Mit jelent az egyszeri bejelentkezés Azure Active Directory?

Ez a cikk az egyszeri bejelentkezés (SSO) lehetőségeiről nyújt tájékoztatást, és bevezetőt nyújt az egyszeri bejelentkezés üzembe helyezésének megtervezésébe az Azure Active Directory (Azure AD) használata során. Az egyszeri bejelentkezés egy hitelesítési módszer, amely lehetővé teszi, hogy a felhasználók egyetlen hitelesítőadat-készlet használatával jelentkezzenek be több független szoftverrendszerbe. Az SSO használata azt jelenti, hogy a felhasználónak nem kell minden alkalmazásba bejelentkeznie. Az SSO-val a felhasználók anélkül férhetnek hozzá az összes szükséges alkalmazáshoz, hogy különböző hitelesítő adatokkal kell hitelesíteniük magukat. Röviden bevezetőként tekintse meg az egyszeri Azure Active Directory történő bejelentkezést.

Számos alkalmazás már létezik az Azure AD-ban, amelyek használhatók az SSO-val. Az SSO többféle módon is elérhető az alkalmazás igényeitől és a megvalósításaiktól függően. Mielőtt alkalmazásokat hoz létre az Azure AD-ban, tervezze meg az SSO üzembe helyezését. Az alkalmazások kezelése egyszerűbben kezelhető a portál Saját alkalmazások használatával.

Az egyszeri bejelentkezés beállításai

Az SSO-módszer kiválasztása attól függ, hogy az alkalmazás hogyan van konfigurálva a hitelesítéshez. A felhőalkalmazások olyan összevonás-alapú beállításokat használhatnak, mint az OpenID Csatlakozás, az OAuth és az SAML. Az alkalmazás jelszóalapú SSO-t, csatolt alapú SSO-t vagy SSO-t is használhat, amely letiltható.

  • Összevonás – Ha több identitásszolgáltató közötti SSO-t is beállít, összevonásnak nevezzük. Az összevonási protokollokra épülő SSO-implementáció javítja a biztonságot, a megbízhatóságot, a végfelhasználói élményt és az implementációt.

    Az összevont egyszeri bejelentkezéssel az Azure AD az Azure AD-fiókkal hitelesíti a felhasználót az alkalmazásban. Ez a módszer saml 2.0,WS-Federation vagy OpenID Csatlakozás támogatott. Az összevont SSO az SSO leggazdagabb módja. Használjon összevont SSO-t az Azure AD-val, ha azt egy alkalmazás támogatja jelszóalapú SSO és Active Directory összevonási szolgáltatások (AD FS) (AD FS).

    Vannak olyan forgatókönyvek, amelyekben az SSO beállítás nincs jelen vállalati alkalmazásokhoz. Ha az alkalmazást a portálon Alkalmazásregisztrációk regisztrálták, akkor az egyszeri bejelentkezés funkció alapértelmezés szerint OpenID Csatlakozás OAuth használatára van konfigurálva. Ebben az esetben az egyszeri bejelentkezés nem jelenik meg a vállalati alkalmazások alatti navigációs sávon.

    Az egyszeri bejelentkezés nem érhető el, ha egy alkalmazást egy másik bérlő üzemeltet. Az egyszeri bejelentkezés akkor sem érhető el, ha a fiókja nem rendelkezik a szükséges engedélyekkel (globális rendszergazda, felhőalkalmazás-rendszergazda, alkalmazás-rendszergazda vagy a szolgáltatásnév tulajdonosa). Az engedélyek olyan forgatókönyvet is okozhatnak, amelyben meg lehet nyitni az egyszeri bejelentkezést, de nem lehet menteni.

  • Jelszó – A helyszíni alkalmazások jelszóalapú módszert használhatnak az SSO-hez. Ez a választás akkor működik, ha az alkalmazások konfigurálva vannak alkalmazásproxy.

    A jelszóalapú SSO-val a felhasználók az első hozzáférésükkor felhasználónévvel és jelszóval jelentkeznek be az alkalmazásba. Az első bejelentkezés után az Azure AD adja meg az alkalmazás felhasználónevét és jelszavát. A jelszóalapú SSO biztonságos alkalmazásjelszó-tárolást tesz lehetővé, és visszajátszást tesz lehetővé webböngészőbővítmény vagy mobilalkalmazás használatával. Ez a beállítás az alkalmazás által biztosított meglévő bejelentkezési folyamatot használja, lehetővé teszi a rendszergazda számára a jelszavak kezelését, és nem követeli meg, hogy a felhasználó tudja a jelszót. További információ: Jelszóalapú egyszeri bejelentkezés hozzáadása egy alkalmazáshoz.

  • Összekapcsolt – A csatolt bejelentkezés konzisztens felhasználói élményt nyújthat az alkalmazások adott időszakra vonatkozó áttelepítése során. Ha alkalmazásokat minál az Azure AD-be, csatolt SSO használatával gyorsan közzétehet hivatkozásokat az összes átemelni kívánt alkalmazásra. A felhasználók az összes hivatkozást megtalálják a Saját alkalmazások vagy Microsoft 365 portálon.

    Miután egy felhasználó hitelesített egy csatolt alkalmazással, létre kell hozva egy fiókot, mielőtt egyszeri bejelentkezési hozzáférést biztosítanának a felhasználónak. A fiók kiépítése történhet automatikusan, vagy egy rendszergazda manuálisan. Nem alkalmazhat feltételes hozzáférési szabályzatokat vagy többtényezős hitelesítést egy csatolt alkalmazásra, mert a csatolt alkalmazások nem biztosítanak egyszeri bejelentkezési képességeket az Azure AD-on keresztül. Csatolt alkalmazás konfigurálásakor egyszerűen hozzáad egy hivatkozást, amely megjelenik az alkalmazás elindításához. További információ: Összekapcsolt egyszeri bejelentkezés hozzáadása egy alkalmazáshoz.

  • Letiltva – Ha az SSO le van tiltva, az nem érhető el az alkalmazáshoz. Ha az egyszeri bejelentkezés le van tiltva, előfordulhat, hogy a felhasználóknak kétszer kell hitelesítenie magukat. Először a felhasználók hitelesítik magukat az Azure AD-ban, majd bejelentkeznek az alkalmazásba.

    Az SSO letiltása a következőkor:

    • Még nem áll készen az alkalmazás Azure AD egyszeri bejelentkezéssel való integrálására
    • Az alkalmazás egyéb aspektusait teszteli
    • A helyszíni alkalmazások nem követelik meg a felhasználók hitelesítését, de ön ezt szeretné. Ha az SSO le van tiltva, a felhasználónak hitelesítenie kell magát.

    Ha konfigurálta az alkalmazást az SP által kezdeményezett SAML-alapú SSO-hoz, és letiltottra módosítja az SSO módot, az nem fogja megakadályozni, hogy a felhasználók a MyApps portálon kívülről jelentkeznek be az alkalmazásba. Ehhez le kell tiltania a felhasználók bejelentkezésének képességét.

Az SSO üzembe helyezésének megterve

A webalkalmazásokat különböző vállalatok üzemeltetik, és szolgáltatásként érhetők el. Néhány népszerű webalkalmazás például a Microsoft 365, a GitHub és a Salesforce. Több ezer másik van. A felhasználók webböngészővel férnek hozzá a webalkalmazásukhoz a számítógépükről. Az egyszeri bejelentkezés lehetővé teszi, hogy a felhasználók többszöri bejelentkezés nélkül navigáljon a különböző webalkalmazások között. További információ: Plan a single sign-on deployment (Egyszeri bejelentkezéses üzembe helyezés megterve).

Az SSO implementációja attól függ, hogy hol üzemel az alkalmazás. Az üzemeltetés fontos, mert a hálózati forgalom az alkalmazáshoz való hozzáféréshez van irányítva. A felhasználóknak nem kell az internetet használnia a (helyi hálózaton üzemeltetett) helyszíni alkalmazások eléréséhez. Ha az alkalmazás a felhőben üzemel, a felhasználóknak az internetre van szükségük a használathoz. A felhőben üzemeltetett alkalmazásokat SaaS-alkalmazásoknak is nevezik.

Felhőalkalmazások esetén összevonási protokollokat használnak. Helyszíni alkalmazásokhoz egyszeri bejelentkezést is használhat. A alkalmazásproxy konfigurálhatja a helyszíni alkalmazáshoz való hozzáférést. További információ: Távoli hozzáférés helyszíni alkalmazásokhoz az Azure AD-alkalmazásproxy.

Saját alkalmazások

Ha Ön egy alkalmazás felhasználója, valószínűleg nem igazán érdeklik az SSO részletei. Csak olyan alkalmazásokat szeretne használni, amelyek hatékonyabbá teszik a munkavégzést anélkül, hogy ilyen sok jelszót begépelné. Az alkalmazásokat a portálon Saját alkalmazások kezelheti. További információ: Bejelentkezés és alkalmazások kezdése a Saját alkalmazások portálról.

Következő lépések