O que é o início de sessão único no Azure Active Directory?

Este artigo fornece-lhe informações sobre as opções de assinatura única (SSO) que estão disponíveis para si, e uma introdução ao planeamento de uma única implementação de sinal quando utilizar o Azure Ative Directory (Azure AD). O início de sessão único é um método de autenticação que permite que os utilizadores iniciem sessão com um conjunto de credenciais em vários sistemas de software independentes. A utilização do SSO significa que o utilizador não tem de iniciar sessão em cada uma das aplicações que utiliza. Com o SSO, os utilizadores podem aceder a todas as aplicações de que necessitam sem terem de se autenticar com diferentes credenciais. Para uma breve introdução, consulte o Azure Ative Directory com um único sinal de inscrição.

Muitas aplicações já existem em Azure AD que você pode usar com SSO. Tem várias opções para SSO dependendo das necessidades da aplicação e da forma como é implementada. Dedestem algum tempo para planear a sua implementação SSO antes de criar aplicações no Azure AD. A gestão das aplicações pode ser facilitada através do portal My Apps.

Opções de início de sessão único

A escolha de um método de SSO depende da configuração de autenticação da aplicação. As aplicações em nuvem podem usar opções baseadas na federação, tais como OpenID Connect, OAuth e SAML. A aplicação também pode usar SSO baseado em palavra-passe, SSO ou SSO com base em palavras-passe, ou SSO pode ser desativado.

  • Federação - Quando cria sSO para trabalhar entre vários fornecedores de identidade, chama-se federação. Uma implementação SSO baseada em protocolos da federação melhora a segurança, a fiabilidade, as experiências do utilizador final e a implementação.

    Com o único sinal de inscrição federado, o Azure AD autentica o utilizador na aplicação utilizando a sua conta Azure AD. Este método é suportado para aplicações SAML 2.0, WS-Federation ou OpenID Connect . O SSO federado é o modo mais rico de SSO. Utilize SSO federado com Azure AD quando uma aplicação o suporta, em vez de SSO baseado em palavra-passe e serviços da Federação de Diretório Ativo (AD FS).

    Existem alguns cenários em que a opção SSO não está presente para uma aplicação da empresa. Se a aplicação foi registada usando registos de Aplicações no portal, então a capacidade de inscrição única está configurada para utilizar OpenID Connect e OAuth por padrão. Neste caso, a opção de inscrição única não aparecerá na navegação ao abrigo de aplicações empresariais.

    O sessão único não está disponível quando um pedido é hospedado em outro inquilino. O único seduque também não está disponível se a sua conta não tiver as permissões necessárias (Administrador Global, Administrador de Aplicação cloud, Administrador de Aplicação ou proprietário do principal de serviço). As permissões também podem causar um cenário em que pode abrir um único sinal, mas não será capaz de salvar.

  • Palavra-passe - As aplicações no local podem utilizar um método baseado em palavra-passe para SSO. Esta escolha funciona quando as aplicações são configuradas para Procuração de Aplicação.

    Com o SSO baseado em palavra-passe, os utilizadores iniciam sessão na aplicação com um nome de utilizador e uma palavra-passe quando acedem pela primeira vez. Após o primeiro início de sessão, o Azure Active Directory proporciona o nome de utilizador e a palavra-passe para a aplicação. O SSO baseado em palavra-passe permite a repetição e o armazenamento da palavra-passe da aplicação de forma segura com uma aplicação móvel ou extensão do browser. Esta opção utiliza o processo de início de sessão existente disponibilizado pela aplicação, permite que um administrador faça a gestão das palavras-passe e não precisa que o utilizador conheça a palavra-passe. Para obter mais informações, consulte Adicionar um único sinal de inscrição baseado na palavra-passe a uma aplicação.

  • Linked - Linked sign-on pode fornecer uma experiência consistente do utilizador enquanto migra aplicações durante um período de tempo. Se estiver a migrar aplicações para a Azure AD, pode utilizar sSO de base ligada para publicar rapidamente links para todas as aplicações que pretende migrar. Os utilizadores podem encontrar todos os links nos portais My Apps ou Microsoft 365.

    Depois de um utilizador ter autenticado com uma aplicação ligada, é necessário criar uma conta antes de o utilizador ter acesso único de s.a.. O provisionamento desta conta pode ocorrer automaticamente ou pode ocorrer manualmente por um administrador. Não é possível aplicar políticas de acesso condicional ou autenticação multifactor a uma aplicação ligada porque uma aplicação ligada não fornece capacidades únicas de inscrição através do Azure AD. Ao configurar uma aplicação ligada, está simplesmente a adicionar um link que aparece para o lançamento da aplicação. Para obter mais informações, consulte Adicionar um único sinal de inscrição a uma aplicação.

  • Desativado - Quando o SSO está desativado, não está disponível para a aplicação. Quando uma única sentique é desativada, os utilizadores podem precisar de autenticar duas vezes. Primeiro, os utilizadores autenticam a Azure AD e depois fazem o súmis na aplicação.

    Desativar sSO quando:

    • Você não está pronto para integrar esta aplicação com Azure AD single sign-on
    • Está a testar outros aspetos da aplicação
    • Uma aplicação no local não requer que os utilizadores autentem a autenticação, mas é o que quer. Com sSO desativado, o utilizador precisa de autenticar.

    Se configurar a aplicação para SSO com base em SSO iniciado com SP e alterar o modo SSO para desativado, não impedirá os utilizadores de iniciarem a sessão fora do portal MyApps. Para isso, é necessário desativar a capacidade de os utilizadores iniciarem sação.

Implementação do Plano SSO

As aplicações web são hospedadas por várias empresas e disponibilizadas como um serviço. Alguns exemplos populares de aplicações web incluem Microsoft 365, GitHub e Salesforce. Há milhares de outros. As pessoas acedem a aplicações web usando um navegador web no seu computador. Um único sinal permite que as pessoas naveguem entre as várias aplicações web sem terem de assinar várias vezes. Para obter mais informações, consulte Plan a single sign-on deployment.

A forma como implementa sSO depende do local onde a aplicação está hospedada. O alojamento é importante devido à forma como o tráfego de rede é encaminhado para aceder à aplicação. Os utilizadores não precisam de usar a Internet para aceder a aplicações no local (hospedadas numa rede local). Se a aplicação estiver hospedada na nuvem, os utilizadores precisam da Internet para a utilizar. As aplicações hospedadas na nuvem também são chamadas de Aplicações de Software como um Serviço (SaaS).

Para aplicações em nuvem, são utilizados protocolos da federação. Também pode utilizar um único sinal para aplicações no local. Pode utilizar o Application Proxy para configurar o acesso à sua aplicação no local. Para mais informações, consulte acesso remoto a aplicações no local através do Azure AD Application Proxy.

As Minhas Aplicações

Se é utilizador de uma aplicação, provavelmente não se importa muito com detalhes da SSO. Você só quer usar as aplicações que o tornam produtivo sem ter que escrever tanto a sua senha. Pode encontrar e gerir as suas aplicações no portal My Apps. Para mais informações, consulte iniciar sômis e inicie aplicações a partir do portal My Apps.

Passos seguintes