Что такое единый вход в идентификатор Microsoft Entra?
В этой статье содержатся сведения о параметрах единого входа, доступных для вас. В нем также описывается введение в планирование развертывания единого входа при использовании идентификатора Microsoft Entra. Единый вход — это метод проверки подлинности, позволяющий пользователям входить с помощью одного набора учетных данных в несколько независимых систем программного обеспечения. Использование единого входа означает, что пользователю не нужно входить в каждое приложение, которое они используют. С помощью единого входа пользователи могут получить доступ ко всем необходимым приложениям, не требуя проверки подлинности с помощью различных учетных данных. Краткое введение см. в статье о едином входе Microsoft Entra.
Многие приложения уже существуют в идентификаторе Microsoft Entra, который можно использовать с единым входом. У вас есть несколько вариантов единого входа в зависимости от потребностей приложения и способа его реализации. Запланируйте развертывание единого входа перед созданием приложений в идентификаторе Microsoft Entra. Управление приложениями можно упростить с помощью портала Мои приложения.
Параметры единого входа
Выбор метода единого входа зависит от того, как приложение настроено для проверки подлинности. Облачные приложения могут использовать параметры на основе федерации, такие как OpenID Connect и SAML. Приложение также может использовать единый вход на основе паролей, связанный единый вход или единый вход.
Федерация — при настройке единого входа для работы между несколькими поставщиками удостоверений она называется федерацией. Реализация единого входа на основе протоколов федерации повышает безопасность, надежность, взаимодействие с конечными пользователями и реализацию.
При федеративном едином входе Microsoft Entra проверяет подлинность пользователя в приложении с помощью учетной записи Microsoft Entra. Этот метод поддерживается для приложений SAML 2.0, WS-Federation или OpenID Connect . Федеративный единый вход — это самый богатый режим единого входа. Используйте федеративный единый вход с идентификатором Microsoft Entra, если приложение поддерживает его, а не единый вход на основе паролей и службы федерации Active Directory (AD FS) (AD FS).
Существует несколько сценариев, в которых для корпоративного приложения отсутствует параметр единого входа. Если приложение зарегистрировано с помощью Регистрация приложений на портале, то возможность единого входа настроена для использования OpenID Connect. В этом случае параметр единого входа не отображается в навигации в корпоративных приложениях. OpenID Connect — это протокол проверки подлинности, построенный на основе OAuth 2.0, который является протоколом авторизации. OpenID Connect использует OAuth 2.0 для обработки части авторизации процесса. Когда пользователь пытается войти, OpenID Connect проверяет свое удостоверение на основе проверки подлинности, выполняемой сервером авторизации. После проверки подлинности пользователя OAuth 2.0 используется для предоставления приложению доступа к ресурсам пользователя без предоставления учетных данных.
Единый вход недоступен, если приложение размещено в другом клиенте. Единый вход также недоступен, если у вашей учетной записи нет необходимых разрешений (администратор облачных приложений, администратор приложений или владелец субъекта-службы). Разрешения также могут привести к сценарию, в котором можно открыть единый вход, но может не сохраняться.
Пароль . Локальные приложения могут использовать метод на основе паролей для единого входа. Этот выбор работает, если приложения настроены для прокси приложения.
При использовании единого входа на основе паролей пользователи войдите в приложение с именем пользователя и паролем при первом доступе к нему. После первого входа идентификатор Microsoft Entra предоставляет имя пользователя и пароль для приложения. Единый вход на основе паролей позволяет безопасное хранилище паролей приложений и воспроизведение с помощью расширения веб-браузера или мобильного приложения. Этот параметр использует существующий процесс входа, предоставляемый приложением, позволяет администратору управлять паролями и не требует, чтобы пользователь знал пароль. Дополнительные сведения см. в разделе "Добавление единого входа на основе паролей" в приложение.
Связанный вход — связанный вход может обеспечить согласованный пользовательский интерфейс при переносе приложений в течение определенного периода времени. Если вы переносите приложения на идентификатор Microsoft Entra, вы можете использовать связанный единый вход для быстрого публикации ссылок на все приложения, которые вы планируете перенести. Пользователи могут найти все ссылки на Мои приложения или на порталах Microsoft 365.
После проверки подлинности пользователя с помощью связанного приложения необходимо создать учетную запись перед предоставлением доступа к единому входу. Подготовка этой учетной записи может произойти автоматически или может произойти вручную администратором. Нельзя применять политики условного доступа или многофакторную проверку подлинности к связанному приложению, так как связанное приложение не предоставляет возможности единого входа с помощью идентификатора Microsoft Entra. При настройке связанного приложения вы просто добавляете ссылку, которая отображается для запуска приложения. Дополнительные сведения см. в разделе "Добавление связанного единого входа в приложение".
Отключен. Если единый вход отключен, он недоступен для приложения. Если единый вход отключен, пользователям может потребоваться дважды пройти проверку подлинности. Сначала пользователи проходят проверку подлинности в идентификаторе Microsoft Entra, а затем войдите в приложение.
Отключите единый вход, если:
Вы не готовы интегрировать это приложение с единым входом Microsoft Entra
Вы тестируете другие аспекты приложения
Локальное приложение не требует проверки подлинности пользователей, но вам нужно. При отключении единого входа пользователь должен пройти проверку подлинности.
Если вы настроили приложение для единого входа, инициированного поставщиком службы, и вы измените режим единого входа на отключенный, он не останавливает входа пользователей в приложение за пределами портала MyApps. Чтобы запретить пользователям войти с портала "Мои приложения", необходимо отключить возможность входа пользователей.
Планирование развертывания единого входа
Веб-приложения размещаются различными компаниями и становятся доступными в качестве службы. Некоторые популярные примеры веб-приложений включают Microsoft 365, GitHub и Salesforce. Есть тысячи других. Пользователи получают доступ к веб-приложениям с помощью веб-браузера на своем компьютере. Единый вход позволяет пользователям перемещаться между различными веб-приложениями, не выполняя вход несколько раз. Дополнительные сведения см. в разделе "Планирование развертывания единого входа".
Реализация единого входа зависит от того, где размещено приложение. Размещение имеет важное значение из-за маршрутизации сетевого трафика для доступа к приложению. Пользователям не нужно использовать Интернет для доступа к локальным приложениям (размещенным в локальной сети). Если приложение размещено в облаке, пользователи должны использовать его в Интернете. Облачные размещенные приложения также называются приложениями Software as Service (SaaS).
Для облачных приложений используются протоколы федерации. Вы также можете использовать единый вход для локальных приложений. Прокси приложения можно использовать для настройки доступа к локальному приложению. Дополнительные сведения см. в статье "Удаленный доступ к локальным приложениям через прокси приложения Microsoft Entra".
Мои приложения
Если вы являетесь пользователем приложения, скорее всего, вы не заботитесь о едином входе. Вы просто хотите использовать приложения, которые делают вас продуктивными без необходимости вводить пароль так много. Приложения можно найти на портале Мои приложения и управлять ими. Дополнительные сведения см. в статье "Вход и запуск приложений на портале Мои приложения".