Planejar uma implantação de logon único

Este artigo fornece informações que você pode usar para planejar a implantação de logon único (SSO) no Azure Active Directory (Azure AD). Ao planejar sua implantação de SSO com seus aplicativos no Azure AD, você precisa considerar estas perguntas:

  • Quais são as funções administrativas necessárias para gerenciar o aplicativo?
  • O certificado precisa ser renovado?
  • Quem precisa ser notificado sobre as alterações relacionadas à implementação do SSO?
  • Quais licenças são necessárias para garantir o gerenciamento efetivo do aplicativo?
  • As contas de usuário compartilhadas são usadas para acessar o aplicativo?
  • Entendo as opções de implantação de SSO?

Funções administrativas

Sempre use a função com o mínimo de permissões disponíveis para realizar a tarefa necessária no Azure AD. Examine as diferentes funções disponíveis e escolha a correta para resolver as necessidades de cada pessoa em relação a esse aplicativo. Algumas funções podem precisar ser aplicadas temporariamente e removidas após a conclusão da implantação.

Persona Funções Função do Azure AD (se necessário)
Administrador de assistência técnica Suporte de Nível 1 Nenhum
Administrador de identidade Configurar e depurar quando os problemas envolvem o Microsoft Azure AD Administrador global
Administrador de aplicativo Atestado de usuário no aplicativo, configuração de usuários com permissões Nenhum
Administradores de infraestrutura Proprietário de sobreposição de certificados Administrador global
Proprietário da empresa/stakeholder Atestado de usuário no aplicativo, configuração de usuários com permissões Nenhum

Para saber mais sobre as funções administrativas do Azure AD, confira Funções internas do Azure AD.

Certificados

Ao habilitar o SSO federado para seu aplicativo, o Microsoft Azure AD cria um certificado que é, por padrão, válido por três anos. Você pode personalizar a data de validade para esse certificado, se necessário. Verifique se você tem processos em vigor para renovar os certificados antes de sua expiração.

Você pode alterar essa duração do certificado no portal do Azure. Certifique-se de documentar a expiração e saber como você gerenciará sua renovação de certificado. É importante identificar as funções certas e as listas de distribuição de e-mail envolvidas no gerenciamento do ciclo de vida do certificado de autenticação. As seguintes funções são recomendadas:

  • Proprietário para atualizar as propriedades do usuário no aplicativo
  • Proprietário na chamada para suporte de solução de problemas do aplicativo
  • Lista de distribuição de e-mail com monitoramento rigoroso para notificações de alteração relacionadas a certificados

Estabeleça um processo sobre como você tratará uma alteração de certificado entre o Microsoft Azure AD e o seu aplicativo. Tendo esse processo em vigor, você pode ajudar a impedir ou minimizar uma interrupção devido a um certificado expirando ou a uma substituição de certificado forçada. Gerenciar certificados para logon único federado no diretório Azure Active.

Comunicações

A comunicação é fundamental para o sucesso de qualquer novo serviço. Comunique de forma proativa a seus usuários sobre quando e como a experiência será alterada. Comunique quando ele será alterado e como obter suporte se eles tiverem problemas. Revise as opções de como os usuários finais acessarão seus aplicativos habilitados para SSO e crie suas comunicações para corresponder à sua seleção.

Implemente seu plano de comunicação. Certifique-se de que você está permitindo que os usuários finais saibam que ocorrerá uma alteração, quando ocorrerá e o que fazer agora. Além disso, certifique-se de fornecer informações sobre como buscar assistência.

Licenciamento

Certifique-se de que o aplicativo é coberto pelos seguintes requisitos de licenciamento:

  • Licenciamento do Microsoft Azure AD - o SSO para aplicativos empresariais previamente integrados é gratuito. No entanto, o número de objetos em seu diretório e os recursos que você deseja implantar podem exigir licenças adicionais. Para obter uma lista completa dos requisitos de licença, consulte Preços do Microsoft Azure AD.

  • Licenciamento de aplicativos – você precisará das licenças apropriadas para seus aplicativos atenderem às necessidades do seu negócio. Trabalhe com o proprietário do aplicativo para determinar se os usuários atribuídos ao aplicativo têm as licenças apropriadas para suas funções no aplicativo. Se o Microsoft Azure AD gerenciar o provisionamento automático com base em funções, as funções atribuídas no Microsoft Azure AD deverão ser alinhadas com o número de licenças de propriedade do aplicativo. O número inadequado de licenças de propriedade do aplicativo pode levar a erros durante o provisionamento/atualização de uma conta de usuário.

Contas compartilhadas

Da perspectiva de logon, os aplicativos com contas compartilhadas não são diferentes dos aplicativo empresariais que usam o SSO com senha para usuários individuais. No entanto, há algumas etapas adicionais necessárias ao planejar e configurar um aplicativo destinado a usar contas compartilhadas.

  • Trabalhe com os usuários para documentar as seguintes informações:
    • O conjunto de usuários na organização que usará o aplicativo.
    • O conjunto existente de credenciais no aplicativo associado ao conjunto de usuários.
  • Para cada combinação de conjunto de usuários e credenciais, crie um grupo de segurança na nuvem ou no local com base em seus requisitos.
  • Redefina as credenciais compartilhadas. Depois que o aplicativo for implantado no Microsoft Azure AD, as pessoas não precisarão da senha da conta compartilhada. Como o Microsoft Azure AD armazenará a senha, considere defini-la como muito longa e complexa.
  • Configure a substituição automática da senha se o aplicativo for compatível. Dessa forma, nem mesmo o administrador que fez a configuração inicial saberá a senha da conta compartilhada.

Opções de logon único

Há várias maneiras de configurar um aplicativo para SSO. A escolha de um método de SSO depende de como o aplicativo está configurado para autenticação.

  • Os aplicativos de nuvem podem usar os métodos OpenID Connect, OAuth, SAML, baseado em senha ou vinculado ao SSO. O SSO também pode ser desabilitado.
  • Os aplicativos locais podem usar os métodos baseado em senha, de Autenticação Integrada do Windows, baseado em cabeçalho, vinculado para SSO. As opções locais funcionam quando os aplicativos são configurados para Proxy de Aplicativo.

Este fluxograma ajuda você a decidir qual método de SSO é melhor para sua situação.

Decision flowchart for single sign-on method

Os seguintes protocolos de SSO estão disponíveis para uso:

  • OpenID Connect e OAuth - escolha OpenID Connect e OAuth 2.0 se o aplicativo ao qual você está se conectando oferecer suporte a ele. Para obter mais informações, confira Protocolos OAuth 2.0 e OpenID Connect na plataforma de identidade da Microsoft. Para obter as etapas para implementar o SSO do OpenID Connect, consulte configurar o logon único baseado em OIDC para um aplicativo no Azure Active Directory.

  • SAML - Escolha SAML sempre que possível para aplicativos existentes que não usam o OpenID Connect nem o OAuth. Para saber mais, confira Protocolo SAML de logon único.

  • Baseado em senha – escolha com base em senha quando o aplicativo tiver uma página de login HTML. O SSO baseado em senha também é conhecido como cofre para senhas. O SSO baseado em senha permite que você gerencie o acesso de usuários e as senhas para aplicativos Web que não dão suporte à federação de identidades. Ele também é útil quando vários usuários precisam compartilhar uma conta, como contas de aplicativo de mídia social da sua organização.

    O SSO baseado em senha dá suporte a aplicativos que exigem vários campos de entrada para aplicativos que pedem mais do que o nome de usuário e a senha para entrar. Você pode personalizar os rótulos dos campos de nome de usuário e senha que os usuários veem em Meus Aplicativos quando inserem as credenciais. Para ver as etapas para implementação do SSO baseado em senha, consulte Logon único baseado em senha.

  • Vinculado - Escolha o logon vinculado quando o aplicativo estiver configurado para o logon único em outro serviço de provedor de identidade. A opção Vinculado permite configurar a localização de destino quando um usuário seleciona o aplicativo nos da sua organização nos portais. Você pode adicionar um link a um aplicativo Web personalizado que atualmente usa federação, como o Serviços de Federação do Active Directory (AD FS).

    Também é possível adicionar links a páginas da Web específicas que você deseja que apareçam nos painéis de acesso do usuário e a um aplicativo que não exige autenticação. A opção Vinculado não fornece funcionalidade de logon por meio de credenciais do Azure AD. Para ver as etapas para implementar o SSO vinculado, consulte Logon único vinculado.

  • Desabilitado – escolha SSO desabilitado quando o aplicativo não estiver pronto para ser configurado para SSO.

  • Autenticação Integrada do Windows (IWA) - Escolha esse logon único de IWA para aplicativos que usam a IWA ou aplicativos com reconhecimento de declaração. Para obter mais informações, confira Delegação Restrita do Kerberos para logon único em seus aplicativos com o Proxy de Aplicativo.

  • Baseado em cabeçalho - Use o logon único baseado em cabeçalho quando o aplicativo usar cabeçalhos para autenticação. Para saber mais, confira SSO baseado em cabeçalho.

Próximas etapas