Co to jest logowanie jednokrotne w usłudze Azure Active Directory?

Ten artykuł zawiera informacje na temat dostępnych opcji logowania jednokrotnego (SSO) oraz wprowadzenie do planowania wdrożenia logowania jednokrotnego podczas korzystania z usługi Azure Active Directory (Azure AD). Logowanie jednokrotne to metoda uwierzytelniania, która umożliwia użytkownikom logowanie się przy użyciu jednego zestawu poświadczeń w wielu niezależnych systemach oprogramowania. Korzystanie z logowania jednokrotnego oznacza, że użytkownik nie musi logować się do każdej aplikacji, z której korzysta. Dzięki funkcji logowania jednokrotnego użytkownicy mogą uzyskać dostęp do wszystkich potrzebnych aplikacji bez konieczności uwierzytelniania przy użyciu różnych poświadczeń. Aby zapoznać się z krótkim wprowadzeniem, zobacz Logowanie jednokrotne usługi Azure Active Directory.

Wiele aplikacji już istnieje w usłudze Azure AD, których można używać z logowaniem jednokrotnym. Istnieje kilka opcji logowania jednokrotnego w zależności od potrzeb aplikacji i sposobu jej implementacji. Zaplanuj wdrożenie logowania jednokrotnego przed utworzeniem aplikacji w usłudze Azure AD. Zarządzanie aplikacjami można ułatwić za pomocą portalu Moje aplikacje.

Opcje logowania jednokrotnego

Wybór metody logowania jednokrotnego zależy od sposobu skonfigurowania aplikacji pod kątem uwierzytelniania. Aplikacje w chmurze mogą używać opcji opartych na federacji, takich jak OpenID Connect, OAuth i SAML. Aplikacja może również używać logowania jednokrotnego opartego na hasłach, połączonego logowania jednokrotnego lub logowania jednokrotnego.

  • Federacja — podczas konfigurowania logowania jednokrotnego do pracy między wieloma dostawcami tożsamości jest to nazywane federacją. Implementacja logowania jednokrotnego oparta na protokołach federacyjnych zwiększa bezpieczeństwo, niezawodność, środowiska użytkownika końcowego i implementację.

    W przypadku logowania jednokrotnego federacyjnego usługa Azure AD uwierzytelnia użytkownika w aplikacji przy użyciu konta usługi Azure AD. Ta metoda jest obsługiwana w przypadku aplikacji SAML 2.0, WS-Federation lub OpenID Connect . Federacyjne logowanie jednokrotne to najbogatszy tryb logowania jednokrotnego. Użyj federacyjnego logowania jednokrotnego z usługą Azure AD, gdy aplikacja ją obsługuje, zamiast logowania jednokrotnego opartego na hasłach i usług Active Directory Federation Services (AD FS).

    Istnieją pewne scenariusze, w których opcja logowania jednokrotnego nie jest obecna dla aplikacji dla przedsiębiorstw. Jeśli aplikacja została zarejestrowana przy użyciu rejestracji aplikacji w portalu, domyślnie skonfigurowano możliwość logowania jednokrotnego do używania protokołu OpenID Connect i OAuth. W takim przypadku opcja logowania jednokrotnego nie będzie wyświetlana w obszarze nawigacji w aplikacjach dla przedsiębiorstw.

    Logowanie jednokrotne nie jest dostępne, gdy aplikacja jest hostowana w innej dzierżawie. Logowanie jednokrotne nie jest również dostępne, jeśli Twoje konto nie ma wymaganych uprawnień (administrator globalny, administrator aplikacji w chmurze, administrator aplikacji lub właściciel jednostki usługi). Uprawnienia mogą również spowodować scenariusz, w którym można otworzyć logowanie jednokrotne, ale nie będzie można go zapisać.

  • Hasło — aplikacje lokalne mogą używać metody opartej na hasłach na potrzeby logowania jednokrotnego. Ten wybór działa, gdy aplikacje są skonfigurowane dla serwera proxy aplikacji.

    W przypadku logowania jednokrotnego opartego na hasłach użytkownicy za pierwszym razem logują się do aplikacji przy użyciu nazwy użytkownika i hasła. Po pierwszym zalogowaniu usługa Azure AD udostępnia aplikacji nazwę użytkownika i hasło. Logowanie jednokrotne oparte na hasłach umożliwia bezpieczne przechowywanie i wprowadzanie haseł do aplikacji przy użyciu rozszerzenia przeglądarki internetowej lub aplikacji mobilnej. Ta opcja opiera się na istniejącym procesie logowania dostarczanym przez aplikację, umożliwia administratorowi zarządzanie hasłami i nie wymaga znajomości hasła przez użytkownika. Aby uzyskać więcej informacji, zobacz Dodawanie logowania jednokrotnego opartego na hasłach do aplikacji.

  • Połączone — połączone logowanie może zapewnić spójne środowisko użytkownika podczas migrowania aplikacji przez pewien czas. Jeśli migrujesz aplikacje do usługi Azure AD, możesz użyć połączonego logowania jednokrotnego, aby szybko opublikować linki do wszystkich aplikacji, które mają być migrowane. Użytkownicy mogą znaleźć wszystkie linki w portalach Moje aplikacje lub Microsoft 365.

    Po uwierzytelnieniu użytkownika w połączonej aplikacji należy utworzyć konto przed uzyskaniem dostępu do logowania jednokrotnego. Aprowizowanie tego konta może nastąpić automatycznie lub może nastąpić ręcznie przez administratora. Nie można stosować zasad dostępu warunkowego ani uwierzytelniania wieloskładnikowego do połączonej aplikacji, ponieważ połączona aplikacja nie zapewnia możliwości logowania jednokrotnego za pośrednictwem usługi Azure AD. Podczas konfigurowania połączonej aplikacji wystarczy dodać link, który zostanie wyświetlony do uruchomienia aplikacji. Aby uzyskać więcej informacji, zobacz Dodawanie połączonego logowania jednokrotnego do aplikacji.

  • Wyłączone — gdy logowanie jednokrotne jest wyłączone, nie jest dostępne dla aplikacji. Gdy logowanie jednokrotne jest wyłączone, użytkownicy mogą wymagać dwukrotnego uwierzytelnienia. Najpierw użytkownicy uwierzytelniają się w usłudze Azure AD, a następnie logują się do aplikacji.

    Wyłącz logowanie jednokrotne, gdy:

    • Nie możesz zintegrować tej aplikacji z logowaniem jednokrotnym usługi Azure AD
    • Testujesz inne aspekty aplikacji
    • Aplikacja lokalna nie wymaga uwierzytelnienia użytkowników, ale chcesz, aby. W przypadku wyłączenia logowania jednokrotnego użytkownik musi się uwierzytelnić.

    Jeśli skonfigurowano aplikację na potrzeby logowania jednokrotnego opartego na protokole SAML i zmienisz tryb logowania jednokrotnego na wyłączony, nie uniemożliwi to użytkownikom logowania się do aplikacji poza portalem MyApps. Aby to osiągnąć, należy wyłączyć możliwość logowania użytkowników.

Planowanie wdrożenia logowania jednokrotnego

Aplikacje internetowe są hostowane przez różne firmy i udostępniane jako usługa. Niektóre popularne przykłady aplikacji internetowych to Microsoft 365, GitHub i Salesforce. Są tysiące innych. Użytkownicy uzyskują dostęp do aplikacji internetowych przy użyciu przeglądarki internetowej na swoim komputerze. Logowanie jednokrotne umożliwia osobom przechodzenie między różnymi aplikacjami internetowymi bez konieczności wielokrotnego logowania. Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia logowania jednokrotnego.

Sposób implementowania logowania jednokrotnego zależy od tego, gdzie jest hostowana aplikacja. Hosting ma znaczenie ze względu na sposób, w jaki ruch sieciowy jest kierowany w celu uzyskania dostępu do aplikacji. Użytkownicy nie muszą używać Internetu do uzyskiwania dostępu do aplikacji lokalnych (hostowanych w sieci lokalnej). Jeśli aplikacja jest hostowana w chmurze, użytkownicy muszą korzystać z Internetu. Aplikacje hostowane w chmurze są również nazywane aplikacjami oprogramowania jako usługi (SaaS).

W przypadku aplikacji w chmurze używane są protokoły federacyjne. Możesz również użyć logowania jednokrotnego dla aplikacji lokalnych. Możesz użyć serwera proxy aplikacji, aby skonfigurować dostęp dla aplikacji lokalnej. Aby uzyskać więcej informacji, zobacz Dostęp zdalny do aplikacji lokalnych za pośrednictwem serwera proxy aplikacji usługi Azure AD.

Moje aplikacje

Jeśli jesteś użytkownikiem aplikacji, prawdopodobnie nie obchodzi Cię wiele szczegółów logowania jednokrotnego. Chcesz po prostu użyć aplikacji, które sprawiają, że produktywne bez konieczności wpisywania hasła tak bardzo. Aplikacje można znaleźć i zarządzać nimi w portalu Moje aplikacje. Aby uzyskać więcej informacji, zobacz Logowanie i uruchamianie aplikacji w portalu Moje aplikacje.

Następne kroki