O que é o logon único no Azure Active Directory?

Este artigo fornece informações sobre as opções de SSO (logon único) que estão disponíveis para você e uma introdução ao planejamento de uma implantação de logon único ao usar o Azure AD (Azure Active Directory). O logon único é um método de autenticação que permite aos usuários entrar usando um conjunto de credenciais para vários sistemas de software independentes. Com o uso do SSO, o usuário não precisa se conectar em cada aplicativo que usa. Com o SSO, os usuários podem acessar todos os aplicativos necessários sem precisar autenticar novamente usando outras credenciais. Para obter uma breve introdução, consulte Azure Active Directory logon único.

Já existem muitos aplicativos no Azure AD nos quais você pode usar o SSO. Você tem várias opções de SSO, dependendo das necessidades do aplicativo e de como ele é implementado. Separe algum tempo para planejar sua implantação de SSO antes de criar aplicativos no Azure AD. O gerenciamento de aplicativos pode ser facilitado com o uso do portal Meus Aplicativos.

Opções de logon único

A escolha de um método de SSO depende de como o aplicativo está configurado para autenticação. Os aplicativos de nuvem podem usar opções baseadas em federação, como OpenID Connect, OAuth e SAML. O aplicativo também pode usar SSO baseado em senha, SSO baseado em link ou o SSO pode ser desabilitado.

  • Federação – Quando você configura o SSO para funcionar entre vários provedores de identidade, isso é chamado de federação. Uma implementação de SSO baseada em protocolos de federação melhora a segurança, a confiabilidade, as experiências do usuário final e a implementação.

    Com o logon único federado, o Azure AD realiza a autenticação do usuário no aplicativo usando a conta do Azure AD do usuário. Esse método é compatível com aplicativos SAML 2.0, Web Services Federation ou OpenID Connect. O SSO federado é o modo de SSO mais avançado. Use o SSO federado com o Azure AD quando um aplicativo for compatível com esse método em vez do SSO baseado em senha e do Serviços de Federação do Active Directory (AD FS).

    Há alguns cenários em que a opção de SSO não está presente em um aplicativo empresarial. Se o aplicativo tiver sido registrado usando os Registros de aplicativo no portal, a funcionalidade de logon único será configurada para usar o OpenID Connect e o OAuth por padrão. Nesse caso, a opção de logon único não será mostrada na navegação em aplicativos empresariais.

    O logon único não fica disponível quando um aplicativo é hospedado em outro locatário. O logon único também não fica disponível se a sua conta não tem as permissões necessárias (administrador global, administrador de aplicativos de nuvem, administrador de aplicativos ou proprietário da entidade de serviço). As permissões também podem resultar em um cenário em que você consegue abrir o logon único, mas não consegue salvá-lo.

  • Senha- Os aplicativos de senha no local podem usar um método baseado em senha para o SSO. Essa escolha funciona quando os aplicativos são configurados para o Proxy de Aplicativo.

    Com o SSO baseado em senha, os usuários entram no aplicativo com um nome de usuário e senha na primeira vez que acessam. Após o primeiro logon, o Azure AD fornece o nome de usuário e a senha ao aplicativo. O SSO baseado em senha permite o armazenamento e a reprodução segura de senhas do aplicativo usando uma extensão de navegador da Web ou um aplicativo móvel. Essa opção usa o processo de entrada existente fornecido pelo aplicativo, permite que um administrador gerencie as senhas e não exige que o usuário saiba a senha. Para obter mais informações, confira Adicionar logon único baseado em senha a um aplicativo.

  • Vinculado – O logon vinculado pode fornecer uma experiência de usuário consistente enquanto você migra aplicativos durante um período. Se você estiver migrando aplicativos para o Azure AD, poderá usar o SSO vinculado para publicar rapidamente links para todos os aplicativos que pretende migrar. Os usuários podem encontrar todos os links nos portais Meus Aplicativos ou Microsoft 365.

    Depois que um usuário for autenticado com um aplicativo vinculado, uma conta precisa ser criada para que o usuário receba o acesso de logon único. O provisionamento desta conta pode ocorrer automaticamente ou manualmente por um administrador. Você não pode aplicar políticas de acesso condicional nem autenticação multifator a um aplicativo vinculado porque um aplicativo vinculado não fornece recursos de logon único por meio do Azure AD. Para configurar um aplicativo vinculado, basta adicionar um link que aparece para iniciar o aplicativo. Para obter mais informações, confira Adicionar logon único vinculado a um aplicativo.

  • Desabilitado – quando o SSO está desabilitado, ele não está disponível para o aplicativo. Quando o logon único está desabilitado, pode ser necessário que os usuários se autentiquem duas vezes. Primeiro, os usuários se autenticam no Azure AD e, em seguida, entram no aplicativo.

    Desabilite o SSO quando:

    • Você não está pronto para integrar este aplicativo ao logon único do Azure AD
    • Você está testando outros aspectos do aplicativo
    • Um aplicativo local não exige que os usuários se autentiquem, mas você deseja que eles se façam isso. Com o SSO desabilitado, o usuário precisa se autenticar.

    Se você tiver configurado o aplicativo para SSO baseado em SAML iniciado por SP e alterar o modo do SSO para desabilitado, isso não impedirá que os usuários se conectem ao aplicativo de fora do portal MyApps. Para conseguir isso, você precisa desabilitar a capacidade de conexão dos usuários.

Planejar a implantação do SSO

Os aplicativos Web são hospedados por várias empresas e disponibilizados como um serviço. Alguns exemplos populares de aplicativos Web incluem Microsoft 365, GitHub e Salesforce. Há milhares de outros. As pessoas acessam aplicativos Web usando um navegador da Web no computador. O logon único possibilita que as pessoas naveguem entre os vários aplicativos Web sem precisar entrar várias vezes. Para obter mais informações, confira Planejar uma implantação de logon único.

A maneira como você implementa o SSO depende do local em que o aplicativo está hospedado. A hospedagem é importante devido à maneira como o tráfego de rede é roteado para acessar o aplicativo. Os usuários não precisam usar a Internet para acessar aplicativos locais (hospedados em uma rede local). Se o aplicativo estiver hospedado na nuvem, os usuários precisarão da Internet para usá-lo. Os aplicativos hospedados na nuvem também são chamados de aplicativos SaaS (software como serviço).

Para aplicativos de nuvem, os protocolos de federação são usados. Você também pode usar o logon único para aplicativos locais. Você pode usar o Proxy de Aplicativo para configurar o acesso para seu aplicativo local. Para obter mais informações, confira Acesso remoto a aplicativos locais por meio do Proxy de Aplicativo do Microsoft Azure AD.

Meus aplicativos

Se você é um usuário de um aplicativo, provavelmente não se preocupa muito com os detalhes do SSO. Você só quer usar os aplicativos que aumentam sua produtividade sem precisar digitar tantas senhas. Encontre e gerencie seus aplicativos no portal Meus Aplicativos. Para obter mais informações, confira Entrar e iniciar aplicativos no portal Meus Aplicativos.

Próximas etapas