Egyszeri bejelentkezés üzembe helyezésének tervezése

Ez a cikk az egyszeri bejelentkezéses (SSO) üzembe helyezés tervezéséhez használható információkat tartalmaz a Azure Active Directory (Azure AD) szolgáltatásban. Amikor az SSO üzembe helyezését az Azure AD-beli alkalmazásokkal együtt tervezi meg, figyelembe kell vennie a következő kérdéseket:

  • Milyen rendszergazdai szerepkörök szükségesek az alkalmazás kezeléséhez?
  • Meg kell újítani a tanúsítványt?
  • Who az SSO megvalósításával kapcsolatos változásokról?
  • Milyen licencek szükségesek az alkalmazás hatékony felügyeletéhez?
  • Megosztott felhasználói fiókokkal fér hozzá az alkalmazáshoz?
  • Megértettem az SSO üzembe helyezésének lehetőségeit?

Rendszergazdai szerepkörök

Mindig használja a szerepkört a rendelkezésre álló legrövidebb engedélyekkel az Azure AD-ban szükséges feladatok végrehajtásához. Tekintse át a rendelkezésre álló szerepköröket, és válassza ki a megfelelőt az alkalmazás minden egyes személyre vonatkozó igényeinek megoldásához. Előfordulhat, hogy egyes szerepköröket ideiglenesen kell alkalmazni, és el kell távolítani őket az üzembe helyezés befejezése után.

Persona Szerepkörök Azure AD-szerepkör (ha szükséges)
Ügyfélszolgálati rendszergazda 1. rétegbeli támogatás None
Identitás-rendszergazda Konfigurálás és hibakeresés az Azure AD-t is érintő problémákhoz Globális rendszergazda
Alkalmazás-rendszergazda Felhasználói igazolás az alkalmazásban, konfigurálás engedélyekkel rendelkező felhasználókon None
Infrastruktúra-rendszergazdák Tanúsítványváltás tulajdonosa Globális rendszergazda
Üzlettulajdonos/érintett Felhasználói igazolás az alkalmazásban, konfigurálás engedélyekkel rendelkező felhasználókon None

Az Azure AD beépített szerepköreit ismertető cikkben további információt talál az Azure AD rendszergazdai szerepköreiről.

Tanúsítványok

Ha engedélyezi az összevont SSO-t az alkalmazáshoz, az Azure AD létrehoz egy tanúsítványt, amely alapértelmezés szerint három évig érvényes. Szükség esetén testre szabhatja a tanúsítvány lejárati dátumát. Győződjön meg arról, hogy a tanúsítványok lejáratuk előtt megújulnak folyamatok.

Ezt a tanúsítvány-időtartamot a következő Azure Portal. Mindenképpen dokumentálja a lejáratot, és tudja, hogyan fogja kezelni a tanúsítvány megújítását. Fontos azonosítani az aláíró tanúsítvány életciklusának kezeléséhez szükséges megfelelő szerepköröket és e-mail-terjesztési listákat. A következő szerepkörök használata ajánlott:

  • Tulajdonos az alkalmazás felhasználói tulajdonságainak frissítéséhez
  • Tulajdonosi on-call alkalmazás hibaelhárítási támogatásához
  • A tanúsítvánnyal kapcsolatos változásértesítések szorosan figyelt e-mail-terjesztési listája

Állítson be egy folyamatot arra, hogyan fogja kezelni a tanúsítványváltást az Azure AD és az alkalmazás között. Ezzel a folyamattal megelőzheti vagy minimalizálhatja a tanúsítvány lejárata vagy a tanúsítvány kényszerítettváltása miatti kimaradást. További információ: Tanúsítványok kezelése összevont egyszeri bejelentkezéshez a Azure Active Directory.

Kommunikáció

A kommunikáció kritikus fontosságú az új szolgáltatások sikerességéhez. Proaktív módon kommunikálhat a felhasználókkal arról, hogy a felhasználói élmény hogyan fog változni. Kommunikálja, hogy mikor változik, és hogyan lehet támogatást szerezni, ha problémákat tapasztalnak. Tekintse át a beállításokat, hogy a felhasználók hogyan férhetnek hozzá az SSO-kompatibilis alkalmazásaikhoz, és a kiválasztott beállításoknak megfelelő kommunikációt készítse el.

Implementálja a kommunikációs tervet. Mindenképpen tudtossa a felhasználókkal, hogy változások érkeznek, amikor megérkeztek, és hogy mit kell tenni. Emellett mindenképpen adjon meg információkat arról, hogyan kérjen segítséget.

Licencek

Győződjön meg arról, hogy az alkalmazásra a következő licencelési követelmények vonatkoznak:

  • Azure AD-licencelés – Az előre integrált vállalati alkalmazásokhoz ingyenes az SSO. Előfordulhat azonban, hogy a címtárban lévő objektumok száma és a telepíteni kívánt funkciók több licencet igényelnek. A licenckövetelmények teljes listáját a díjszabást Azure Active Directory meg.

  • Alkalmazáslicencelés – Az üzleti igényeknek megfelelő licencekre lesz szüksége az alkalmazásokhoz. Az alkalmazás tulajdonosával együtt állapítsa meg, hogy az alkalmazáshoz rendelt felhasználók megfelelő licenccel rendelkezik-e a szerepkörükhöz az alkalmazásban. Ha az Azure AD a szerepkörök alapján kezeli az automatikus kiépítést, az Azure AD-ban hozzárendelt szerepköröknek igazodniuk kell az alkalmazáson belüli licencek számához. Az alkalmazásban birtokolt licencek nem megfelelő száma hibákhoz vezethet egy felhasználói fiók kiépítése vagy frissítése során.

Közös fiókok

A bejelentkezés szempontjából a megosztott fiókkal rendelkező alkalmazások nem különböznek az egyéni felhasználók jelszavas SSO-t használó vállalati alkalmazásoktól. A megosztott fiókok használatára szánt alkalmazások tervezésekor és konfigurálásakor azonban további lépésekre van szükség.

  • A felhasználókkal való munka során dokumentálja a következő információkat:
    • A szervezetben az alkalmazást használó felhasználók halmaza.
    • Az alkalmazásban meglévő hitelesítő adatok, amelyek a felhasználók halmazához vannak társítva.
  • A felhasználói csoportok és a hitelesítő adatok minden kombinációjához hozzon létre egy biztonsági csoportot a felhőben vagy a helyszínen az igényeinek megfelelően.
  • Állítsa alaphelyzetbe a megosztott hitelesítő adatokat. Az alkalmazás Azure AD-beli üzembe helyezését követően az egyéneknek nincs szükségük a megosztott fiók jelszavára. Az Azure AD tárolja a jelszót, és érdemes megfontolni a hosszú és összetett beállítását.
  • Konfigurálja a jelszó automatikus feladatátvételét, ha az alkalmazás támogatja. Így még a kezdeti beállítást el is telepítő rendszergazda nem ismeri a megosztott fiók jelszavát.

Az egyszeri bejelentkezés beállításai

Az alkalmazásokat többféleképpen is konfigurálhatja az SSO-val. Az SSO-módszer kiválasztása attól függ, hogy az alkalmazás hogyan van konfigurálva a hitelesítéshez.

  • A felhőalkalmazások OpenID-Csatlakozás, OAuth-, SAML-, jelszóalapú vagy SSO-kapcsolattal összekapcsolt alkalmazásokat használhatnak. Az egyszeri bejelentkezés is letiltható.
  • A helyszíni alkalmazások használhatnak jelszóalapú, integrált Windows hitelesítést, fejlécalapú, SSO-val összekapcsolva. A helyszíni beállítások akkor működnek, ha az alkalmazások konfigurálva vannak a alkalmazásproxy.

Ez a folyamatábra segít eldönteni, melyik SSO-módszer a legmegfelelőbb az Ön helyzetére.

Döntési folyamatábra az egyszeri bejelentkezési módszerhez

A következő SSO-protokollok használhatók:

  • OpenID Csatlakozás és OAuth – Válassza az OpenID Csatlakozás és az OAuth 2.0 lehetőséget, ha az alkalmazás, amelyhez csatlakozik, támogatja azt. További információ: OAuth 2.0 és OpenID Csatlakozás protokollok a Microsoft Identitásplatform. Az OpenID és az SSO Csatlakozás lépéseit lásd: OIDC-alapúegyszeri bejelentkezés beállítása egy alkalmazáshoz a Azure Active Directory.

  • SAML – Amikor csak lehetséges, válassza az SAML-t az OpenID-t vagy OAuth-t nem Csatlakozás alkalmazásokhoz. További információ: Egy Sign-On SAML protokoll. Az SAML SSO bevezetésének rövid bemutatásáért lásd: Rövid útmutató: SAML-alapúegyszeri bejelentkezés beállítása egy alkalmazáshoz a Azure Active Directory.

  • Jelszóalapú – Válassza a jelszóalapú lehetőséget, ha az alkalmazás html bejelentkezési oldalval rendelkezik. A jelszóalapú SSO más néven jelszótartó. A jelszóalapú SSO lehetővé teszi az identitás-összevonást nem támogató webalkalmazások felhasználói hozzáférésének és jelszavának kezelését. Akkor is hasznos, ha több felhasználónak kell egyetlen fiókot megosztania, például a szervezet közösségimédia-alkalmazásfiókja esetében.

    A jelszóalapú SSO támogatja azokat az alkalmazásokat, amelyek több bejelentkezési mezőt igényelnek az olyan alkalmazásokhoz, amelyek nem csak felhasználónév- és jelszómezőket igényelnek a bejelentkezéshez. Testreszabhatja a felhasználók által a hitelesítő adatok megadásakor a Saját alkalmazások és jelszómezők címkéit. A jelszóalapú egyszeri bejelentkezés implementálja a lépéseket: Jelszóalapú egyszeri bejelentkezés.

  • Csatolt – Akkor válassza a csatolt lehetőséget, ha az alkalmazás egy másik identitásszolgáltatói szolgáltatásban van konfigurálva az SSO-hez. A csatolt beállítással konfigurálhatja a célhelyet, amikor egy felhasználó kiválasztja az alkalmazást a szervezet portálján. Hozzáadhat olyan egyéni webalkalmazásra mutató hivatkozást, amely jelenleg összevonást használ, például Active Directory összevonási szolgáltatások (AD FS) (AD FS).

    Hivatkozásokat is hozzáadhat olyan weblapokhoz, amelyek megjelennek a felhasználó hozzáférési paneljein, illetve egy olyan alkalmazáshoz, amely nem igényel hitelesítést. A Csatolt beállítás nem biztosít bejelentkezési funkciókat az Azure AD hitelesítő adataival. A csatolt egyszeri bejelentkezés implementálja a következőt: Összekapcsolt egyszeri bejelentkezés.

  • Letiltva – Válassza a letiltott SSO-t, ha az alkalmazás nem áll készen az SSO-hoz való konfigurálásra.

  • Integrált Windows hitelesítés (IWA) – Válassza az IWA egyszeri bejelentkezést az IWA-t vagy jogcímeket tisztában veleő alkalmazásokhoz. További információ: Kerberos általkorlátozott delegálás az alkalmazásokba való egyszeri bejelentkezéshez a alkalmazásproxy.

  • Fejlécalapú – Fejlécalapú egyszeri bejelentkezést választhat, ha az alkalmazás fejléceket használ a hitelesítéshez. További információ: Fejlécalapú SSO.

Következő lépések