Planowanie wdrożenia logowania jednokrotnego

Ten artykuł zawiera informacje, których można użyć do planowania wdrożenia logowania jednokrotnego w usłudze Azure Active Directory (Azure AD). Podczas planowania wdrożenia logowania jednokrotnego przy użyciu aplikacji w usłudze Azure AD należy wziąć pod uwagę następujące pytania:

  • Jakie role administracyjne są wymagane do zarządzania aplikacją?
  • Czy certyfikat musi zostać odnowiony?
  • Kto musi zostać powiadomiony o zmianach związanych z implementacją logowania jednokrotnego?
  • Jakie licencje są potrzebne do zapewnienia skutecznego zarządzania aplikacją?
  • Czy konta użytkowników udostępnionych są używane do uzyskiwania dostępu do aplikacji?
  • Czy rozumiem opcje wdrażania logowania jednokrotnego?

Role administracyjne

Zawsze używaj roli z najmniejszymi dostępnymi uprawnieniami, aby wykonać wymagane zadanie w usłudze Azure AD. Przejrzyj różne dostępne role i wybierz odpowiednie role, aby rozwiązać twoje potrzeby dla każdej osoby dla aplikacji. Niektóre role mogą być stosowane tymczasowo i usuwane po zakończeniu wdrażania.

Persona Role Rola usługi Azure AD (w razie potrzeby)
Administrator działu pomocy technicznej Obsługa warstwy 1 Brak
Administrator tożsamości Konfigurowanie i debugowanie w przypadku problemów związanych z usługą Azure AD Administrator globalny
Administrator aplikacji Zaświadczenie użytkownika w aplikacji, konfiguracja użytkowników z uprawnieniami Brak
Administratorzy infrastruktury Właściciel przerzucania certyfikatów Administrator globalny
Właściciel firmy/uczestnik projektu Zaświadczenie użytkownika w aplikacji, konfiguracja użytkowników z uprawnieniami Brak

Aby dowiedzieć się więcej na temat ról administracyjnych w usłudze Azure AD, patrz Role wbudowane usługi Azure AD.

Certyfikaty

Po włączeniu federacyjnego logowania jednokrotnego dla aplikacji usługa Azure AD tworzy certyfikat, który jest domyślnie ważny przez trzy lata. W razie potrzeby możesz dostosować datę wygaśnięcia tego certyfikatu. Przed wygaśnięciem upewnij się, że istnieją procesy odnawiania certyfikatów.

Ten czas trwania certyfikatu zostanie zmieniony w witrynie Azure Portal. Pamiętaj, aby udokumentować wygaśnięcie i wiedzieć, jak zarządzać odnawianiem certyfikatu. Ważne jest, aby zidentyfikować odpowiednie role i listy dystrybucyjne poczty e-mail związane z zarządzaniem cyklem życia certyfikatu podpisywania. Zalecane są następujące role:

  • Właściciel aktualizowania właściwości użytkownika w aplikacji
  • Pomoc techniczna dotycząca rozwiązywania problemów z obsługą rozwiązywania problemów z aplikacją właścicieli
  • Ściśle monitorowana lista dystrybucyjna wiadomości e-mail dla powiadomień o zmianach związanych z certyfikatami

Skonfiguruj proces obsługi zmiany certyfikatu między usługą Azure AD a aplikacją. Dzięki temu procesowi można zapobiec awarii lub zminimalizować jej awarię z powodu wygaśnięcia certyfikatu lub wymuszonego przerzucania certyfikatu. Aby uzyskać więcej informacji, zobacz Zarządzanie certyfikatami na potrzeby federacyjnego logowania jednokrotnego w usłudze Azure Active Directory.

Komunikacja

Komunikacja ma kluczowe znaczenie dla sukcesu każdej nowej usługi. Proaktywnie komunikują się z użytkownikami o tym, jak zmieni się ich środowisko. Przekaż, kiedy zmieni się i jak uzyskać pomoc techniczną, jeśli wystąpią problemy. Przejrzyj opcje uzyskiwania dostępu do aplikacji z obsługą logowania jednokrotnego i utwórz komunikację zgodnie z wyborem.

Zaimplementuj plan komunikacji. Upewnij się, że użytkownicy wiedzą, że nastąpiła zmiana, kiedy została ona nadeszła i co teraz zrobić. Upewnij się również, że podajesz informacje o tym, jak szukać pomocy.

Licencjonowanie

Upewnij się, że aplikacja jest objęta następującymi wymaganiami dotyczącymi licencjonowania:

  • Licencjonowanie usługi Azure AD — logowanie jednokrotne dla wstępnie zintegrowanych aplikacji dla przedsiębiorstw jest bezpłatne. Jednak liczba obiektów w katalogu i funkcji, które chcesz wdrożyć, może wymagać większej liczby licencji. Aby uzyskać pełną listę wymagań licencyjnych, zobacz Cennik usługi Azure Active Directory.

  • Licencjonowanie aplikacji — potrzebne są odpowiednie licencje dla aplikacji, aby spełniały twoje potrzeby biznesowe. Skontaktuj się z właścicielem aplikacji, aby określić, czy użytkownicy przypisani do aplikacji mają odpowiednie licencje dla swoich ról w aplikacji. Jeśli usługa Azure AD zarządza automatyczną aprowizowaniem na podstawie ról, role przypisane w usłudze Azure AD muszą być zgodne z liczbą licencji należących do aplikacji. Niewłaściwa liczba licencji należących do aplikacji może prowadzić do błędów podczas aprowizacji lub aktualizowania konta użytkownika.

Konta udostępnione

Z perspektywy logowania aplikacje z kontami udostępnionymi nie różnią się od aplikacji dla przedsiębiorstw korzystających z logowania jednokrotnego haseł dla poszczególnych użytkowników. Jednak podczas planowania i konfigurowania aplikacji przeznaczonej do korzystania z kont udostępnionych jest wymagane więcej kroków.

  • Skontaktuj się z użytkownikami, aby udokumentować następujące informacje:
    • Zestaw użytkowników w organizacji, którzy będą używać aplikacji.
    • Istniejący zestaw poświadczeń w aplikacji skojarzony z zestawem użytkowników.
  • Dla każdej kombinacji zestawu użytkowników i poświadczeń utwórz grupę zabezpieczeń w chmurze lub lokalnie na podstawie wymagań.
  • Zresetuj poświadczenia udostępnione. Po wdrożeniu aplikacji w usłudze Azure AD użytkownicy indywidualni nie potrzebują hasła konta udostępnionego. Usługa Azure AD przechowuje hasło i należy rozważyć ustawienie go tak, aby było długie i złożone.
  • Skonfiguruj automatyczne przerzucanie hasła, jeśli aplikacja ją obsługuje. W ten sposób nawet administrator, który wykonał początkową konfigurację, zna hasło konta udostępnionego.

Opcje logowania jednokrotnego

Istnieje kilka sposobów umożliwiających skonfigurowanie aplikacji na potrzeby logowania jednokrotnego. Wybór metody logowania jednokrotnego zależy od sposobu skonfigurowania aplikacji pod kątem uwierzytelniania.

  • W aplikacjach w chmurze do logowania jednokrotnego mogą być wykorzystywane metody OpenID Connect, OAuth, SAML, a także metody z użyciem hasła lub linków. Funkcję logowania jednokrotnego można również wyłączyć.
  • W aplikacjach lokalnych można korzystać z logowania jednokrotnego opartego na haśle, usługi Integrated Windows Authentication, logowania z użyciem nagłówka lub linków. Opcje lokalne działają, gdy aplikacje są skonfigurowane pod kątem serwera proxy aplikacji.

Ten schemat blokowy może pomóc w podjęciu decyzji, która metoda logowania jednokrotnego jest najlepsza w Twojej sytuacji.

Decision flowchart for single sign-on method

Dostępne są następujące protokoły logowania jednokrotnego:

  • OpenID Connect i OAuth — wybierz pozycję OpenID Connect i OAuth 2.0, jeśli aplikacja, z którą nawiązujesz połączenie, obsługuje ją. Aby uzyskać więcej informacji, zobacz Protokoły OAuth 2.0 i OpenID Connect na platformie tożsamości firmy Microsoft. Aby uzyskać instrukcje implementowania logowania jednokrotnego programu OpenID Connect, zobacz Konfigurowanie logowania jednokrotnego opartego na protokole OIDC dla aplikacji w usłudze Azure Active Directory.

  • SAML — wybierz język SAML zawsze, gdy jest to możliwe dla istniejących aplikacji, które nie korzystają z programu OpenID Connect lub OAuth. Aby uzyskać więcej informacji, zobacz Single Sign-On SAML protocol (Pojedynczy protokół SAML).

  • Oparte na hasłach — wybierz hasło, gdy aplikacja ma stronę logowania HTML. Logowanie jednokrotne oparte na hasłach jest również nazywane magazynem haseł. Logowanie jednokrotne oparte na hasłach umożliwia zarządzanie dostępem użytkowników i hasłami do aplikacji internetowych, które nie obsługują federacji tożsamości. Jest to również przydatne, gdy kilku użytkowników musi współużytkować jedno konto, na przykład na kontach aplikacji społecznościowych organizacji.

    Logowanie jednokrotne oparte na hasłach obsługuje aplikacje, które wymagają wielu pól logowania dla aplikacji, które wymagają więcej niż tylko pól nazwy użytkownika i hasła do logowania. Możesz dostosować etykiety pól nazwy użytkownika i hasła, które użytkownicy widzą w obszarze Moje aplikacje po wprowadzeniu poświadczeń. Aby uzyskać instrukcje implementowania logowania jednokrotnego opartego na hasłach, zobacz Logowanie jednokrotne oparte na hasłach.

  • Połączone — wybierz link, gdy aplikacja jest skonfigurowana do logowania jednokrotnego w innej usłudze dostawcy tożsamości. Opcja połączenia umożliwia skonfigurowanie miejsca docelowego, gdy użytkownik wybierze aplikację w portalach organizacji. Można dodać połączenie do niestandardowej aplikacji internetowej, która obecnie korzysta z federacji, na przykład z usług Active Directory Federation Services (AD FS).

    Można również dodać połączenia do określonych stron internetowych, które mają być wyświetlane na panelach dostępu użytkowników, oraz do aplikacji, która nie wymaga uwierzytelniania. Opcja Połączone nie zapewnia funkcji logowania za pomocą poświadczeń usługi Azure AD. Aby uzyskać instrukcje implementowania połączonego logowania jednokrotnego, zobacz Połączone logowanie jednokrotne.

  • Wyłączone — wybierz opcję wyłączone logowanie jednokrotne, gdy aplikacja nie jest gotowa do skonfigurowania na potrzeby logowania jednokrotnego.

  • Zintegrowane uwierzytelnianie systemu Windows (IWA) — wybierz logowanie jednokrotne IWA dla aplikacji korzystających z IWA lub aplikacji obsługujących oświadczenia. Aby uzyskać więcej informacji, zobacz Ograniczone delegowanie protokołu Kerberos na potrzeby logowania jednokrotnego do aplikacji przy użyciu serwera proxy aplikacji.

  • Oparte na nagłówku — wybierz logowanie jednokrotne oparte na nagłówku, gdy aplikacja używa nagłówków do uwierzytelniania. Aby uzyskać więcej informacji, zobacz Logowanie jednokrotne oparte na nagłówku.

Następne kroki