Een implementatie van eenmalige aanmelding plannen

Dit artikel bevat informatie die u kunt gebruiken om uw implementatie van eenmalige aanmelding (SSO) te plannen in Azure Active Directory (Azure AD). Wanneer u uw SSO-implementatie plant met uw toepassingen in Azure AD, moet u rekening houden met deze vragen:

  • Wat zijn de beheerdersrollen die nodig zijn voor het beheren van de toepassing?
  • Moet het certificaat worden vernieuwd?
  • Wie moet worden geïnformeerd over wijzigingen met betrekking tot de implementatie van eenmalige aanmelding?
  • Welke licenties zijn nodig om effectief beheer van de toepassing te garanderen?
  • Worden gedeelde gebruikersaccounts gebruikt voor toegang tot de toepassing?
  • Begrijp ik de opties voor implementatie van eenmalige aanmelding?

Beheerdersrollen

Gebruik altijd de rol met de minste beschikbare machtigingen om de vereiste taak binnen Azure AD uit te voeren. Bekijk de verschillende rollen die beschikbaar zijn en kies de juiste rol om uw behoeften voor elke persona voor de toepassing op te lossen. Sommige rollen moeten mogelijk tijdelijk worden toegepast en verwijderd nadat de implementatie is voltooid.

Persona Rollen Azure AD-rol (indien nodig)
Helpdeskbeheerder Ondersteuning voor laag 1 Geen
Identiteitsbeheerder Configureren en fouten opsporen wanneer problemen betrekking hebben op Azure AD Globale beheerder
Toepassingsbeheerder Gebruikers-attestation in toepassing, configuratie voor gebruikers met machtigingen Geen
Infrastructuurbeheerders Eigenaar van certificaatrollover Globale beheerder
Bedrijfseigenaar/belanghebbende Gebruikers-attestation in toepassing, configuratie voor gebruikers met machtigingen Geen

Raadpleeg Ingebouwde Azure AD-rollen voor meer informatie over Azure AD-beheerdersrollen.

Certificaten

Wanneer u federatieve eenmalige aanmelding inschakelt voor uw toepassing, maakt Azure AD een certificaat dat standaard drie jaar geldig is. U kunt indien nodig de vervaldatum voor dat certificaat aanpassen. Zorg ervoor dat u processen hebt om certificaten te vernieuwen voordat ze verlopen.

U wijzigt de duur van het certificaat in Azure Portal. Zorg ervoor dat u de vervaldatum documenteert en weet hoe u de verlenging van uw certificaat beheert. Het is belangrijk om de juiste rollen en e-maildistributielijsten te identificeren die betrokken zijn bij het beheren van de levenscyclus van het handtekeningcertificaat. De volgende rollen worden aanbevolen:

  • Eigenaar voor het bijwerken van gebruikerseigenschappen in de toepassing
  • Ondersteuning voor het oplossen van problemen met de eigenaar bij het aanroepen van toepassingen
  • Nauwkeurig bewaakte e-maildistributielijst voor wijzigingsmeldingen met betrekking tot certificaten

Stel een proces in voor het afhandelen van een certificaatwijziging tussen Azure AD en uw toepassing. Door dit proces op te zetten, kunt u helpen een storing te voorkomen of minimaliseren vanwege een verlopend certificaat of een geforceerde rollover van certificaten. Zie Certificaten voor federatieve eenmalige aanmelding beheren in Azure Active Directory voor meer informatie.

Communicatie

Communicatie is essentieel voor het succes van elke nieuwe service. Communiceer proactief met uw gebruikers over hoe hun ervaring verandert. Communiceer wanneer het verandert en hoe ze ondersteuning kunnen krijgen als ze problemen ondervinden. Bekijk de opties voor hoe gebruikers toegang krijgen tot hun toepassingen met eenmalige aanmelding en stel uw communicatie zo op dat deze overeenkomt met uw selectie.

Uw communicatieplan implementeren. Zorg ervoor dat u uw gebruikers laat weten dat er een wijziging komt, wanneer deze ingaat en wat ze nu moeten doen. Zorg er ook voor dat u informatie opgeeft over het zoeken naar hulp.

Licentieverlening

Zorg ervoor dat de toepassing wordt gedekt door de volgende licentievereisten:

  • Azure AD-licenties: eenmalige aanmelding voor vooraf geïntegreerde bedrijfstoepassingen is gratis. Het aantal objecten in uw directory en de functies die u wilt implementeren, hebben echter mogelijk meer licenties nodig. Zie Prijzen voor Azure Active Directory voor een volledige lijst met licentievereisten.

  • Toepassingslicenties: u hebt de juiste licenties nodig voor uw toepassingen om te voldoen aan de behoeften van uw bedrijf. Werk samen met de eigenaar van de toepassing om te bepalen of de gebruikers die zijn toegewezen aan de toepassing de juiste licenties hebben voor hun rollen in de toepassing. Als Azure AD de automatische inrichting beheert op basis van rollen, moeten de rollen die in Azure AD zijn toegewezen, worden afgestemd op het aantal licenties dat eigendom is van de toepassing. Een onjuist aantal licenties in de toepassing kan leiden tot fouten tijdens het inrichten of bijwerken van een gebruikersaccount.

Gedeelde accounts

Vanuit het oogpunt van aanmelden verschillen toepassingen met gedeelde accounts niet van bedrijfstoepassingen die gebruikmaken van eenmalige aanmelding met een wachtwoord voor afzonderlijke gebruikers. Er zijn echter meer stappen vereist bij het plannen en configureren van een toepassing die is bedoeld voor het gebruik van gedeelde accounts.

  • Werk samen met gebruikers om de volgende informatie te documenteren:
    • De set gebruikers in de organisatie die de toepassing gaan gebruiken.
    • De bestaande set referenties in de toepassing die is gekoppeld aan de set gebruikers.
  • Maak voor elke combinatie van gebruikersset en referenties een beveiligingsgroep in de cloud of on-premises op basis van uw vereisten.
  • De gedeelde referenties opnieuw instellen. Nadat de toepassing is geïmplementeerd in Azure AD, hebben personen het wachtwoord van het gedeelde account niet nodig. Azure AD slaat het wachtwoord op en u wordt aangeraden het zo in te stellen dat het lang en complex moet zijn.
  • Configureer automatische rollover van het wachtwoord als de toepassing dit ondersteunt. Op die manier weet zelfs de beheerder die de eerste installatie heeft uitgevoerd, het wachtwoord van het gedeelde account niet.

Opties voor eenmalige aanmelding

Er zijn verschillende manieren om een toepassing te configureren voor SSO. Het kiezen van een methode voor eenmalige aanmelding is afhankelijk van de wijze waarop de toepassing is geconfigureerd voor verificatie.

  • Cloudtoepassingen kunnen gebruikmaken van OpenID Connect, OAuth, SAML, wachtwoorden gekoppeld voor eenmalige aanmelding. Eenmalige aanmelding kan ook worden uitgeschakeld.
  • On-premises toepassingen kunnen gebruikmaken van een wachtwoord, Geïntegreerde Windows-verificatie, headers, gekoppeld voor eenmalige aanmelding. De on-premises-opties kunnen worden toegepast wanneer toepassingen zijn geconfigureerd voor Toepassingsproxy.

Met dit stroomdiagram kunt u bepalen welke SSO-methode het beste bij uw situatie past.

Beslissingsstroomdiagram voor de methode voor eenmalige aanmelding

De volgende SSO-protocollen zijn beschikbaar voor gebruik:

  • OpenID Connect en OAuth: Kies OpenID Connect en OAuth 2.0 als de toepassing waarmee u verbinding maakt ondersteuning biedt. Zie OAuth 2.0- en OpenID Connect-protocols on het Microsoft-identiteitsplatform voor meer informatie. Zie Eenmalige aanmelding op basis van OIDC instellen voor een toepassing in Azure Active Directory voor stappen voor het implementeren van eenmalige aanmelding op basis van OpenID Connect.

  • SAML: Kies indien mogelijk SAML voor bestaande toepassingen die niet gebruikmaken van OpenID Connect of OAuth. Zie SAML-protocol voor eenmalige aanmelding voor meer informatie.

  • Op basis van een wachtwoord: Kies op basis van wachtwoord wanneer de toepassing een HTML-aanmeldingspagina heeft. Eenmalige aanmelding op basis van een wachtwoord wordt ook wel wachtwoordkluis genoemd. Met eenmalige aanmelding op basis van een wachtwoord kunt u gebruikerstoegang en wachtwoorden beheren voor webtoepassingen die geen ondersteuning bieden voor identiteitsfederatie. Het is ook handig wanneer meerdere gebruikers één account moeten delen, zoals de sociale media-app-accounts van uw organisatie.

    Eenmalige aanmelding op basis van een wachtwoord ondersteunt toepassingen waarvoor meerdere aanmeldingsvelden zijn vereist voor toepassingen waarvoor meer dan alleen gebruikersnaam- en wachtwoordvelden nodig zijn voor aanmelding. U kunt de labels van de gebruikersnaam- en wachtwoordvelden aanpassen die uw gebruikers zien in Mijn apps wanneer ze hun referenties invoeren. Zie Eenmalige aanmelding op basis van een wachtwoord voor stappen voor het implementeren van eenmalige aanmelding op basis van een wachtwoord.

  • Gekoppeld: Kies gekoppeld wanneer de toepassing is geconfigureerd voor eenmalige aanmelding in een andere id-providerservice. Met de optie gekoppeld kunt u de doellocatie configureren wanneer een gebruiker de app selecteert in de portals van uw organisatie. U kunt een koppeling toevoegen aan een aangepaste webtoepassing die momenteel gebruikmaakt van federatie, zoals Active Directory Federation Services (AD FS).

    U kunt ook koppelingen toevoegen aan specifieke webpagina's die u wilt weergegeven op de toegangspanelen van uw gebruiker en aan een app waarvoor geen verificatie is vereist. De optie Gekoppeld biedt geen aanmeldingsfunctionaliteit via Azure AD-referenties. Zie Gekoppelde eenmalige aanmelding voor stappen voor het implementeren van gekoppelde eenmalige aanmelding.

  • Uitgeschakeld: Kies uitgeschakelde eenmalige aanmelding wanneer de toepassing niet gereed is om te worden geconfigureerd voor eenmalige aanmelding.

  • Geïntegreerde Windows-verificatie (IWA): Kies eenmalige aanmelding via IWA voor toepassingen die gebruikmaken van IWA of voor claimbewuste toepassingen. Zie Beperkte Kerberos-delegering voor eenmalige aanmelding bij uw toepassingen met Toepassingsproxy voor meer informatie.

  • Op basis van header: Gebruik eenmalige aanmelding op basis van headers wanneer de toepassing headers gebruikt voor verificatie. Zie Eenmalige aanmelding op basis van headers voor meer informatie.

Volgende stappen