規劃單一登入部署

本文提供的資訊可讓您在 Azure Active Directory (Azure AD) 中,用來規劃單一登入 (SSO) 部署。 在 Azure AD 中使用您的應用程式規劃 SSO 部署時,您需要考慮下列問題:

  • 管理應用程式所需的系統管理角色有哪些?
  • 憑證需要更新嗎?
  • 與 SSO 實作相關的變更,需要通知誰?
  • 需要哪些授權才能確保應用程式的有效管理?
  • 共用的使用者帳戶是用來存取應用程式嗎?
  • 我了解 SSO 部署的選項嗎?

系統管理角色

請一律使用可用權限最少的角色,來完成 Azure AD 內所需的工作。 檢閱不同的可用角色,並選擇正確角色來因應應用程式的每個角色需求。 某些角色可能需要暫時套用,並在部署完成後移除。

角色 角色 Azure AD 角色 (若有必要)
技術支援中心管理員 第 1 層支援
身分識別管理員 在問題涉及 Azure AD 時進行設定和偵錯 全域系統管理員
應用程式管理員 應用程式中的使用者證明、設定使用者的權限
基礎結構管理員 憑證變換擁有者 全域系統管理員
業務負責人/專案關係人 應用程式中的使用者證明、設定使用者的權限

若要深入了解 Azure AD 系統管理角色,請參閱 Azure AD 內建角色

憑證

當您針對您的應用程式啟用同盟 SSO 時,Azure AD 會建立預設三年有效的憑證。 您可以自訂該憑證的到期日 (如有需要)。 確定您已準備好在憑證到期之前更新憑證的流程。

您可在 Azure 入口網站中變更該憑證的持續時間。 確定記載到期日,並知道您將如何管理您的憑證更新。 識別涉及管理簽署憑證生命週期的適當角色和電子郵件通訊群組清單,這是很重要的。 以下為建議角色:

  • 更新應用程式中使用者屬性的擁有者
  • 取得應用程式疑難排解支援的擁有者通話
  • 密切監視的電子郵件通訊群組清單,用於取得憑證相關變更通知

設定您將如何在 Azure AD 與應用程式之間處理憑證變更的流程。 藉由備妥此流程,您可以協助防止由於憑證即將到期或強制憑證變換所造成的中斷,或讓此中斷儘可能不要發生。 如需詳細資訊,請參閱在 Azure Active Directory 中管理同盟單一登入的憑證

通訊

溝通對於任何新服務的成功都非常重要。 主動與您的使用者溝通有關其體驗變更的方式。 溝通其何時將變更,以及如何在遇到問題時獲得支援。 檢閱使用者將如何存取其啟用 SSO 的應用程式的選項,並製作您的通訊以符合您的選擇。

實作您的通訊方案。 確定您要讓使用者知道有變更即將到來、其抵達時間,以及現在該怎麼做。 此外,請確保您提供如何尋求協助的相關資訊。

授權

確定下列授權需求涵蓋應用程式:

  • Azure AD 授權 - 適用於預先整合式企業應用程式的 SSO 是免費的。 不過,您目錄中的物件數目和您想要部署的功能可能需要更多的授權。 如需授權需求的完整清單,請參閱 Azure Active Directory 定價

  • 應用程式授權 - 您需要對應用程式具有適當的授權,才能符合您的商務需求。 與應用程式擁有者合作,以判斷指派給應用程式的使用者是否在應用程式內對其角色具有適當的授權。 如果 Azure AD 根據角色管理自動佈建,則 Azure AD 中指派的角色必須與應用程式內擁有的授權數目一致。 若應用程式中擁有的授權數目不正確,可能會在佈建/更新使用者期間導致錯誤。

共用帳戶

從登入觀點來看,具有共用帳戶的應用程式與針對個別使用者使用密碼 SSO 的企業應用程式不同。 不過,在規劃和設定旨在使用共用帳戶的應用程式時,需要更多步驟。

  • 與使用者合作來記載下列資訊:
    • 組織中將使用應用程式的使用者集。
    • 應用程式中與使用者集相關聯的現有認證集。
  • 針對使用者集與認證的每個組合,根據您的需求在雲端或內部部署中建立安全性群組。
  • 重設共用認證。 在 Azure AD 中部署應用程式之後,個人不需要共用帳戶的密碼。 Azure AD 會儲存密碼,您應該考慮將其設定為長而複雜。
  • 設定自動變換密碼 (如果應用程式支援的話)。 如此一來,即使是執行初始設定的管理員也不知道共用帳戶的密碼。

單一登入選項

有幾種方式可以設定應用程式進行 SSO。 請根據已為應用程式設定的驗證方式,選擇 SSO 方法。

  • 雲端應用程式可以使用 OpenID Connect、OAuth、SAML、密碼式,或連結式的 SSO。 您也可以停用單一登入。
  • 內部部署應用程式可以使用密碼式、整合式 Windows 驗證、標頭式、連結式的 SSO。 當應用程式已設定應用程式 Proxy 時,內部部署選擇就可運作。

此流程圖可協助您決定哪一種 SSO 方法最適合您的情況。

Decision flowchart for single sign-on method

下列 SSO 通訊協定可供使用:

  • OpenID Connect 和 OAuth - 如果您要連線的應用程式支援 OpenID Connect 和 oauth 2.0,請加以選擇。 如需詳細資訊,請參閱 Microsoft 身分識別平台上的 OAuth 2.0 和 OpenID Connect 通訊協定。 如需實作 SSO OpenID Connect 的步驟,請參閱在 Azure Active Directory 中為應用程式設定 OIDC 型單一登入

  • SAML - 請盡可能為不使用 OpenID Connect 或 OAuth 的現有應用程式選擇 SAML。 如需詳細資訊,請參閱單一登入 SAML 通訊協定

  • 密碼型 - 當應用程式具有 HTML 登入頁面時,請選擇密碼型。 密碼型 SSO 也稱為密碼保存庫。 密碼型 SSO 可讓您對不支援身分識別同盟的 Web 應用程式管理使用者存取和密碼。 如果有數個使用者需要共用單一帳戶 (例如共用組織的社交媒體應用程式帳戶),這也很有用處。

    密碼型 SSO 支援需要多個登入欄位的應用程式,因為這些應用程式登入時不只需要使用者名稱和密碼欄位。 您可以自訂使用者在輸入其認證時,會在「我的應用程式」上看到的使用者名稱和密碼欄位標籤。 如需實作密碼型 SSO 的步驟,請參閱密碼型單一登入

  • 已連結 - 當應用程式已在其他識別提供者服務中設定 SSO 時,請選擇已連結。 您可使用連結選項,設定使用者在您組織的入口網站中選取應用程式時,該使用者應進入的位置。 您可以新增連結連至目前使用同盟的自訂 Web 應用程式,例如 Active Directory 同盟服務 (AD FS)。

    您也可以新增連結連至您希望出現在使用者存取面板上的特定網頁,以及連至不需要驗證的應用程式。 連結選項不會透過 Azure AD 認證提供登入功能。 如需實作已連結 SSO 的步驟,請參閱已連結單一登入

  • 已停用 - 當應用程式尚未準備好要對 SSO 進行設定時,請選擇已停用的 SSO。

  • 整合式 Windows 驗證 (IWA) - 請針對使用 IWA 的應用程式或宣告感知的應用程式,選擇 IWA 單一登入。 如需詳細資訊,請參閱使用應用程式 Proxy 單一登入應用程式的 Kerberos 限制委派

  • 標頭型 - 當應用程式是使用標頭進行驗證時,請使用標頭型單一登入。 如需詳細資訊,請參閱標頭型 SSO

後續步驟