Çoklu oturum açma dağıtımını planlama
Bu makalede, Microsoft Entra kimliğinde çoklu oturum açma (SSO) dağıtımınızı planlamak için kullanabileceğiniz bilgiler sağlanır. Uygulamalarınızla SSO dağıtımınızı Microsoft Entra kimliğiyle planlarken aşağıdaki soruları göz önünde bulundurmanız gerekir:
- Uygulamayı yönetmek için gereken yönetim rolleri nelerdir?
- Güvenlik Onaylama İşaretleme Dili (SAML) uygulama sertifikasının yenilenmesi gerekiyor mu?
- SSO'nun uygulanmasıyla ilgili değişikliklerden kimlere bildirilmesi gerekir?
- Uygulamanın etkili bir şekilde yönetilmesini sağlamak için hangi lisanslar gereklidir?
- Paylaşılan ve konuk kullanıcı hesapları uygulamaya erişmek için kullanılıyor mu?
- SSO dağıtımı seçeneklerini anlıyor musunuz?
Yönetim Rolleri
Microsoft Entra kimliği içinde gerekli görevi gerçekleştirmek için rolü her zaman en az izinle kullanın. Kullanılabilen farklı rolleri gözden geçirin ve uygulama için her kişilik için gereksinimlerinizi çözmek için doğru rolü seçin. Dağıtım tamamlandıktan sonra bazı rollerin geçici olarak uygulanması ve kaldırılması gerekebilir.
| Persona | Roller | Microsoft Entra rolü (gerekirse) |
|---|---|---|
| Yardım masası yöneticisi | Katman 1 desteği, sorunları çözmek için oturum açma günlüklerini görüntüler. | Hiçbiri |
| Kimlik yöneticisi | Sorunlar Microsoft Entra kimliği içerdiğinde yapılandırma ve hata ayıklama | Bulut Uygulaması Yöneticisi |
| Uygulama yöneticisi | Uygulamada kullanıcı kanıtlama, izinleri olan kullanıcılarda yapılandırma | Hiçbiri |
| Altyapı yöneticileri | Sertifika geçişi sahibi | Bulut Uygulaması Yöneticisi |
| İş sahibi/paydaş | Uygulamada kullanıcı kanıtlama, izinleri olan kullanıcılarda yapılandırma | Hiçbiri |
Microsoft Entra yönetim rolleri hakkında daha fazla bilgi edinmek için bkz. yerleşik rolleri Microsoft Entra.
Sertifikalar
SAML uygulamasında federasyonu etkinleştirdiğinizde, Microsoft Entra kimliği varsayılan olarak üç yıl boyunca geçerli olan bir sertifika oluşturur. Gerekirse bu sertifikanın son kullanma tarihini özelleştirebilirsiniz. Sertifikaların süresi dolmadan önce sertifika yenileme işlemleriniz olduğundan emin olun.
Bu sertifika süresini Microsoft Entra yönetim merkezinde değiştirirsiniz. Süre sonunu belgelediğinizden ve sertifika yenilemenizi nasıl yönetileceğini bildiğinizden emin olun. İmzalama sertifikasının yaşam döngüsünü yönetmeyle ilgili doğru rolleri ve e-posta dağıtım listelerini tanımlamak önemlidir. Aşağıdaki roller önerilir:
- Uygulamadaki kullanıcı özelliklerini güncelleştirme sahibi
- Uygulama sorun giderme desteği için Sahip Aramada
- Sertifikayla ilgili değişiklik bildirimleri için yakından izlenen e-posta dağıtım listesi
Microsoft Entra kimliği ile uygulamanız arasındaki sertifika değişikliğini nasıl işleyeceksiniz? Bu işlemi gerçekleştirerek, sertifikanın süresinin dolması veya zorunlu sertifika geçişi nedeniyle bir kesintiyi önlemeye veya en aza indirmeye yardımcı olabilirsiniz. Daha fazla bilgi için bkz. Microsoft Entra kimliğinde federasyon çoklu oturum açma için sertifikaları yönetme.
İletişim
İletişim, yeni bir hizmetin başarısı için kritik öneme sahiptir. Kullanıcılarınızla deneyimlerinin nasıl değişeceği hakkında proaktif olarak iletişim kurun. Ne zaman değişeceğini ve sorun yaşarlarsa nasıl destek kazanılacağını iletin. Kullanıcıların SSO özellikli uygulamalarına nasıl erişeceğini gösteren seçenekleri gözden geçirin ve iletişimlerinizi seçiminizle eşleşecek şekilde oluşturun.
İletişim planınızı uygulayın. Kullanıcılarınıza bir değişikliğin geldiğini, ne zaman geldiğini ve şimdi ne yapacağınızı haber verdiğinizden emin olun. Ayrıca, nasıl yardım aranacakları hakkında bilgi sağladığınıza emin olun.
Lisanslama
Uygulamanın aşağıdaki lisans gereksinimleri kapsamında olduğundan emin olun:
Microsoft Entra lisanslama - Önceden tümleşik kurumsal uygulamalar için SSO ücretsizdir. Ancak, dizininizdeki nesne sayısı ve dağıtmak istediğiniz özellikler daha fazla lisans gerektirebilir. Lisans gereksinimlerinin tam listesi için bkz. Microsoft Entra fiyatlandırması.
Uygulama lisanslama - İş gereksinimlerinizi karşılamak için uygulamalarınız için uygun lisanslara ihtiyacınız olacaktır. Uygulamaya atanan kullanıcıların uygulama içindeki rolleri için uygun lisanslara sahip olup olmadığını belirlemek için uygulama sahibiyle birlikte çalışın. otomatik sağlamayı rollere göre Microsoft Entra kimliği yönetiyorsa, Microsoft Entra kimliğinde atanan rollerin uygulama içindeki lisans sayısıyla uyumlu olması gerekir. Uygulamaya ait lisansların hatalı sayıda olması, kullanıcı hesabının sağlanması veya güncelleştirilmesi sırasında hatalara neden olabilir.
Paylaşılan hesaplar
Oturum açma açısından bakıldığında, paylaşılan hesapları olan uygulamalar, tek tek kullanıcılar için parola SSO kullanan kurumsal uygulamalardan farklı değildir. Ancak, paylaşılan hesapları kullanmak üzere bir uygulamayı planlamak ve yapılandırmak için gereken daha fazla adım vardır.
- Aşağıdaki bilgileri belgeleyen kullanıcılarla birlikte çalışın:
- Kuruluştaki uygulamayı kullanacak kullanıcı kümesi.
- Uygulamadaki mevcut kimlik bilgileri kümesi, kullanıcı kümesiyle ilişkilidir.
- Kullanıcı kümesi ve kimlik bilgilerinin her birleşimi için, gereksinimlerinize göre bulutta veya şirket içinde bir güvenlik grubu oluşturun.
- Paylaşılan kimlik bilgilerini sıfırlayın. Uygulama Microsoft Entra kimliğinde dağıtıldıktan sonra, kişilerin paylaşılan hesabın parolasına ihtiyacı olmaz. Microsoft Entra kimliği parolayı depolar ve parolayı uzun ve karmaşık olarak ayarlamayı göz önünde bulundurmalısınız.
- Uygulama destekliyorsa parolanın otomatik geçişini yapılandırın. Bu şekilde, ilk kurulumu yapan yönetici bile paylaşılan hesabın parolasını bilmez.
Çoklu oturum açma seçenekleri
Bir uygulamada SSO yapılandırması gerçekleştirmenin birkaç farklı yöntemi vardır. Seçilecek SSO yöntemi, uygulamadaki kimlik doğrulaması yapılandırmasına göre değişir.
- Bulut uygulamaları için OpenID Connect, OAuth, SAML, parola tabanlı veya bağlantı tabanlı SSO kullanılabilir. Çoklu oturum açma özelliğini devre dışı bırakmak da mümkündür.
- Şirket içi uygulamalar parola tabanlı, Tümleşik Windows Kimlik Doğrulaması, üst bilgi tabanlı veya SSO için bağlantılı kullanabilir. Uygulamalar için Uygulama Ara Sunucusu yapılandırıldığında şirket içinde yapılan tercihler dikkate alınır.
Bu akış çizelgesi sizin için en uygun SSO yöntemini belirlemenize yardımcı olabilir.
Aşağıdaki SSO protokolleri kullanılabilir:
OpenID Connect ve OAuth - Bağlandığınız uygulama destekliyorsa OpenID Connect ve OAuth 2.0'ı seçin. Daha fazla bilgi için bkz. Microsoft kimlik platformu OAuth 2.0 ve OpenID Connect protokolleri. OpenID Connect SSO uygulama adımları için bkz. Microsoft Entra kimliğindeki bir uygulama için OIDC tabanlı çoklu oturum açmayı ayarlama.
SAML - OpenID Connect veya OAuth kullanmayan mevcut uygulamalar için mümkün olduğunca SAML'yi seçin. Daha fazla bilgi için bkz. çoklu oturum açma SAML protokolü.
Parola tabanlı - Uygulamanın HTML oturum açma sayfası olduğunda parola tabanlı'yı seçin. Parola tabanlı SSO, parola kasası olarak da bilinir. Parola tabanlı SSO, kimlik federasyonu desteklemeyen web uygulamalarına kullanıcı erişimini ve parolaları yönetmenizi sağlar. Ayrıca, kuruluşunuzun sosyal medya uygulama hesapları gibi birkaç kullanıcının tek bir hesabı paylaşması gerektiğinde de kullanışlıdır.
Parola tabanlı SSO, oturum açmak için yalnızca kullanıcı adı ve parola alanlarından fazlasını gerektiren uygulamalar için birden çok oturum açma alanı gerektiren uygulamaları destekler. Kullanıcılarınızın kimlik bilgilerini girerken Uygulamalarım gördüğü kullanıcı adı ve parola alanlarının etiketlerini özelleştirebilirsiniz. Parola tabanlı SSO uygulama adımları için bkz. Parola tabanlı çoklu oturum açma.
Bağlı - Uygulama başka bir kimlik sağlayıcısı hizmetinde SSO için yapılandırıldığında bağlı'yı seçin. Bağlı seçenek, bir kullanıcı kuruluşunuzun son kullanıcı portallarında uygulamayı seçtiğinde hedef konumu yapılandırmanıza olanak tanır. Active Directory Federasyon Hizmetleri (AD FS) gibi şu anda federasyon kullanan bir özel web uygulamasına bağlantı da ekleyebilirsiniz.
Ayrıca kullanıcınızın erişim panellerinde görünmesini istediğiniz belirli web sayfalarının ve kimlik doğrulaması gerektirmeyen bir uygulamanın bağlantılarını da ekleyebilirsiniz. Bağlı seçeneği, Microsoft Entra kimlik bilgileri aracılığıyla oturum açma işlevselliği sağlamaz. Bağlantılı SSO uygulama adımları için bkz. Bağlantılı çoklu oturum açma.
Devre dışı - Uygulama SSO için yapılandırılmaya hazır olmadığında devre dışı bırakılmış SSO'yı seçin.
Tümleşik Windows Kimlik Doğrulaması (IWA) - IWA kullanan uygulamalar veya talep kullanan uygulamalar için IWA çoklu oturum açmayı seçin. Daha fazla bilgi için bkz. Uygulama Ara Sunucusu ile uygulamalarınızda çoklu oturum açma için Kerberos Kısıtlanmış Temsili.
Üst bilgi tabanlı - Uygulama kimlik doğrulaması için üst bilgileri kullandığında üst bilgi tabanlı çoklu oturum açmayı seçin. Daha fazla bilgi için bkz. Üst bilgi tabanlı SSO.