Wat is eenmalige aanmelding in Azure Active Directory?

Dit artikel bevat informatie over de opties voor eenmalige aanmelding (SSO) die voor u beschikbaar zijn en een inleiding tot het plannen van een implementatie van eenmalige aanmelding bij het gebruik van Azure Active Directory (Azure AD). Eenmalige aanmelding is een verificatiemethode waarmee gebruikers zich met één set referenties kunnen aanmelden bij meerdere onafhankelijke softwaresystemen. Eenmalige aanmelding betekent dat een gebruiker zich niet hoeft aan te melden bij elke toepassing die hij/zij gebruikt. Met eenmalige aanmelding hebben gebruikers toegang tot alle benodigde toepassingen zonder dat ze met andere referenties hoeven te verifiëren. Zie Eenmalige aanmelding van Azure Active Directory voor een korte inleiding.

Er bestaan al veel toepassingen in Azure AD die u kunt gebruiken met eenmalige aanmelding. U hebt verschillende opties voor eenmalige aanmelding, afhankelijk van de behoeften van de toepassing en hoe deze wordt geïmplementeerd. Neem de tijd om uw SSO-implementatie te plannen voordat u toepassingen maakt in Azure AD. Het beheer van toepassingen kan eenvoudiger worden gemaakt met behulp van de portal Mijn apps.

Opties voor eenmalige aanmelding

Het kiezen van een methode voor eenmalige aanmelding is afhankelijk van de wijze waarop de toepassing is geconfigureerd voor verificatie. Cloudtoepassingen kunnen federatieve opties gebruiken, zoals OpenID Connect, OAuth en SAML. De toepassing kan ook eenmalige aanmelding op basis van een wachtwoord, gekoppelde eenmalige aanmelding of eenmalige aanmelding gebruiken.

  • Federatie : wanneer u eenmalige aanmelding instelt voor gebruik tussen meerdere id-providers, wordt dit federatie genoemd. Een SSO-implementatie op basis van federatieprotocollen verbetert de beveiliging, betrouwbaarheid, ervaringen van eindgebruikers en implementatie.

    Met federatieve eenmalige aanmelding verifieert Azure AD de gebruiker bij de toepassing met behulp van hun Azure AD-account. Deze methode wordt ondersteund voor SAML 2.0-, WS-Federation- of OpenID Connect-toepassingen . Federatieve eenmalige aanmelding is de rijkste modus van SSO. Gebruik federatieve eenmalige aanmelding met Azure AD wanneer een toepassing dit ondersteunt, in plaats van eenmalige aanmelding op basis van wachtwoorden en Active Directory Federation Services (AD FS).

    Er zijn enkele scenario's waarin de optie voor eenmalige aanmelding niet aanwezig is voor een bedrijfstoepassing. Als de toepassing is geregistreerd met app-registraties in de portal, is de mogelijkheid voor eenmalige aanmelding standaard geconfigureerd voor het gebruik van OpenID Connect en OAuth. In dit geval wordt de optie voor eenmalige aanmelding niet weergegeven in de navigatie onder bedrijfstoepassingen.

    Eenmalige aanmelding is niet beschikbaar wanneer een toepassing wordt gehost in een andere tenant. Eenmalige aanmelding is ook niet beschikbaar als uw account niet over de vereiste machtigingen beschikt (globale beheerder, cloudtoepassingsbeheerder, toepassingsbeheerder of eigenaar van de service-principal). Machtigingen kunnen ook een scenario veroorzaken waarin u eenmalige aanmelding kunt openen, maar niet kunt opslaan.

  • Wachtwoord : on-premises toepassingen kunnen een methode op basis van een wachtwoord gebruiken voor eenmalige aanmelding. Deze keuze werkt wanneer toepassingen zijn geconfigureerd voor toepassingsproxy.

    Bij eenmalige aanmelding op basis van een wachtwoord melden gebruikers zich aan bij de toepassing met een gebruikersnaam en wachtwoord wanneer ze deze voor de eerste keer gaan gebruiken. Na de eerste aanmelding levert Azure AD de gebruikersnaam en het wachtwoord voor de toepassing. Bij eenmalige aanmelding op basis van een wachtwoord is beveiligde toepassingswachtwoordopslag en -herhaling mogelijk door middel van een webbrowserextensie of mobiele app. Deze optie maakt gebruik van het bestaande aanmeldingsproces dat door de toepassing wordt geleverd, stelt een beheerder in staat om de wachtwoorden te beheren en vereist niet dat de gebruiker het wachtwoord kent. Zie Eenmalige aanmelding op basis van een wachtwoord toevoegen aan een toepassing voor meer informatie.

  • Gekoppelde - gekoppelde aanmelding kan een consistente gebruikerservaring bieden tijdens het migreren van toepassingen gedurende een bepaalde periode. Als u toepassingen migreert naar Azure AD, kunt u eenmalige aanmelding op basis van gekoppelde toepassingen gebruiken om snel koppelingen te publiceren naar alle toepassingen die u wilt migreren. Gebruikers kunnen alle koppelingen vinden in mijn apps of Microsoft 365-portals.

    Nadat een gebruiker is geverifieerd met een gekoppelde toepassing, moet er een account worden gemaakt voordat de gebruiker eenmalige aanmeldingstoegang krijgt. Het inrichten van dit account kan automatisch plaatsvinden of kan handmatig worden uitgevoerd door een beheerder. U kunt geen beleid voor voorwaardelijke toegang of meervoudige verificatie toepassen op een gekoppelde toepassing omdat een gekoppelde toepassing geen mogelijkheden voor eenmalige aanmelding biedt via Azure AD. Wanneer u een gekoppelde toepassing configureert, voegt u gewoon een koppeling toe die wordt weergegeven voor het starten van de toepassing. Zie Gekoppelde eenmalige aanmelding toevoegen aan een toepassing voor meer informatie.

  • Uitgeschakeld : wanneer eenmalige aanmelding is uitgeschakeld, is deze niet beschikbaar voor de toepassing. Wanneer eenmalige aanmelding is uitgeschakeld, moeten gebruikers mogelijk twee keer worden geverifieerd. Eerst moeten gebruikers zich verifiëren bij Azure AD en vervolgens melden ze zich aan bij de toepassing.

    Eenmalige aanmelding uitschakelen wanneer:

    • U bent niet klaar om deze toepassing te integreren met eenmalige aanmelding van Azure AD
    • U test andere aspecten van de toepassing
    • Voor een on-premises toepassing hoeven gebruikers zich niet te verifiëren, maar u wilt dat ze dat doen. Als eenmalige aanmelding is uitgeschakeld, moet de gebruiker zich verifiëren.

    Als u de toepassing hebt geconfigureerd voor door SP geïnitieerde eenmalige aanmelding op basis van SAML en u de modus voor eenmalige aanmelding wijzigt zodat deze is uitgeschakeld, wordt voorkomen dat gebruikers zich aanmelden bij de toepassing buiten de MyApps-portal. Hiervoor moet u de mogelijkheid uitschakelen voor gebruikers om zich aan te melden.

SSO-implementatie plannen

Webtoepassingen worden gehost door verschillende bedrijven en worden beschikbaar gesteld als een service. Enkele populaire voorbeelden van webtoepassingen zijn Microsoft 365, GitHub en Salesforce. Er zijn duizenden anderen. Personen openen webtoepassingen via een webbrowser op hun computer. Met eenmalige aanmelding kunnen personen tussen de verschillende webtoepassingen navigeren zonder dat ze zich meerdere keren hoeven aan te melden. Zie Een implementatie van eenmalige aanmelding plannen voor meer informatie.

Hoe u eenmalige aanmelding implementeert, is afhankelijk van waar de toepassing wordt gehost. Hosting is belangrijk vanwege de manier waarop netwerkverkeer wordt gerouteerd om toegang te krijgen tot de toepassing. Gebruikers hoeven het internet niet te gebruiken om toegang te krijgen tot on-premises toepassingen (gehost op een lokaal netwerk). Als de toepassing wordt gehost in de cloud, hebben gebruikers internet nodig om deze te gebruiken. In de cloud gehoste toepassingen worden ook Wel SaaS-toepassingen (Software as a Service) genoemd.

Voor cloudtoepassingen worden federatieprotocollen gebruikt. U kunt ook eenmalige aanmelding gebruiken voor on-premises toepassingen. U kunt de toepassingsproxy gebruiken om de toegang voor uw on-premises toepassing te configureren. Zie Externe toegang tot on-premises toepassingen via Azure AD-toepassingsproxy voor meer informatie.

Mijn apps

Als u een gebruiker van een toepassing bent, geeft u waarschijnlijk niet veel om SSO-details. U wilt alleen de toepassingen gebruiken die u productief maken zonder uw wachtwoord zoveel te hoeven typen. U kunt uw toepassingen vinden en beheren via de portal Mijn apps. Zie Aanmelden bij en het starten van apps vanuit de Mijn apps-portal voor meer informatie.

Volgende stappen