Share via


Wat is eenmalige aanmelding in Microsoft Entra ID?

Dit artikel bevat informatie over de opties voor eenmalige aanmelding (SSO) die voor u beschikbaar zijn. Het bevat ook een inleiding tot het plannen van een implementatie van eenmalige aanmelding bij het gebruik van Microsoft Entra-id. Eenmalige aanmelding is een verificatiemethode waarmee gebruikers zich met één set referenties kunnen aanmelden bij meerdere onafhankelijke softwaresystemen. Eenmalige aanmelding betekent dat een gebruiker zich niet hoeft aan te melden bij elke toepassing die hij/zij gebruikt. Met eenmalige aanmelding hebben gebruikers toegang tot alle benodigde toepassingen zonder dat ze met andere referenties hoeven te verifiëren. Zie Microsoft Entra-eenmalige aanmelding voor een korte inleiding.

Veel toepassingen bestaan al in Microsoft Entra-id die u met eenmalige aanmelding kunt gebruiken. U hebt verschillende opties voor eenmalige aanmelding, afhankelijk van de behoeften van de toepassing en hoe deze wordt geïmplementeerd. Neem de tijd om uw SSO-implementatie te plannen voordat u toepassingen in Microsoft Entra-id maakt. Het beheer van toepassingen kan eenvoudiger worden gemaakt met behulp van de Mijn apps-portal.

Opties voor eenmalige aanmelding

Het kiezen van een methode voor eenmalige aanmelding is afhankelijk van de wijze waarop de toepassing is geconfigureerd voor verificatie. Cloudtoepassingen kunnen federatieve opties gebruiken, zoals OpenID Connect en SAML. De toepassing kan ook gebruikmaken van de eenmalige aanmelding op basis van wachtwoorden, op basis van een koppeling of de eenmalige aanmelding kan zijn uitgeschakeld.

  • Federatie: wanneer u de eenmalige aanmelding instelt voor gebruik met meerdere id-providers, wordt dit federatie genoemd. Een implementatie van de eenmalige aanmelding op basis van federatieprotocollen verbetert de beveiliging, betrouwbaarheid, gebruikerservaringen en implementatie.

    Met federatieve eenmalige aanmelding verifieert Microsoft Entra de gebruiker bij de toepassing met behulp van hun Microsoft Entra-account. Deze methode wordt ondersteund voor SAML 2.0-, WS-Federation- of OpenID Connect toepassingen. De federatieve eenmalige aanmelding is de rijkste modus van de eenmalige aanmelding. Gebruik federatieve eenmalige aanmelding met Microsoft Entra-id wanneer een toepassing deze ondersteunt, in plaats van eenmalige aanmelding op basis van wachtwoorden en Active Directory Federation Services (AD FS).

    Er zijn enkele scenario's waarin de optie voor eenmalige aanmelding niet aanwezig is voor een bedrijfstoepassing. Als de toepassing is geregistreerd met behulp van App-registraties in de portal, is de mogelijkheid voor eenmalige aanmelding geconfigureerd voor het gebruik van OpenID Connect. In dit geval wordt de optie voor eenmalige aanmelding niet weergegeven in de navigatie onder bedrijfstoepassingen. OpenID Connect is een verificatieprotocol dat is gebouwd boven op OAuth 2.0, een autorisatieprotocol. OpenID Connect maakt gebruik van OAuth 2.0 om het autorisatiegedeelte van het proces af te handelen. Wanneer een gebruiker zich probeert aan te melden, verifieert OpenID Connect de identiteit op basis van de verificatie die door een autorisatieserver wordt uitgevoerd. Zodra de gebruiker is geverifieerd, wordt OAuth 2.0 gebruikt om de toepassing toegang te verlenen tot de resources van de gebruiker zonder hun referenties weer te geven.

    Eenmalige aanmelding is niet beschikbaar wanneer een toepassing wordt gehost in een andere tenant. Eenmalige aanmelding is ook niet beschikbaar als uw account niet over de vereiste machtigingen beschikt (cloudtoepassingsbeheerder, toepassingsbeheerder of eigenaar van de service-principal). Machtigingen kunnen ook een scenario veroorzaken waarbij u eenmalige aanmelding kunt openen, maar mogelijk niet kunt opslaan.

  • Wachtwoord: on-premises toepassingen kunnen een methode op basis van een wachtwoord gebruiken voor eenmalige aanmelding. Deze keuze werkt wanneer toepassingen zijn geconfigureerd voor toepassingsproxy.

    Bij eenmalige aanmelding op basis van een wachtwoord melden gebruikers zich aan bij de toepassing met een gebruikersnaam en wachtwoord wanneer ze deze voor de eerste keer gaan gebruiken. Na de eerste aanmelding levert Microsoft Entra ID de gebruikersnaam en het wachtwoord voor de toepassing. Bij eenmalige aanmelding op basis van een wachtwoord is beveiligde toepassingswachtwoordopslag en -herhaling mogelijk door middel van een webbrowserextensie of mobiele app. Deze optie maakt gebruik van het bestaande aanmeldingsproces dat door de toepassing wordt geleverd, stelt een beheerder in staat om de wachtwoorden te beheren en vereist niet dat de gebruiker het wachtwoord kent. Raadpleeg Eenmalige aanmelding op basis van een wachtwoord toevoegen aan een toepassing voor meer informatie.

  • Gekoppeld - Een gekoppelde aanmelding kan een consistente gebruikerstoepassing bieden tijdens het migreren van toepassingen gedurende een bepaalde periode. Als u toepassingen migreert naar Microsoft Entra ID, kunt u eenmalige aanmelding op basis van gekoppelde apps gebruiken om snel koppelingen te publiceren naar alle toepassingen die u wilt migreren. Gebruikers kunnen alle koppelingen vinden in Mijn apps of Microsoft 365 portals.

    Zodra een gebruiker is geverifieerd met een gekoppelde toepassing, moet er een account worden gemaakt voordat de eindgebruiker toegang wordt verleend via de eenmalige aanmelding. Het inrichten van dit account kan automatisch plaatsvinden of kan handmatig door een beheerder worden uitgevoerd. U kunt geen beleid voor voorwaardelijke toegang of meervoudige verificatie toepassen op een gekoppelde toepassing, omdat een gekoppelde toepassing geen mogelijkheden voor eenmalige aanmelding biedt via Microsoft Entra-id. Wanneer u een gekoppelde toepassing configureert, voegt u gewoon een koppeling toe die wordt weergegeven voor het starten van de toepassing. Raadpleeg Gekoppelde eenmalige aanmelding toevoegen aan een toepassing voor meer informatie.

  • Uitgeschakeld: wanneer de eenmalige aanmelding is uitgeschakeld, is deze niet beschikbaar voor de toepassing. Wanneer eenmalige aanmelding is uitgeschakeld, moeten gebruikers mogelijk twee keer worden geverifieerd. Eerst verifiëren gebruikers zich bij Microsoft Entra-id en vervolgens melden ze zich aan bij de toepassing.

    De eenmalige aanmelding uitschakelen wanneer:

    • U bent niet klaar om deze toepassing te integreren met eenmalige aanmelding van Microsoft Entra

    • u andere aspecten van de toepassing test

    • Voor een on-premises toepassing hoeven gebruikers zich niet te verifiëren, maar u wilt dat ze dat doen. In de modus Uitgeschakeld moet de gebruiker zich verifiëren.

      Als u de toepassing hebt geconfigureerd voor door SP geïnitieerde eenmalige aanmelding op basis van SAML en u de modus voor eenmalige aanmelding wijzigt in uitgeschakeld, wordt gebruikers niet gestopt om zich buiten de MyApps-portal aan te melden bij de toepassing. Als u wilt voorkomen dat gebruikers zich buiten de portal van Mijn apps aanmelden, moet u de mogelijkheid uitschakelen voor gebruikers om zich aan te melden.

De implementatie van de eenmalige aanmelding plannen

Web-apps worden door verschillende bedrijven gehost en beschikbaar gesteld als een service. Enkele populaire voorbeelden van web-apps zijn Microsoft 365, GitHub en Salesforce. Er zijn er nog duizenden anderen. Gebruikers hebben toegang tot web-apps via een webbrowser op hun computer. Met de eenmalige aanmelding kunnen gebruikers navigeren tussen de verschillende web-apps zonder dat ze zich meerdere keren hoeven aan te melden. Raadpleeg Een implementatie van de eenmalige aanmelding plannen voor meer informatie.

Hoe u de eenmalige aanmelding implementeert, is afhankelijk van de locatie waar de app wordt gehost. Het hosten is van belang vanwege de manier waarop het netwerkverkeer wordt doorgestuurd om toegang te krijgen tot de app. Gebruikers hoeven het internet niet te gebruiken om toegang te krijgen tot on-premises toepassingen (gehost op een lokaal netwerk). Als de toepassing wordt gehost in de cloud, hebben gebruikers het internet nodig om deze te gebruiken. In de cloud gehoste apps worden ook wel SaaS-apps (Software as a Service) genoemd.

Voor cloudtoepassingen worden federatieprotocollen gebruikt. U kunt de eenmalige aanmelding ook gebruiken voor on-premises apps. U kunt de toepassingsproxy gebruiken om de toegang tot uw on-premises toepassing te configureren. Zie Externe toegang tot on-premises toepassingen via de Microsoft Entra-toepassingsproxy voor meer informatie.

Mijn apps

Als u een gebruiker bent van een toepassing geeft u waarschijnlijk niet veel om SSO-gegevens. U wilt alleen de apps gebruiken die uw productiviteit verbeteren zonder uw wachtwoord al te vaak te moeten invoeren. U kunt uw toepassingen vinden en beheren via de Mijn apps-portal. Zie Aanmelden bij en het starten van apps vanuit de Mijn apps-portal voor meer informatie.

Volgende stappen