
Banyak aplikasi sudah ada di Microsoft Azure AD yang dapat Anda gunakan dengan SSO. Anda memiliki beberapa opsi untuk SSO tergantung pada kebutuhan aplikasi dan cara penerapannya. Luangkan waktu untuk merencanakan penyebaran SSO Anda sebelum Membuat aplikasi di Microsoft Azure AD. Manajemen aplikasi dapat dipermudah dengan menggunakan portal Aplikasi Saya.
Opsi akses menyeluruh
Pemilihan metode SSO bergantung pada bagaimana aplikasi dikonfigurasi untuk autentikasi. Aplikasi cloud dapat menggunakan opsi berbasis federasi, seperti OpenID Connect, OAuth, dan SAML. Aplikasi ini juga dapat menggunakan SSO berbasis kata sandi, SSO berbasis tautan, atau SSO dapat dinonaktifkan.
Federasi - Ketika Anda menyiapkan SSO untuk bekerja di antara beberapa IdP, itu disebut federasi. Implementasi SSO berdasarkan protokol federasi meningkatkan keamanan, keandalan, pengalaman pengguna akhir, dan penerapan.
Dengan akses menyeluruh yang terfederasi, Microsoft Azure AD mengautentikasi pengguna ke aplikasi dengan menggunakan akun Microsoft Azure AD mereka. Metode ini didukung untuk aplikasi SAML 2.0, WS-Federation, atau OpenID Connect. SSO terfederasi adalah mode terkaya dari SSO. Gunakan SSO terfederasi dengan Microsoft Azure AD saat aplikasi mendukungnya, alih-alih SSO berbasis kata sandi dan Layanan Federasi Direktori Aktif (AD FS).
Ada beberapa skenario di mana opsi SSO tidak ada untuk aplikasi perusahaan. Jika aplikasi didaftarkan menggunakan Pendaftaran aplikasi di portal, maka kemampuan akses menyeluruh dikonfigurasi untuk menggunakan OpenID Connect dan OAuth secara default. Dalam hal ini, opsi akses menyeluruh tidak akan ditampilkan di navigasi pada aplikasi perusahaan.
Akses menyeluruh tidak tersedia saat aplikasi dihosting di penyewa lain. Akses menyeluruh juga tidak tersedia ketika akun Anda tidak memiliki izin yang diperlukan (Administrator Global, Administrator Aplikasi Cloud, Administrator Aplikasi, atau pemilik perwakilan layanan). Izin juga dapat mengakibatkan skenario dimana Anda dapat membuka akses menyeluruh, tetapi tidak akan dapat menyimpannya.
Kata sandi - Aplikasi lokal dapat menggunakan metode berbasis kata sandi untuk SSO. Pilihan ini bekerja ketika aplikasi dikonfigurasi untuk Proksi Aplikasi.
Dengan SSO berbasis kata sandi, pengguna masuk ke aplikasi dengan nama pengguna dan kata sandi mereka saat pertama kali mengakses. Setelah masuk untuk pertama kali, Microsoft Azure AD menyediakan nama pengguna dan kata sandi ke aplikasi. SSO berbasis kata sandi memungkinkan penyimpanan kata sandi aplikasi yang aman dan pemutaran ulang menggunakan ekstensi browser web atau aplikasi seluler. Opsi ini menggunakan proses masuk yang disediakan oleh aplikasi, memungkinkan administrator untuk mengelola kata sandi, dan tidak mengharuskan pengguna untuk mengetahui kata sandi. Untuk informasi selengkapnya, lihat Menambahkan aplikasi akses menyeluruh yang berbasis OpenID Connect.
Tertaut - Proses masuk tertaut dapat memberikan pengalaman pengguna yang konsisten saat Anda melakukan migrasi aplikasi dalam jangka waktu tertentu. Jika Anda memigrasikan aplikasi ke Microsoft Azure AD, Anda dapat menggunakan SSO berbasis tautan untuk menerbitkan tautan ke semua aplikasi yang ingin Anda migrasikan dengan cepat. Pengguna dapat menemukan semua tautan di portal Aplikasi Saya atau Microsoft 365.
Setelah pengguna mengautentikasi dengan aplikasi tertaut, akun perlu dibuat sebelum pengguna diberikan akses menyeluruh. Proses provisi akun ini dapat terjadi secara otomatis, atau dapat dilakukan secara manual oleh administrator. Anda tidak dapat menerapkan kebijakan akses bersyarat atau autentikasi multifaktor ke aplikasi tertaut karena aplikasi tertaut tidak menyediakan kemampuan akses menyeluruh melalui Azure AD. Saat mengonfigurasi aplikasi tertaut, Anda hanya menambahkan tautan yang muncul untuk meluncurkan aplikasi. Untuk informasi selengkapnya, lihat Menambahkan sistem masuk tunggal tertaut ke aplikasi.
Dinonaktifkan - Ketika SSO dinonaktifkan, SSO tidak tersedia untuk aplikasi. Saat akses menyeluruh dinonaktifkan, pengguna mungkin perlu mengautentikasi dua kali. Pertama, pengguna mengautentikasi ke Azure Active Directory, lalu masuk ke aplikasi.
Nonaktifkan SSO saat:
- Anda belum siap untuk mengintegrasikan aplikasi ini dengan akses menyeluruh Microsoft Azure AD
- Anda menguji aspek lain dari aplikasi
- Aplikasi lokal tidak mengharuskan pengguna untuk mengautentikasi, tetapi Anda menginginkannya. Dengan dinonaktifkannya SSO, pengguna perlu mengautentikasi.
Jika Anda telah mengonfigurasi aplikasi untuk SSO berbasis SAML yang diinisiasi SP dan Anda menonaktifkan mode SSO, hal itu tidak akan menghentikan pengguna untuk masuk ke aplikasi di luar portal Aplikasi Saya. Untuk menghentikan pengguna masuk dari luar portal Aplikasi saya, Anda perlu menonaktifkan kemampuan pengguna untuk masuk.
Rencana penyebaran SSO
Aplikasi web dihosting oleh berbagai perusahaan dan dibuat tersedia sebagai layanan. Sejumlah contoh populer aplikasi web di antaranya Microsoft 365, GitHub, dan Salesforce. Terdapat ribuan lainnya. Orang-orang mengakses aplikasi web menggunakan browser web di komputer mereka. Akses menyeluruh memungkinkan orang menavigasi di antara berbagai aplikasi web tanpa harus masuk beberapa kali. Untuk informasi selengkapnya, lihat Perencanaan penyebaran akses menyeluruh.
Cara Anda menerapkan SSO bergantung pada tempat aplikasi dihosting. Hosting penting karena cara lalu lintas jaringan dirutekan untuk mengakses aplikasi. Pengguna tidak perlu menggunakan Internet untuk mengakses aplikasi lokal (dihosting di jaringan lokal). Jika aplikasi dihosting di cloud, pengguna memerlukan Internet untuk menggunakannya. Aplikasi yang dihosting di cloud juga disebut aplikasi Software as a Service (SaaS).
Untuk aplikasi cloud, protokol federasi berlaku. Anda juga dapat menggunakan akses menyeluruh untuk aplikasi lokal. Anda dapat menggunakan Proksi Aplikasi untuk mengonfigurasi akses untuk aplikasi lokal Anda. Untuk informasi yang lebih lanjut, lihat Akses jarak jauh ke aplikasi lokal melalui Proksi Aplikasi Azure Active Directory.
Aplikasi Saya
Jika Anda adalah pengguna aplikasi, Anda mungkin tidak terlalu peduli dengan detail SSO. Anda hanya ingin menggunakan aplikasi yang membuat Anda produktif tanpa harus mengetik kata sandi berulang kali. Anda dapat menemukan dan mengelola aplikasi Anda di portal Aplikasi Saya. Untuk informasi selengkapnya, lihat Masuk dan memulai aplikasi dari portal Aplikasi Saya.