Plánování nasazení jednotného přihlašování

Tento článek obsahuje informace, které můžete použít k plánování nasazení jednotného přihlašování (SSO) v Azure Active Directory (Azure AD). Při plánování nasazení jednotného přihlašování s aplikacemi v Azure AD je potřeba zvážit tyto otázky:

  • Jaké jsou role pro správu vyžadované pro správu aplikace?
  • Je potřeba certifikát obnovit?
  • Kdo musí být upozorněn na změny související s implementací jednotného přihlašování?
  • Jaké licence jsou potřeba k zajištění efektivní správy aplikace?
  • Používají se sdílené uživatelské účty pro přístup k aplikaci?
  • Rozumím možnostem nasazení jednotného přihlašování?

Role pro správu

Roli vždy používejte s nejmenšími dostupnými oprávněními k provedení požadované úlohy v Rámci Azure AD. Projděte si různé role, které jsou k dispozici, a zvolte ten správný, který vám umožní vyřešit vaše potřeby pro každou osobu aplikace. Po dokončení nasazení může být potřeba některé role dočasně použít a odebrat.

Persona Role Role Azure AD (v případě potřeby)
Správce helpdesku Podpora vrstvy 1 Žádné
Správce identit Konfigurace a ladění v případech, kdy problémy zahrnují Azure AD Globální správce
Správce aplikace Ověření identity uživatele v aplikaci, konfigurace pro uživatele s oprávněními Žádné
Správci infrastruktury Vlastník vrácení certifikátu Globální správce
Vlastník firmy/účastník Ověření identity uživatele v aplikaci, konfigurace pro uživatele s oprávněními Žádné

Další informace o rolích pro správu Azure AD najdete v tématu Předdefinované role Azure AD.

Certifikáty

Když povolíte federované jednotné přihlašování pro vaši aplikaci, Azure AD vytvoří certifikát, který je ve výchozím nastavení platný po dobu tří let. V případě potřeby můžete přizpůsobit datum vypršení platnosti tohoto certifikátu. Před vypršením platnosti se ujistěte, že máte procesy k obnovení certifikátů.

Dobu trvání certifikátu změníte na webu Azure Portal. Nezapomeňte zdokumentovat vypršení platnosti a vědět, jak budete spravovat prodloužení platnosti certifikátu. Je důležité identifikovat správné role a seznamy distribuce e-mailů, které se týkají správy životního cyklu podpisového certifikátu. Doporučuje se následující role:

  • Vlastník pro aktualizaci vlastností uživatele v aplikaci
  • Podpora řešení potíží s řešením potíží s aplikací v rámci volání vlastníka
  • Pečlivě monitorovaný distribuční seznam e-mailů pro oznámení o změnách souvisejících s certifikáty

Nastavte proces, jak budete zpracovávat změnu certifikátu mezi Azure AD a vaší aplikací. Díky tomu, že budete mít tento proces na místě, můžete pomoct zabránit nebo minimalizovat výpadky kvůli vypršení platnosti certifikátu nebo vynuceného vrácení certifikátu. Další informace najdete v tématu Správa certifikátů pro federované jednotné přihlašování v Azure Active Directory.

Komunikace

Komunikace je důležitá pro úspěch jakékoli nové služby. Proaktivně komunikujte s uživateli o tom, jak se jejich prostředí změní. Komunikujte, kdy se změní a jak získat podporu, pokud dojde k problémům. Projděte si možnosti přístupu uživatelů k aplikacím s podporou jednotného přihlašování a vytvořte komunikaci tak, aby odpovídala vašemu výběru.

Implementujte svůj komunikační plán. Ujistěte se, že uživatelům dáte vědět, že přichází změna, až přijde, a co teď udělat. Také se ujistěte, že zadáte informace o tom, jak vyhledat pomoc.

Licencování

Ujistěte se, že je aplikace pokryta následujícími licenčními požadavky:

  • Licencování Azure AD – jednotné přihlašování pro předem integrované podnikové aplikace je zdarma. Počet objektů v adresáři a funkce, které chcete nasadit, ale můžou vyžadovat více licencí. Úplný seznam licenčních požadavků najdete v tématu Ceny služby Azure Active Directory.

  • Licencování aplikací – budete potřebovat odpovídající licence pro vaše aplikace, aby vyhovovaly vašim obchodním potřebám. Spolupracujte s vlastníkem aplikace a zjistěte, jestli mají uživatelé přiřazené aplikaci odpovídající licence pro jejich role v rámci aplikace. Pokud Azure AD spravuje automatické zřizování na základě rolí, musí role přiřazené v Azure AD odpovídat počtu licencí vlastněných v rámci aplikace. Nesprávný počet licencí vlastněných v aplikaci může vést k chybám při zřizování nebo aktualizaci uživatelského účtu.

Sdílené účty

Z hlediska přihlašování se aplikace se sdílenými účty neliší od podnikových aplikací, které používají jednotné přihlašování pomocí hesla pro jednotlivé uživatele. Při plánování a konfiguraci aplikace, která má používat sdílené účty, se ale vyžadují další kroky.

  • Pracujte s uživateli a dokumentujte následující informace:
    • Sada uživatelů v organizaci, kteří budou aplikaci používat.
    • Stávající sada přihlašovacích údajů v aplikaci přidružená k sadě uživatelů.
  • Pro každou kombinaci sady uživatelů a přihlašovacích údajů vytvořte skupinu zabezpečení v cloudu nebo v místním prostředí na základě vašich požadavků.
  • Resetujte sdílené přihlašovací údaje. Po nasazení aplikace v Azure AD uživatelé nepotřebují heslo sdíleného účtu. Azure AD ukládá heslo a měli byste zvážit jeho nastavení na dlouhé a složité.
  • Pokud aplikace podporuje, nakonfigurujte automatické převrácení hesla. Tak ani správce, který provedl počáteční nastavení, zná heslo sdíleného účtu.

Možnosti jednotného přihlašování

Jednotné přihlašování můžete pro aplikaci povolit několika způsoby. Výběr metody jednotného přihlašování závisí na tom, jakým způsobem je pro aplikaci nakonfigurované ověřování.

  • Cloudové aplikace můžou využívat jednotné ověřování založené na OpenID Connect, OAuth, SAML, heslech nebo propojení. Jednotné přihlašování je možné také zakázat.
  • Místní aplikace můžou využívat jednotné ověřování založené na heslech, Integrovaném ověřování Windows, hlavičkách nebo propojení. Místní možnosti fungují v případě, že jsou aplikace nakonfigurované pro proxy aplikací.

Při rozhodování, která metoda jednotného přihlašování je pro vaši situaci nejvhodnější, vám může pomoct tento vývojový diagram.

Decision flowchart for single sign-on method

K dispozici jsou následující protokoly jednotného přihlašování:

  • OpenID Connect a OAuth – Zvolte OpenID Connect a OAuth 2.0, pokud ji aplikace, ke které se připojujete, podporuje. Další informace najdete v tématu Protokoly OAuth 2.0 a OpenID Connect na platformě Microsoft Identity Platform. Postup implementace jednotného přihlašování openID Connect najdete v tématu Nastavení jednotného přihlašování založeného na OIDC pro aplikaci v Azure Active Directory.

  • SAML – Zvolte SAML , kdykoli je to možné u stávajících aplikací, které nepoužívají OpenID Connect nebo OAuth. Další informace najdete v tématu Jeden Sign-On protokol SAML.

  • Založené na heslech – Zvolte heslo, pokud má aplikace přihlašovací stránku HTML. Jednotné přihlašování založené na heslech se také označuje jako trezor hesel. Jednotné přihlašování založené na heslech umožňuje spravovat přístup uživatelů a hesla k webovým aplikacím, které nepodporují federaci identit. Je také užitečné, když několik uživatelů potřebuje sdílet jeden účet, například do účtů aplikací sociálních médií vaší organizace.

    Jednotné přihlašování založené na heslech podporuje aplikace, které vyžadují více přihlašovacích polí pro aplikace, které vyžadují více než jen pole uživatelského jména a hesla pro přihlášení. Popisky polí uživatelského jména a hesla, která uživatelé uvidí, můžete přizpůsobit, když zadají svoje přihlašovací údaje. Postup implementace jednotného přihlašování založeného na heslech najdete v tématu Jednotné přihlašování založené na heslech.

  • Propojené – Zvolte propojení, když je aplikace nakonfigurovaná pro jednotné přihlašování v jiné službě zprostředkovatele identity. Možnost propojeného přihlašování umožňuje nakonfigurovat cílové umístění, když uživatel vybere aplikaci na portálech vaší organizace. Můžete přidat odkaz na vlastní webovou aplikaci, která aktuálně využívá federaci, například Active Directory Federation Services (AD FS).

    Můžete také přidat odkazy na konkrétní webové stránky, které chcete, aby se zobrazily na přístupových panelech uživatele, a na aplikaci, která nevyžaduje ověřování. Možnost propojeného přihlašování neumožňuje přihlašování pomocí přihlašovacích údajů Azure AD. Postup implementace propojeného jednotného přihlašování najdete v tématu Propojené jednotné přihlašování.

  • Zakázáno – Pokud aplikace není připravená ke konfiguraci jednotného přihlašování, zvolte zakázané jednotné přihlašování.

  • Integrované ověřování systému Windows (IWA) – Zvolte jednotné přihlašování IWA pro aplikace, které používají IWA, nebo pro aplikace pracující s deklaracemi. Další informace najdete v tématu Omezené delegování protokolu Kerberos pro jednotné přihlašování k aplikacím pomocí proxy aplikací.

  • Založené na hlavičce – Zvolte jednotné přihlašování založené na hlavičce, když aplikace používá hlavičky pro ověřování. Další informace najdete v tématu Jednotné přihlašování založené na hlavičce.

Další kroky