Co to jest logowanie jednokrotne w usłudze Microsoft Entra ID?
Ten artykuł zawiera informacje o opcjach logowania jednokrotnego, które są dostępne dla Ciebie. Przedstawiono również wprowadzenie do planowania wdrożenia logowania jednokrotnego podczas korzystania z identyfikatora Microsoft Entra ID. Logowanie jednokrotne to metoda uwierzytelniania, która umożliwia użytkownikom logowanie się przy użyciu jednego zestawu poświadczeń w wielu niezależnych systemach oprogramowania. Korzystanie z logowania jednokrotnego oznacza, że użytkownik nie musi logować się do każdej używanej aplikacji. W przypadku logowania jednokrotnego użytkownicy mogą uzyskiwać dostęp do wszystkich potrzebnych aplikacji bez konieczności uwierzytelniania przy użyciu różnych poświadczeń. Aby zapoznać się z krótkim wprowadzeniem, zobacz Microsoft Entra single sign-on (Logowanie jednokrotne firmy Microsoft).
W usłudze Microsoft Entra ID istnieje już wiele aplikacji, których można używać z logowaniem jednokrotnym. Istnieje kilka opcji logowania jednokrotnego w zależności od potrzeb aplikacji i sposobu jej implementacji. Pośmiń czas na zaplanowanie wdrożenia logowania jednokrotnego przed utworzeniem aplikacji w usłudze Microsoft Entra ID. Zarządzanie aplikacjami można ułatwić za pomocą portalu Moje aplikacje.
Opcje logowania jednokrotnego
Wybór metody logowania jednokrotnego zależy od tego, jak aplikacja jest skonfigurowana do uwierzytelniania. Aplikacje w chmurze mogą używać opcji opartych na federacji, takich jak OpenID Connect i SAML. Aplikacja może również używać logowania jednokrotnego opartego na hasłach, połączonego logowania jednokrotnego lub logowania jednokrotnego.
Federacja — podczas konfigurowania logowania jednokrotnego do pracy między wieloma dostawcami tożsamości jest ona nazywana federacją. Implementacja logowania jednokrotnego oparta na protokołach federacyjnych zwiększa bezpieczeństwo, niezawodność, środowiska użytkownika końcowego i implementację.
W przypadku federacyjnego logowania jednokrotnego firma Microsoft Entra uwierzytelnia użytkownika w aplikacji przy użyciu konta Microsoft Entra. Ta metoda jest obsługiwana w przypadku aplikacji SAML 2.0, WS-Federation lub OpenID Connect . Federacyjne logowanie jednokrotne to najbogatszy tryb logowania jednokrotnego. Użyj federacyjnego logowania jednokrotnego z identyfikatorem Entra firmy Microsoft, gdy aplikacja ją obsługuje, zamiast logowania jednokrotnego opartego na hasłach i usług Active Directory Federation Services (AD FS).
Istnieją pewne scenariusze, w których opcja logowania jednokrotnego nie jest dostępna dla aplikacji dla przedsiębiorstw. Jeśli aplikacja została zarejestrowana przy użyciu Rejestracje aplikacji w portalu, funkcja logowania jednokrotnego jest skonfigurowana do korzystania z programu OpenID Connect. W takim przypadku opcja logowania jednokrotnego nie jest wyświetlana w obszarze nawigacji w aplikacjach dla przedsiębiorstw. OpenID Connect to protokół uwierzytelniania oparty na protokole OAuth 2.0, który jest protokołem autoryzacji. Program OpenID Connect obsługuje część procesu autoryzacji przy użyciu protokołu OAuth 2.0. Gdy użytkownik próbuje się zalogować, program OpenID Connect weryfikuje swoją tożsamość na podstawie uwierzytelniania wykonywanego przez serwer autoryzacji. Po uwierzytelnieniu użytkownika protokół OAuth 2.0 jest używany do udzielania aplikacji dostępu do zasobów użytkownika bez ujawniania poświadczeń.
Logowanie jednokrotne nie jest dostępne, gdy aplikacja jest hostowana w innej dzierżawie. Logowanie jednokrotne jest również niedostępne, jeśli Twoje konto nie ma wymaganych uprawnień (administrator aplikacji w chmurze, administrator aplikacji lub właściciel jednostki usługi). Uprawnienia mogą również powodować scenariusz, w którym można otworzyć logowanie jednokrotne, ale może nie być w stanie zapisać.
Hasło — aplikacje lokalne mogą używać metody opartej na hasłach na potrzeby logowania jednokrotnego. Ten wybór działa, gdy aplikacje są skonfigurowane dla serwer proxy aplikacji.
W przypadku logowania jednokrotnego opartego na hasłach użytkownicy logują się do aplikacji przy użyciu nazwy użytkownika i hasła podczas pierwszego uzyskiwania do niej dostępu. Po pierwszym logowaniu identyfikator Entra firmy Microsoft udostępnia nazwę użytkownika i hasło do aplikacji. Logowanie jednokrotne oparte na hasłach umożliwia bezpieczne przechowywanie haseł aplikacji i odtwarzanie przy użyciu rozszerzenia przeglądarki internetowej lub aplikacji mobilnej. Ta opcja używa istniejącego procesu logowania udostępnianego przez aplikację, umożliwia administratorowi zarządzanie hasłami i nie wymaga od użytkownika znajomości hasła. Aby uzyskać więcej informacji, zobacz Dodawanie logowania jednokrotnego opartego na hasłach do aplikacji.
Połączone — połączone logowanie może zapewnić spójne środowisko użytkownika podczas migrowania aplikacji w danym okresie. Jeśli migrujesz aplikacje do usługi Microsoft Entra ID, możesz użyć połączonego logowania jednokrotnego, aby szybko opublikować linki do wszystkich aplikacji, które mają być migrowane. Użytkownicy mogą znaleźć wszystkie linki w portalach Moje aplikacje lub Microsoft 365.
Po uwierzytelnieniu użytkownika za pomocą połączonej aplikacji należy utworzyć konto, zanim użytkownik otrzyma dostęp do logowania jednokrotnego. Aprowizowanie tego konta może nastąpić automatycznie lub może nastąpić ręcznie przez administratora. Nie można zastosować zasad dostępu warunkowego ani uwierzytelniania wieloskładnikowego do połączonej aplikacji, ponieważ połączona aplikacja nie zapewnia funkcji logowania jednokrotnego za pośrednictwem identyfikatora Entra firmy Microsoft. Podczas konfigurowania połączonej aplikacji wystarczy dodać link wyświetlany do uruchomienia aplikacji. Aby uzyskać więcej informacji, zobacz Dodawanie połączonego logowania jednokrotnego do aplikacji.
Wyłączone — gdy logowanie jednokrotne jest wyłączone, nie jest dostępne dla aplikacji. Po wyłączeniu logowania jednokrotnego użytkownicy mogą wymagać dwukrotnego uwierzytelnienia. Najpierw użytkownicy uwierzytelniają się w usłudze Microsoft Entra ID, a następnie logują się do aplikacji.
Wyłącz logowanie jednokrotne, gdy:
Nie możesz zintegrować tej aplikacji z logowaniem jednokrotnym firmy Microsoft Entra
Testujesz inne aspekty aplikacji
Aplikacja lokalna nie wymaga od użytkowników uwierzytelnienia, ale chcesz. Po wyłączeniu logowania jednokrotnego użytkownik musi się uwierzytelnić.
Jeśli skonfigurowano aplikację na potrzeby logowania jednokrotnego opartego na protokole SAML inicjowanego przez dostawcę usług, a tryb logowania jednokrotnego został zmieniony na wyłączony, nie uniemożliwia użytkownikom logowania się do aplikacji spoza portalu MyApps. Aby uniemożliwić użytkownikom logowanie się spoza portalu Moje aplikacje, należy wyłączyć możliwość logowania użytkowników.
Planowanie wdrożenia logowania jednokrotnego
Aplikacje internetowe są hostowane przez różne firmy i udostępniane jako usługa. Niektóre popularne przykłady aplikacji internetowych to Microsoft 365, GitHub i Salesforce. Są tysiące innych. Użytkownicy uzyskują dostęp do aplikacji internetowych przy użyciu przeglądarki internetowej na swoim komputerze. Logowanie jednokrotne umożliwia użytkownikom przechodzenie między różnymi aplikacjami internetowymi bez konieczności wielokrotnego logowania. Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia logowania jednokrotnego.
Sposób implementowania logowania jednokrotnego zależy od tego, gdzie jest hostowana aplikacja. Hosting ma znaczenie ze względu na sposób, w jaki ruch sieciowy jest kierowany w celu uzyskania dostępu do aplikacji. Użytkownicy nie muszą używać Internetu do uzyskiwania dostępu do aplikacji lokalnych (hostowanych w sieci lokalnej). Jeśli aplikacja jest hostowana w chmurze, użytkownicy muszą korzystać z internetu. Aplikacje hostowane w chmurze są również nazywane aplikacjami oprogramowania jako usługi (SaaS).
W przypadku aplikacji w chmurze używane są protokoły federacyjne. Możesz również użyć logowania jednokrotnego dla aplikacji lokalnych. Aby skonfigurować dostęp dla aplikacji lokalnej, możesz użyć serwer proxy aplikacji. Aby uzyskać więcej informacji, zobacz Dostęp zdalny do aplikacji lokalnych za pośrednictwem serwera proxy aplikacji Firmy Microsoft Entra.
Moje aplikacje
Jeśli jesteś użytkownikiem aplikacji, prawdopodobnie nie obchodzi Cię wiele szczegółów logowania jednokrotnego. Chcesz po prostu użyć aplikacji, które sprawiają, że produktywne bez konieczności wpisywania hasła tak bardzo. Aplikacje można znaleźć i zarządzać nimi w portalu Moje aplikacje. Aby uzyskać więcej informacji, zobacz Logowanie i uruchamianie aplikacji w portalu Moje aplikacje.