什麼是 Azure Active Directory 中的單一登入?

本文提供您可用的單一登入 (SSO) 選項相關資訊,以及使用 Azure Active Directory (Azure AD) 時規劃單一登入部署的簡介。 單一登入是一種驗證方法,可讓使用者使用一組認證登入多個獨立的軟體系統。 使用 SSO 表示使用者不需要登入其使用的每個應用程式。 使用 SSO 時,使用者可以存取所有必要的應用程式,而不需要使用不同的認證進行驗證。 如需簡介,請參閱 Azure Active Directory 單一登入

許多應用程式都已存在於可搭配 SSO 使用的 Azure AD 中。 您有數個 SSO 選項,取決於應用程式的需求及其實作方式。 在 Azure AD 中建立應用程式之前,請花一些時間規劃 SSO 部署。 使用「我的應用程式」入口網站,可讓您更輕鬆地管理應用程式。

單一登入選項

請根據已為應用程式設定的驗證方式,選擇 SSO 方法。 雲端應用程式可以使用同盟式選項,例如 OpenID Connect、OAuth 和 SAML。 應用程式也可以使用密碼式 SSO、連結型 SSO,或停用 SSO。

  • 同盟 - 當您設定 SSO 以在多個識別提供者之間運作時,這種方式稱為同盟。 以同盟通訊協定為基礎的 SSO 實作可改善安全性、可靠性、終端使用者體驗和實作。

    使用同盟單一登入時,Azure AD 會使用使用者的 Azure AD 帳戶向應用程式驗證使用者。 SAML 2.0、WS-同盟或 OpenID Connect 應用程式都支援此方法。 同盟 SSO 是最豐富的 SSO 模式。 當應用程式支援時,請搭配 Azure AD 使用同盟 SSO,而不是使用密碼式 SSO 和 Active Directory 同盟服務 (AD FS)。

    在某些情況下,企業應用程式不會有 SSO 選項。 如果應用程式是使用入口網站中的 [應用程式註冊] 所註冊,則預設會將單一登入功能設定為使用 OpenID Connect 和 OAuth。 在此情況下,單一登入選項就不會出現在企業應用程式下的導覽中。

    當應用程式裝載於另一個租用戶時,就無法使用單一登入。 如果您的帳戶沒有必要權限 (全域管理員、雲端應用程式管理員、應用程式系統管理員或服務主體的擁有者),也無法使用單一登入。 權限也可能會造成可以開啟單一登入但無法儲存的情況。

  • 密碼 - 內部部署應用程式可以使用密碼式 SSO 方法。 此選項適用於已針對應用程式 Proxy 設定應用程式的情況。

    若使用密碼式 SSO,使用者在第一次存取應用程式時,要以使用者名稱和密碼來登入。 第一次登入之後,Azure AD 就會向應用程式提供使用者名稱和密碼。 密碼式 SSO 可以使用網頁瀏覽器延伸或行動應用程式,安全儲存應用程式的密碼以及重新執行。 此選項會利用應用程式提供的現有登入程序,讓系統管理員可以管理密碼,而不需要使用者知道密碼。 如需詳細資訊,請參閱將密碼式單一登入新增至應用程式

  • 已連結 - 當您於一段時間內移轉應用程式時,連結型登入可以提供一致的使用者體驗。 如果您要將應用程式移轉到 Azure AD,您可以使用連結式 SSO 快速將連結發佈到您想要移轉的所有應用程式。 使用者可以在「我的應用程式」或 Microsoft 365 入口網站中找到所有連結。

    使用者與連結的應用程式驗證之後,需要先建立帳戶,系統才會提供使用者單一登入存取權。 佈建此帳戶可以是自動執行,或是由系統管理員手動執行。 您無法將條件式存取原則或多重要素驗證套用至連結的應用程式,因為連結的應用程式不會透過 Azure AD 提供單一登入功能。 當您設定連結的應用程式時,您只需要新增一個啟動應用程式的連結。 如需詳細資訊,請參閱將連結式單一登入新增至應用程式

  • 已停用 - 停用 SSO 時,應用程式將無法使用。 當單一登入停用時,使用者可能需要驗證兩次。 首先,使用者向 Azure AD 驗證,然後再登入應用程式。

    停用 SSO 的時機:

    • 您尚未準備好將此應用程式與 Azure AD 單一登入整合
    • 您正在測試應用程式的其他層面
    • 內部部署應用程式不需要使用者進行驗證,但您想要這麼做。 停用 SSO 之後,使用者需要進行驗證。

    如果您已針對 SP 起始的 SAML 式 SSO 設定應用程式,並將 SSO 模式變更為停用,使用者還是可以登入 MyApps 入口網站外部的應用程式。 若要達到此目的,您必須停用使用者登入的能力。

規劃 SSO 部署

Web 應用程式由各種公司裝載,並以服務形式提供。 一些熱門的 Web 應用程式範例包括 Microsoft 365、GitHub 和 Salesforce。 還有數以千計的其他範例。 用戶會在電腦上使用網頁瀏覽器來存取 Web 應用程式。 單一登入可讓使用者在各種 Web 應用程式之間瀏覽,而不需要多次登入。 如需詳細資訊,請參閱規劃單一登入部署

您如何實作 SSO 取決於裝載應用程式的位置。 為了存取應用程式而路由傳送網路流量的方式,讓裝載動作變得很重要。 使用者不需要使用網際網路來存取內部部署應用程式 (裝載於區域網路)。 如果應用程式裝載於雲端,則使用者需要網際網路才能使用。 雲端裝載的應用程式也稱為軟體即服務 (SaaS) 應用程式。

針對雲端應用程式,會使用同盟通訊協定。 您也可以針對內部部署應用程式使用單一登入。 您可以使用應用程式 Proxy 來設定內部部署應用程式的存取權。 如需詳細資訊,請參閱透過 Azure AD 應用程式 Proxy 遠端存取內部部署應用程式

我的應用程式

如果您是應用程式的使用者,您可能不太在意 SSO 詳細資料。 您只想要使用應用程式來提高生產力,而不需要這麼頻繁地鍵入密碼。 您可以在「我的應用程式」入口網站中尋找和管理您的應用程式。 如需詳細資訊,請參閱登入我的應用程式入口網站並啟動應用程式

後續步驟