Apa itu SSO di Microsoft Entra ID?

Artikel ini memberi Anda informasi tentang opsi akses menyeluruh (SSO) yang tersedia untuk Anda. Ini juga menguraikan pengenalan untuk merencanakan penyebaran akses menyeluruh saat menggunakan ID Microsoft Entra. Akses menyeluruh adalah metode autentikasi yang memungkinkan pengguna untuk masuk menggunakan satu set info masuk ke beberapa sistem perangkat lunak independen. Akses menyeluruh berarti pengguna tidak perlu masuk ke tiap aplikasi yang mereka gunakan. Dengan SSO, pengguna dapat mengakses semua aplikasi yang diperlukan tanpa diharuskan untuk mengautentikasi menggunakan info masuk yang berbeda. Untuk pengenalan singkat, lihat Akses menyeluruh Microsoft Entra.

Banyak aplikasi sudah ada di MICROSOFT Entra ID yang dapat Anda gunakan dengan SSO. Anda memiliki beberapa opsi untuk SSO tergantung pada kebutuhan aplikasi dan bagaimana penerapannya. Luangkan waktu untuk merencanakan penyebaran SSO Anda sebelum Anda membuat aplikasi di ID Microsoft Entra. Manajemen aplikasi dapat dipermudah dengan menggunakan portal Aplikasi Saya.

Opsi akses menyeluruh

Pemilihan metode SSO bergantung pada bagaimana aplikasi dikonfigurasi untuk autentikasi. Aplikasi cloud dapat menggunakan opsi berbasis federasi, seperti OpenID Connect, OAuth, dan SAML. Aplikasi ini juga dapat menggunakan SSO berbasis kata sandi, SSO berbasis tautan, atau SSO dapat dinonaktifkan.

  • Federasi - Ketika Anda menyiapkan SSO untuk bekerja di antara beberapa IdP, itu disebut federasi. Implementasi SSO berdasarkan protokol federasi meningkatkan keamanan, keandalan, pengalaman pengguna akhir, dan penerapan.

    Dengan akses menyeluruh federasi, Microsoft Entra mengautentikasi pengguna ke aplikasi dengan menggunakan akun Microsoft Entra mereka. Metode ini didukung untuk aplikasi SAML 2.0, WS-Federation, atau OpenID Connect. SSO terfederasi adalah mode terkaya dari SSO. Gunakan SSO federasi dengan MICROSOFT Entra ID saat aplikasi mendukungnya, alih-alih SSO berbasis kata sandi dan Layanan Federasi Direktori Aktif (AD FS).

    Ada beberapa skenario di mana opsi SSO tidak ada untuk aplikasi perusahaan. Jika aplikasi didaftarkan menggunakan Pendaftaran aplikasi di portal, maka kemampuan akses menyeluruh dikonfigurasi untuk menggunakan OpenID Connect dan OAuth secara default. Dalam hal ini, opsi akses menyeluruh tidak muncul di navigasi di bawah aplikasi perusahaan.

    Akses menyeluruh tidak tersedia saat aplikasi dihosting di penyewa lain. Akses menyeluruh juga tidak tersedia jika akun Anda tidak memiliki izin yang diperlukan (Administrator Aplikasi Cloud, Administrator Aplikasi, atau pemilik perwakilan layanan). Izin juga dapat menyebabkan skenario di mana Anda dapat membuka akses menyeluruh tetapi mungkin tidak dapat menyimpan.

  • Kata sandi - Aplikasi lokal dapat menggunakan metode berbasis kata sandi untuk SSO. Pilihan ini bekerja ketika aplikasi dikonfigurasi untuk Proksi Aplikasi.

    Dengan SSO berbasis kata sandi, pengguna masuk ke aplikasi dengan nama pengguna dan kata sandi mereka saat pertama kali mengakses. Setelah masuk pertama, Microsoft Entra ID menyediakan nama pengguna dan kata sandi ke aplikasi. SSO berbasis kata sandi memungkinkan penyimpanan kata sandi aplikasi yang aman dan pemutaran ulang menggunakan ekstensi browser web atau aplikasi seluler. Opsi ini menggunakan proses masuk yang disediakan oleh aplikasi, memungkinkan administrator untuk mengelola kata sandi, dan tidak mengharuskan pengguna untuk mengetahui kata sandi. Untuk informasi selengkapnya, lihat Menambahkan aplikasi akses menyeluruh yang berbasis OpenID Connect.

  • Tertaut - Proses masuk tertaut dapat memberikan pengalaman pengguna yang konsisten saat Anda melakukan migrasi aplikasi dalam jangka waktu tertentu. Jika Anda memigrasikan aplikasi ke MICROSOFT Entra ID, Anda dapat menggunakan SSO berbasis tertaut untuk menerbitkan tautan dengan cepat ke semua aplikasi yang ingin Anda migrasikan. Pengguna dapat menemukan semua tautan di portal Aplikasi Saya atau Microsoft 365.

    Setelah pengguna mengautentikasi dengan aplikasi tertaut, akun perlu dibuat sebelum pengguna diberikan akses menyeluruh. Proses provisi akun ini dapat terjadi secara otomatis, atau dapat dilakukan secara manual oleh administrator. Anda tidak dapat menerapkan kebijakan Akses Bersyarat atau autentikasi multifaktor ke aplikasi tertaut karena aplikasi tertaut tidak menyediakan kemampuan akses menyeluruh melalui ID Microsoft Entra. Saat mengonfigurasi aplikasi tertaut, Anda hanya menambahkan tautan yang muncul untuk meluncurkan aplikasi. Untuk informasi selengkapnya, lihat Menambahkan sistem masuk tunggal tertaut ke aplikasi.

  • Dinonaktifkan - Ketika SSO dinonaktifkan, SSO tidak tersedia untuk aplikasi. Saat akses menyeluruh dinonaktifkan, pengguna mungkin perlu mengautentikasi dua kali. Pertama, pengguna mengautentikasi ke ID Microsoft Entra, lalu mereka masuk ke aplikasi.

    Nonaktifkan SSO saat:

    • Anda belum siap untuk mengintegrasikan aplikasi ini dengan akses menyeluruh Microsoft Entra

    • Anda menguji aspek lain dari aplikasi

    • Aplikasi lokal tidak mengharuskan pengguna untuk mengautentikasi, tetapi Anda menginginkannya. Dengan dinonaktifkannya SSO, pengguna perlu mengautentikasi.

      Jika Anda mengonfigurasi aplikasi untuk SSO berbasis SAML yang diinisiasi SP dan Anda mengubah mode SSO menjadi dinonaktifkan, aplikasi tersebut tidak menghentikan pengguna untuk masuk ke aplikasi di luar portal MyApps. Untuk menghentikan pengguna masuk dari luar portal Aplikasi saya, Anda perlu menonaktifkan kemampuan pengguna untuk masuk.

Rencana penyebaran SSO

Aplikasi web dihosting oleh berbagai perusahaan dan dibuat tersedia sebagai layanan. Sejumlah contoh populer aplikasi web di antaranya Microsoft 365, GitHub, dan Salesforce. Terdapat ribuan lainnya. Orang-orang mengakses aplikasi web menggunakan browser web di komputer mereka. Akses menyeluruh memungkinkan orang menavigasi di antara berbagai aplikasi web tanpa harus masuk beberapa kali. Untuk informasi selengkapnya, lihat Perencanaan penyebaran akses menyeluruh.

Cara Anda menerapkan SSO bergantung pada tempat aplikasi dihosting. Hosting penting karena cara lalu lintas jaringan dirutekan untuk mengakses aplikasi. Pengguna tidak perlu menggunakan Internet untuk mengakses aplikasi lokal (dihosting di jaringan lokal). Jika aplikasi dihosting di cloud, pengguna memerlukan Internet untuk menggunakannya. Aplikasi yang dihosting di cloud juga disebut aplikasi Software as a Service (SaaS).

Untuk aplikasi cloud, protokol federasi berlaku. Anda juga dapat menggunakan akses menyeluruh untuk aplikasi lokal. Anda dapat menggunakan Proksi Aplikasi untuk mengonfigurasi akses untuk aplikasi lokal Anda. Untuk informasi selengkapnya, lihat Akses jarak jauh ke aplikasi lokal melalui proksi aplikasi Microsoft Entra.

Aplikasi Saya

Jika Anda adalah pengguna aplikasi, Anda mungkin tidak terlalu peduli dengan detail SSO. Anda hanya ingin menggunakan aplikasi yang membuat Anda produktif tanpa harus mengetik kata sandi berulang kali. Anda dapat menemukan dan mengelola aplikasi Anda di portal Aplikasi Saya. Untuk informasi selengkapnya, lihat Masuk dan memulai aplikasi dari portal Aplikasi Saya.

Langkah berikutnya