本文提供的資訊可讓您在 entra ID Microsoft 中規劃單一登錄 (SSO) 部署。 當您在 Microsoft Entra ID 中規劃 SSO 部署時,必須考慮下列問題:
- 管理應用程式所需的系統管理角色為何?
- 是否需要更新安全性判斷提示標記語言 (SAML) 應用程式憑證?
- 誰需要收到 SSO 實作相關變更的通知?
- 需要哪些授權才能確保應用程式的有效管理?
- 共用和來賓用戶帳戶是否用來存取應用程式?
- 我是否瞭解 SSO 部署的選項?
管理職務
請一律使用具有可用許可權最少的角色,以在 Microsoft Entra ID 內完成所需的工作。 檢閱可用的不同角色,並為每個應用程式的角色(persona)選擇合適的角色,以滿足其需求。 某些角色可能需要在部署完成後暫時套用並移除。
| 人物形象 | 角色 | Microsoft Entra 角色 (如必要) |
|---|---|---|
| 技術支援中心管理員 | 一級支援檢視登入記錄以解決問題。 | 沒有 |
| 身分識別管理員 | 當問題涉及 Microsoft Entra ID 時,請進行設定和偵錯 | 雲端應用程式管理員 |
| 應用程式管理員 | 應用程式中的用戶證明、用戶的權限設定 | 沒有 |
| 基礎結構系統管理員 | 憑證更新管理者 | 雲端應用程式管理員 |
| 業務擁有者/項目關係人 | 應用程式中的用戶證明、用戶的權限設定 | 沒有 |
若要深入瞭解Microsoft Entra 系統管理角色,請參閱 Microsoft Entra 內建角色。
證書
當您在 SAML 應用程式上啟用同盟時,Microsoft Entra ID 會建立預設有效三年的憑證。 您可以視需要自定義該憑證的到期日。 請確定您已具備在憑證到期前更新憑證的程式。
您可以在 Microsoft Entra 系統管理中心變更該憑證持續時間。 請務必記錄到期日,並瞭解如何管理憑證更新。 請務必識別與管理簽署憑證生命週期相關的正確角色和電子郵件通訊組清單。 建議使用下列角色:
- 更新應用程式中使用者屬性的擁有者
- 應用程式故障排除支援的隨時待命負責人
- 憑證相關變更通知的密切監視電子郵件通訊組清單
建立流程以處理 Microsoft Entra ID 與應用程式之間的憑證變更。 藉由備妥此流程,您可以協助防止或最小化因憑證過期或強制憑證切換而造成的中斷。 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理同盟單一登入的憑證。
通信
通訊對於任何新服務的成功至關重要。 主動與用戶溝通即將推出的體驗變更。 在計劃變更發生之前進行溝通,並遇到問題時如何獲得支援。 檢閱使用者如何存取其已啟用 SSO 的應用程式的選項,並製作您的通訊以符合您的選擇。
實作您的通訊計劃。 請確定您讓使用者知道變更即將來臨、何時抵達,以及現在該怎麼做。 此外,請確定您提供有關如何尋求協助的資訊。
授權
請確定下列授權需求涵蓋應用程式:
Microsoft Entra ID 授權 - 適用於預先整合企業應用程式的 SSO 是免費的。 不過,目錄中的物件數目和您想要部署的功能可能需要更多授權。 如需授權需求的完整清單,請參閱 Microsoft Entra 定價。
應用程式授權 - 您需要適當的授權,您的應用程式才能符合您的業務需求。 請與應用程式擁有者合作,判斷指派給應用程式的使用者是否具有應用程式內角色的適當授權。 如果 Microsoft Entra ID 會根據角色管理自動布建,則 Microsoft Entra ID 中指派的角色必須與應用程式內擁有的授權數量相符。 在布建或更新使用者帳戶期間,應用程式中擁有的授權數目不當可能會導致錯誤。
共享帳戶
從登入的觀點來看,具有共用帳戶的應用程式與針對個別使用者使用密碼 SSO 的企業應用程式並無不同。 不過,規劃及設定應用程式時,需要更多步驟才能使用共享帳戶。
- 請與使用者合作,記錄下列資訊:
- 組織中要使用應用程式的一組使用者。
- 與一組使用者相關聯的應用程式中現有的認證集。
- 針對使用者集和認證的每個組合,根據您的需求,在雲端或內部部署中建立安全組。
- 重設共享認證。 在 Microsoft Entra ID 中部署應用程式後,用戶不需要共用帳戶的密碼。 Microsoft Entra ID 會儲存密碼,您應該考慮將其設定為長而複雜。
- 如果應用程式支援自動更換密碼,請設定自動變換密碼。 如此一來,即使是執行初始設定的系統管理員也不知道共用帳戶的密碼。
單一登錄選項
有數種方式可以設定 SSO 的應用程式。 選擇 SSO 方法取決於應用程式設定驗證的方式。
- 雲端應用程式可以使用 OpenID Connect、OAuth、SAML、密碼型或帳戶連結方式來進行單一登入 (SSO)。 您也可以停用單一登錄。
- 內部部署應用程式可以使用密碼驗證、整合式 Windows 驗證、標頭型驗證或連結型驗證來實現單一登入 (SSO)。 當應用程式已設定應用程式 Proxy 時,內部部署選擇就可運作。
此流程圖可協助您決定最適合您情況的 SSO 方法。
下列 SSO 通訊協定可供使用:
OpenID Connect 和 OAuth - 如果您要連線的應用程式支援 OpenID Connect 和 OAuth 2.0,請選擇它。 如需詳細資訊,請參閱 Microsoft 身分識別平台上的 OAuth 2.0 和 OpenID Connect 通訊協定。 如需實作 OpenID Connect SSO 的步驟,請參閱 在 Microsoft entra ID 中設定應用程式的 OIDC 型單一登錄。
SAML - 請盡可能為不使用 OpenID Connect 或 OAuth 的現有應用程式選擇 SAML。 如需詳細資訊,請參閱 單一登錄 SAML 通訊協定。
密碼型 - 當應用程式具有 HTML 登入頁面時,請選擇密碼型。 密碼型 SSO 也稱為密碼保管。 密碼型 SSO 可讓您管理不支援身分識別同盟之 Web 應用程式的使用者存取和密碼。 在數個使用者需要共用單一帳戶,例如您組織的社交媒體應用程式帳戶時,也很有用。
密碼型 SSO 支援需要多個登入欄位的應用程式,包括那些需要比使用者名稱和密碼欄位更多的欄位才能登入的應用程式。 您可以自定義使用者在輸入其認證時,在我的應用程式上看到的使用者名稱和密碼字段標籤。 如需實作密碼型 SSO 的步驟,請參閱 密碼型單一登錄。
連結 - 當應用程式設定為另一個識別提供者服務中的 SSO 時,選擇連結。 連結的選項可讓您在使用者選取您組織終端使用者入口網站中的應用程式時,設定目標位置。 您可以將連結新增至目前使用同盟的自定義 Web 應用程式,例如 Active Directory 同盟服務 (ADFS)。
您也可以將連結新增至您想要出現在使用者存取面板上的特定網頁,以及不需要驗證的應用程式。 關聯選項不會透過 Microsoft Entra 認證來提供登入功能。 如需實作連結 SSO 的步驟,請參閱 連結的單一登錄。
停用 - 當應用程式尚未準備好設定 SSO 時,請選擇尚未啟用 SSO 的選項。
整合式 Windows 驗證 (IWA) - 針對使用 IWA 的應用程式或支持宣告的應用程式,選擇 IWA 單一登入。 如需詳細資訊,請參閱 使用應用程式 Proxy 的 Kerberos 限制委派來實現單一登入應用程式。
標頭型 - 當應用程式使用標頭進行驗證時,請選擇標頭型單一登錄。 如需詳細資訊,請參閱 標頭型 SSO。