Planejar uma implantação de logon único
Esse artigo fornece informações que você pode usar para planejar a implantação de logon único (SSO) no Microsoft Entra ID. Ao planejar sua implantação de SSO com seus aplicativos no Microsoft Entra ID, você precisa considerar as seguintes questões:
- Quais são as funções administrativas necessárias para gerenciar o aplicativo?
- O certificado do aplicativo Security Assertion Markup Language (SAML) precisa ser renovado?
- Quem precisa ser notificado sobre as alterações relacionadas à implementação do SSO?
- Quais licenças são necessárias para garantir o gerenciamento efetivo do aplicativo?
- As contas de usuário compartilhadas e de convidados são usadas para acessar o aplicativo?
- Entendo as opções de implantação de SSO?
Funções administrativas
Sempre use a função com o mínimo de permissões disponíveis para realizar a tarefa necessária no Microsoft Entra ID. Examine as diferentes funções disponíveis e escolha a correta para resolver as necessidades de cada pessoa em relação a esse aplicativo. Algumas funções talvez precisem ser aplicadas temporariamente e removidas após a conclusão da implantação.
Persona | Direitos | Função do Microsoft Entra (se necessário) |
---|---|---|
Administrador de assistência técnica | O suporte de nível1 exibe os logs de entrada para resolver problemas. | Nenhum |
Administrador de identidade | Configurar e depurar quando os problemas envolvem o Microsoft Entra ID | Administrador de Aplicativos de Nuvem |
Administrador de aplicativo | Atestado de usuário no aplicativo, configuração de usuários com permissões | Nenhum |
Administradores de infraestrutura | Proprietário de sobreposição de certificados | Administrador de Aplicativos de Nuvem |
Proprietário da empresa/stakeholder | Atestado de usuário no aplicativo, configuração de usuários com permissões | Nenhum |
Para saber mais sobre as funções administrativas do Microsoft Entra, consulte funções internas do Microsoft Entra.
Certificados
Quando você habilita a federação no aplicativo SAML, o Microsoft Entra ID cria um certificado que é, por padrão, válido por três anos. Você pode personalizar a data de validade para esse certificado, se necessário. Verifique se você tem processos em vigor para renovar os certificados antes da expiração.
Você altera a duração do certificado no centro de administração do Microsoft Entra. Certifique-se de documentar a expiração e saiba como você gerencia a renovação do seu certificado. É importante identificar as funções certas e as listas de distribuição de e-mail envolvidas no gerenciamento do ciclo de vida do certificado de autenticação. As seguintes funções são recomendadas:
- Proprietário para atualizar as propriedades do usuário no aplicativo
- Proprietário na chamada para suporte de solução de problemas do aplicativo
- Lista de distribuição de e-mail com monitoramento rigoroso para notificações de alteração relacionadas a certificados
Estabeleça um processo sobre como você trata uma alteração de certificado entre o Microsoft Entra ID e o seu aplicativo. Tendo esse processo em vigor, você pode ajudar a impedir ou minimizar uma interrupção devido a um certificado expirando ou a uma substituição de certificado forçada. Consulte Gerenciar certificados para logon único federado no Microsoft Entra ID.
Comunicações
A comunicação é fundamental para o sucesso de qualquer novo serviço. Comunique de forma proativa aos usuários sobre a próxima alteração de experiência. Comunique quando ocorrerá a alteração e como obter suporte se eles tiverem problemas. Revise as opções de como os usuários finais acessam seus aplicativos habilitados para SSO e crie suas comunicações para corresponder à sua seleção.
Implemente seu plano de comunicação. Certifique-se de que você está permitindo que os usuários finais saibam que ocorrerá uma alteração, quando ocorrerá e o que fazer agora. Além disso, certifique-se de fornecer informações sobre como buscar assistência.
Licenciamento
Certifique-se de que o aplicativo esteja coberto pelos seguintes requisitos de licenciamento:
Licenciamento do Microsoft Entra ID – o SSO para aplicativos empresariais previamente integrados é gratuito. No entanto, o número de objetos em seu diretório e os recursos que você deseja implantar podem exigir licenças adicionais. Para obter uma lista completa dos requisitos de licença, consulte a página de preços do Microsoft Entra.
Licenciamento de aplicativos – você precisará das licenças apropriadas para seus aplicativos atenderem às necessidades do seu negócio. Trabalhe com o proprietário do aplicativo para determinar se os usuários atribuídos ao aplicativo têm as licenças apropriadas para suas funções no aplicativo. Se o Microsoft Entra ID gerenciar o provisionamento automático com base em funções, as funções atribuídas no Microsoft Entra ID deverão ser alinhadas com o número de licenças de propriedade do aplicativo. O número inadequado de licenças de propriedade do aplicativo pode levar a erros durante o provisionamento/atualização de uma conta de usuário.
Contas compartilhadas
Da perspectiva de logon, os aplicativos com contas compartilhadas não são diferentes dos aplicativo empresariais que usam o SSO com senha para usuários individuais. No entanto, há algumas etapas adicionais necessárias ao planejar e configurar um aplicativo destinado a usar contas compartilhadas.
- Trabalhe com os usuários para documentar as seguintes informações:
- O conjunto de usuários na organização que usará o aplicativo.
- O conjunto existente de credenciais no aplicativo associado ao conjunto de usuários.
- Para cada combinação de conjunto de usuários e credenciais, crie um grupo de segurança na nuvem ou no local com base em seus requisitos.
- Redefina as credenciais compartilhadas. Depois que o aplicativo for implantado no Microsoft Entra ID, as pessoas não precisarão da senha da conta compartilhada. Como o Microsoft Entra ID armazenará a senha, considere defini-la como muito longa e complexa.
- Configure a substituição automática da senha se o aplicativo for compatível. Dessa forma, nem mesmo o administrador que fez a configuração inicial saberá a senha da conta compartilhada.
Opções de logon único
Há várias maneiras de configurar um aplicativo para SSO. A escolha de um método de SSO depende de como o aplicativo está configurado para autenticação.
- Os aplicativos de nuvem podem usar os métodos OpenID Connect, OAuth, SAML, baseado em senha ou vinculado ao SSO. O SSO também pode ser desabilitado.
- Os aplicativos locais podem usar autenticação integrada do Windows baseada em senha, baseada em cabeçalho ou vinculada para SSO. As opções locais funcionam quando os aplicativos são configurados para Proxy de Aplicativo.
Este fluxograma ajuda você a decidir qual método de SSO é melhor para sua situação.
Os seguintes protocolos de SSO estão disponíveis para uso:
OpenID Connect e OAuth - escolha OpenID Connect e OAuth 2.0 se o aplicativo ao qual você está se conectando oferecer suporte a ele. Para obter mais informações, confira Protocolos OAuth 2.0 e OpenID Connect na plataforma de identidade da Microsoft. Para obter as etapas para implementar o SSO do OpenID Connect, consulte configurar o logon único baseado em OIDC para um aplicativo no Microsoft Entra ID.
SAML – Escolha SAML sempre que possível para aplicativos existentes que não usam o OpenID Connect nem o OAuth. Para obter mais informações, confira Protocolo SAML de logon único.
Baseado em senha – escolha com base em senha quando o aplicativo tiver uma página de login HTML. O SSO baseado em senha também é conhecido como cofre para senhas. O SSO baseado em senha permite que você gerencie o acesso de usuários e as senhas para aplicativos Web que não dão suporte à federação de identidades. Ele também é útil quando vários usuários precisam compartilhar uma conta, como contas de aplicativo de mídia social da sua organização.
O SSO baseado em senha dá suporte a aplicativos que exigem vários campos de entrada para aplicativos que pedem mais do que o nome de usuário e a senha para entrar. Você pode personalizar os rótulos dos campos de nome de usuário e senha que os usuários veem em Meus Aplicativos quando inserem as credenciais. Para ver as etapas para implementação do SSO baseado em senha, consulte Logon único baseado em senha.
Vinculado - Escolha o logon vinculado quando o aplicativo estiver configurado para o logon único em outro serviço de provedor de identidade. A opção vinculada permite configurar o local de destino quando um usuário seleciona o aplicativo nos portais de usuário final da sua organização. Você pode adicionar um link a um aplicativo Web personalizado que atualmente usa federação, como o Serviços de Federação do Active Directory (AD FS).
Também é possível adicionar links a páginas da Web específicas que você deseja que apareçam nos painéis de acesso do usuário e a um aplicativo que não exige autenticação. A opção Vinculado não fornece funcionalidade de logon por meio de credenciais do Microsoft Entra ID. Para ver as etapas para implementar o SSO vinculado, consulte Logon único vinculado.
Desabilitado – escolha SSO desabilitado quando o aplicativo não estiver pronto para ser configurado para SSO.
Autenticação Integrada do Windows (IWA) - Escolha esse logon único de IWA para aplicativos que usam a IWA ou aplicativos com reconhecimento de declaração. Para obter mais informações, confira Delegação Restrita do Kerberos para logon único em seus aplicativos com o Proxy de Aplicativo.
Baseado em cabeçalho - Use o logon único baseado em cabeçalho quando o aplicativo usar cabeçalhos para autenticação. Para saber mais, confira SSO baseado em cabeçalho.