本文提供您可以使用的單一登入 (SSO) 選項的相關資訊。 其也概述在使用 Microsoft Entra ID 時規劃單一登入部署的簡介。 單一登入是一種驗證方法,可讓使用者使用一組認證登入多個獨立的軟體系統。 使用 SSO 表示使用者不需要登入其使用的每個應用程式。 使用 SSO 時,使用者可以存取所有必要的應用程式,而不需要使用不同的認證進行驗證。 如需簡短簡介,請參閱 Microsoft Entra 單一登入。
許多應用程式已存在於 Microsoft Entra ID 中,您可以搭配 SSO 使用。 根據應用程式的需求及其實作方式,您有數個 SSO 選項。 在 Microsoft Entra ID 中建立應用程式之前,請花點時間規劃 SSO 部署。 您可以使用 [我的應用程式] 入口網站,更輕鬆地管理應用程式。
單一登入選項
請根據已為應用程式設定的驗證方式,選擇 SSO 方法。 雲端應用程式可以使用同盟型選項,例如 OpenID Connect 和 SAML。 應用程式也可以使用密碼型 SSO、連結型 SSO 或 SSO 來停用。
同盟 - 當您在多個識別提供者之間設定 SSO 時,這稱為同盟。 以同盟通訊協議為基礎的 SSO 實作可改善安全性、可靠性、終端使用者體驗和實作。
使用同盟單一登入,Microsoft Entra 會使用其 Microsoft Entra 帳戶向應用程式驗證使用者。 SAML 2.0、WS-同盟或 OpenID Connect 應用程式都支援此方法。 同盟 SSO 是 SSO 的最豐富模式。 當應用程式支援同盟 SSO 時,請搭配 Microsoft Entra ID 使用同盟 SSO,而非以密碼為基礎的 SSO 和 Active Directory 同盟服務 (AD FS)。
在某些情況下,企業應用程式沒有 SSO 選項可供使用。 如果應用程式是使用入口網站中的 [應用程式註冊] 所註冊,則會將單一登入功能設定為使用 OpenID Connect。 在此情況下,單一登入選項不會出現在企業應用程式下的版面配置中。 OpenID Connect 是一種建置在 OAuth 2.0 上的驗證通訊協定。 OpenID Connect 使用 OAuth 2.0 來處理流程的授權部分。 當使用者嘗試登入時,OpenID Connect 會根據授權伺服器所執行的驗證來驗證其身分識別。 驗證使用者後,在不公開認證的情況下,OAuth 2.0 用於將應用程式存取權授與使用者的資源。
當應用程式裝載於另一個租用戶時,則無法使用單一登入。 如果您的帳戶沒有必要權限 (雲端應用程式系統管理員、應用程式系統管理員或服務主體的擁有者),也無法使用單一登入。 權限也可能導致您可以開啟單一登入卻可能無法儲存的案例。
密碼 - 內部部署應用程式可以使用 SSO 的密碼型方法。 當應用程式針對 [應用程式 Proxy] 設定時,此選項可運作。
若使用密碼式 SSO,使用者在第一次存取應用程式時,要以使用者名稱和密碼來登入。 第一次登入之後,Microsoft Entra ID 就會向應用程式提供使用者名稱和密碼。 密碼式 SSO 可以使用網頁瀏覽器延伸或行動應用程式,安全儲存應用程式的密碼以及重新執行。 此選項會利用應用程式提供的現有登入程序,讓系統管理員可以管理密碼,而不需要使用者知道密碼。 如需詳細資訊,請參閱將密碼式單一登入新增至應用程式。
連結 - 當您在一段時間內移轉應用程式時,連結型登入可提供一致的使用者體驗。 如果您要將應用程式移轉至 Microsoft Entra ID,您可以使用連結型 SSO 快速發佈連結至您想要移轉的所有應用程式。 使用者可以在 [我的應用程式] 或 Microsoft 365 入口網站中找到所有連結。
在使用者使用連結的應用程式進行驗證之後,必須先建立帳戶,才能提供使用者單一登入存取權。 佈建此帳戶可能會自動發生,或可由系統管理員手動進行。 您無法將條件式存取原則或多重要素驗證套用至連結的應用程式,因為連結的應用程式不會透過 Microsoft Entra ID 提供單一登入功能。 當您設定連結的應用程式時,您只需要新增一個連結,即可啟動應用程式。 如需詳細資訊,請參閱將連結式單一登入新增至應用程式。
停用 - 停用 SSO 時,應用程式便無法使用 SSO。 停用單一登入時,使用者可能需要驗證兩次。 首先,使用者會向 Microsoft Entra ID 進行驗證,然後才登入應用程式。
在下列情況下停用 SSO:
您尚未準備好將此應用程式與 Microsoft Entra 單一登入整合
您正在測試應用程式的其他層面
內部部署應用程式不需要使用者進行驗證,但您想要他們進行驗證。 停用 SSO 之後,使用者必須進行驗證。
如果您針對 SP 起始的 SAML 型 SSO 設定應用程式,並將 SSO 模式變更為停用,則不會阻止使用者登入 MyApps 入口網站外部的應用程式。 若要阻止使用者從 [我的應用程式] 入口網站外部登入,您必須停用使用者登入的能力。
規劃 SSO 部署
Web 應用程式由各種公司所裝載,並以服務的形式提供。 Web 應用程式的一些熱門範例包括 Microsoft 365、GitHub 和 Salesforce。 還有數千個項目。 人員在其電腦上使用網頁瀏覽器存取 Web 應用程式。 單一登入可讓使用者在各種 Web 應用程式之間進行瀏覽,而無需多次登入。 如需詳細資訊,請參閱規劃單一登入部署。
您實作 SSO 的方式取決於應用程式裝載的位置。 由於網路流量路由傳送以存取應用程式的方式,所以裝載很重要。 使用者不需要使用網際網路來存取內部部署應用程式 (其裝載於本機網路上)。 如果應用程式裝載在雲端中,則使用者需要網際網路才能使用它。 雲端裝載的應用程式也稱為軟體即服務 (SaaS) 應用程式。
針對雲端應用程式,會使用同盟通訊協定。 您也可以針對內部部署應用程式使用單一登入。 您可以使用 [應用程式 Proxy] 來設定內部部署應用程式的存取權。 如需詳細資訊,請參閱透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式。
我的應用程式
如果您是應用程式的使用者,您可能不會太關心 SSO 詳細資料。 您只想使用無需太常輸入密碼即可提高生產力的應用程式。 您可以在 [我的應用程式] 入口網站中找到及管理您的應用程式。 如需詳細資訊,請參閱登入我的應用程式入口網站並啟動應用程式。