Wat is eenmalige aanmelding in Microsoft Entra ID?
Dit artikel bevat informatie over de opties voor eenmalige aanmelding (SSO) die voor u beschikbaar zijn. Het bevat ook een inleiding tot het plannen van een implementatie van eenmalige aanmelding bij het gebruik van Microsoft Entra-id. Eenmalige aanmelding is een verificatiemethode waarmee gebruikers zich kunnen aanmelden met één set referenties voor meerdere onafhankelijke softwaresystemen. Als u eenmalige aanmelding gebruikt, hoeft een gebruiker zich niet aan te melden bij elke toepassing die ze gebruiken. Met eenmalige aanmelding hebben gebruikers toegang tot alle benodigde toepassingen zonder dat ze zich hoeven te verifiëren met behulp van verschillende referenties. Zie Microsoft Entra-eenmalige aanmelding voor een korte inleiding.
Veel toepassingen bestaan al in Microsoft Entra-id die u met eenmalige aanmelding kunt gebruiken. U hebt verschillende opties voor eenmalige aanmelding, afhankelijk van de behoeften van de toepassing en hoe deze wordt geïmplementeerd. Neem de tijd om uw SSO-implementatie te plannen voordat u toepassingen in Microsoft Entra-id maakt. Het beheer van toepassingen kan eenvoudiger worden gemaakt met behulp van de Mijn apps-portal.
Opties voor eenmalige aanmelding
Het kiezen van een SSO-methode is afhankelijk van de manier waarop de toepassing is geconfigureerd voor verificatie. Cloudtoepassingen kunnen federatieve opties gebruiken, zoals OpenID Connect en SAML. De toepassing kan ook gebruikmaken van eenmalige aanmelding op basis van een wachtwoord, gekoppelde eenmalige aanmelding of SSO.
Federatie : wanneer u eenmalige aanmelding instelt om te werken tussen meerdere id-providers, wordt deze federatie genoemd. Een SSO-implementatie op basis van federatieprotocollen verbetert de beveiliging, betrouwbaarheid, ervaringen van eindgebruikers en implementatie.
Met federatieve eenmalige aanmelding verifieert Microsoft Entra de gebruiker bij de toepassing met behulp van hun Microsoft Entra-account. Deze methode wordt ondersteund voor SAML 2.0-, WS-Federation- of OpenID Connect-toepassingen . Federatieve eenmalige aanmelding is de meest uitgebreide modus van eenmalige aanmelding. Gebruik federatieve eenmalige aanmelding met Microsoft Entra-id wanneer een toepassing deze ondersteunt, in plaats van eenmalige aanmelding op basis van wachtwoorden en Active Directory Federation Services (AD FS).
Er zijn enkele scenario's waarin de optie voor eenmalige aanmelding niet aanwezig is voor een bedrijfstoepassing. Als de toepassing is geregistreerd met behulp van App-registraties in de portal, is de mogelijkheid voor eenmalige aanmelding geconfigureerd voor het gebruik van OpenID Connect. In dit geval wordt de optie voor eenmalige aanmelding niet weergegeven in de navigatie onder bedrijfstoepassingen. OpenID Connect is een verificatieprotocol dat is gebouwd boven op OAuth 2.0, een autorisatieprotocol. OpenID Connect maakt gebruik van OAuth 2.0 om het autorisatiegedeelte van het proces af te handelen. Wanneer een gebruiker zich probeert aan te melden, verifieert OpenID Connect de identiteit op basis van de verificatie die door een autorisatieserver wordt uitgevoerd. Zodra de gebruiker is geverifieerd, wordt OAuth 2.0 gebruikt om de toepassing toegang te verlenen tot de resources van de gebruiker zonder hun referenties weer te geven.
Eenmalige aanmelding is niet beschikbaar wanneer een toepassing wordt gehost in een andere tenant. Eenmalige aanmelding is ook niet beschikbaar als uw account niet over de vereiste machtigingen beschikt (cloudtoepassingsbeheerder, toepassingsbeheerder of eigenaar van de service-principal). Machtigingen kunnen ook een scenario veroorzaken waarbij u eenmalige aanmelding kunt openen, maar mogelijk niet kunt opslaan.
Wachtwoord : on-premises toepassingen kunnen een methode op basis van een wachtwoord gebruiken voor eenmalige aanmelding. Deze keuze werkt wanneer toepassingen zijn geconfigureerd voor toepassingsproxy.
Met eenmalige aanmelding op basis van een wachtwoord melden gebruikers zich bij de toepassing aan met een gebruikersnaam en wachtwoord wanneer ze deze de eerste keer openen. Na de eerste aanmelding geeft Microsoft Entra ID de gebruikersnaam en het wachtwoord voor de toepassing op. Eenmalige aanmelding op basis van een wachtwoord maakt beveiligde opslag van toepassingswachtwoorden en afspelen mogelijk met behulp van een webbrowserextensie of mobiele app. Deze optie maakt gebruik van het bestaande aanmeldingsproces dat door de toepassing wordt geleverd, stelt een beheerder in staat om de wachtwoorden te beheren en vereist niet dat de gebruiker het wachtwoord kent. Zie Eenmalige aanmelding op basis van een wachtwoord toevoegen aan een toepassing voor meer informatie.
Gekoppelde - gekoppelde aanmelding kan een consistente gebruikerservaring bieden terwijl u toepassingen gedurende een bepaalde periode migreert. Als u toepassingen migreert naar Microsoft Entra ID, kunt u eenmalige aanmelding op basis van gekoppelde apps gebruiken om snel koppelingen te publiceren naar alle toepassingen die u wilt migreren. Gebruikers kunnen alle koppelingen vinden in de Mijn apps- of Microsoft 365-portals.
Nadat een gebruiker is geverifieerd met een gekoppelde toepassing, moet er een account worden gemaakt voordat de gebruiker eenmalige aanmeldingstoegang krijgt. Het inrichten van dit account kan automatisch plaatsvinden of kan handmatig worden uitgevoerd door een beheerder. U kunt geen beleid voor voorwaardelijke toegang of meervoudige verificatie toepassen op een gekoppelde toepassing, omdat een gekoppelde toepassing geen mogelijkheden voor eenmalige aanmelding biedt via Microsoft Entra-id. Wanneer u een gekoppelde toepassing configureert, voegt u gewoon een koppeling toe die wordt weergegeven voor het starten van de toepassing. Zie Gekoppelde eenmalige aanmelding toevoegen aan een toepassing voor meer informatie.
Uitgeschakeld : wanneer eenmalige aanmelding is uitgeschakeld, is deze niet beschikbaar voor de toepassing. Wanneer eenmalige aanmelding is uitgeschakeld, moeten gebruikers mogelijk twee keer worden geverifieerd. Eerst verifiëren gebruikers zich bij Microsoft Entra-id en vervolgens melden ze zich aan bij de toepassing.
Eenmalige aanmelding uitschakelen wanneer:
U bent niet klaar om deze toepassing te integreren met eenmalige aanmelding van Microsoft Entra
U test andere aspecten van de toepassing
Voor een on-premises toepassing hoeven gebruikers zich niet te verifiëren, maar u wilt dat ze dat doen. Als eenmalige aanmelding is uitgeschakeld, moet de gebruiker zich verifiëren.
Als u de toepassing hebt geconfigureerd voor door SP geïnitieerde eenmalige aanmelding op basis van SAML en u de modus voor eenmalige aanmelding wijzigt in uitgeschakeld, wordt gebruikers niet gestopt om zich buiten de MyApps-portal aan te melden bij de toepassing. Als u wilt voorkomen dat gebruikers zich buiten de portal van Mijn apps aanmelden, moet u de mogelijkheid uitschakelen voor gebruikers om zich aan te melden.
SSO-implementatie plannen
Webtoepassingen worden gehost door verschillende bedrijven en beschikbaar gesteld als een service. Enkele populaire voorbeelden van webtoepassingen zijn Microsoft 365, GitHub en Salesforce. Er zijn duizenden anderen. Personen hebben toegang tot webtoepassingen met behulp van een webbrowser op hun computer. Met eenmalige aanmelding kunnen mensen tussen de verschillende webtoepassingen navigeren zonder zich meerdere keren aan te melden. Zie Een implementatie van eenmalige aanmelding plannen voor meer informatie.
Hoe u eenmalige aanmelding implementeert, is afhankelijk van waar de toepassing wordt gehost. Hosting is van belang vanwege de manier waarop netwerkverkeer wordt gerouteerd om toegang te krijgen tot de toepassing. Gebruikers hoeven internet niet te gebruiken om toegang te krijgen tot on-premises toepassingen (gehost op een lokaal netwerk). Als de toepassing wordt gehost in de cloud, hebben gebruikers internet nodig om deze te gebruiken. In de cloud gehoste toepassingen worden ook wel SaaS-toepassingen (Software as a Service) genoemd.
Voor cloudtoepassingen worden federatieprotocollen gebruikt. U kunt ook eenmalige aanmelding gebruiken voor on-premises toepassingen. U kunt toepassingsproxy gebruiken om de toegang voor uw on-premises toepassing te configureren. Zie Externe toegang tot on-premises toepassingen via de Microsoft Entra-toepassingsproxy voor meer informatie.
Mijn apps
Als u een gebruiker van een toepassing bent, maakt u waarschijnlijk niet veel uit van SSO-gegevens. U wilt alleen de toepassingen gebruiken die u productief maken zonder uw wachtwoord zoveel te hoeven typen. U kunt uw toepassingen vinden en beheren via de Mijn apps-portal. Zie Aanmelden en apps starten vanuit de Mijn apps-portal voor meer informatie.