Wat is eenmalige aanmelding?What is single sign-on (SSO)?

Eenmalige aanmelding zorgt voor een betere beveiliging en meer gebruiksgemak wanneer gebruikers zich aanmelden bij toepassingen in Azure Active Directory (Azure AD).Single sign-on (SSO) adds security and convenience when users sign-on to applications in Azure Active Directory (Azure AD). In dit artikel worden de methoden voor eenmalige aanmelding beschreven en op basis daarvan kunt u de geschiktste methode kiezen wanneer u uw toepassingen configureert.This article describes the single sign-on methods, and helps you choose the most appropriate SSO method when configuring your applications.

  • Bij eenmalige aanmelding melden gebruikers zich eenmaal aan met één account om toegang te krijgen tot apparaten die lid zijn van een domein, bedrijfsresources, SaaS-toepassingen (Software as a Service) en web-toepassingen.With single sign-on, users sign in once with one account to access domain-joined devices, company resources, software as a service (SaaS) applications, and web applications. Nadat de gebruiker zich heeft aangemeld, kan deze toepassingen starten vanuit de Office 365-portal of het MyApps-toegangsvenster van Azure AD.After signing in, the user can launch applications from the Office 365 portal or the Azure AD MyApps access panel. Beheerders kunnen het beheer van gebruikersaccounts centraal regelen en automatisch gebruikerstoegang tot toepassingen toevoegen of verwijderen op basis van groepslidmaatschap.Administrators can centralize user account management, and automatically add or remove user access to applications based on group membership.

  • Zonder eenmalige aanmelding moeten gebruikers toepassingsspecifieke wachtwoorden onthouden en zich bij elke toepassing aanmelden.Without single sign-on, users must remember application-specific passwords and sign in to each application. IT-medewerkers moeten gebruikersaccounts maken en bijwerken voor elke toepassing, zoals Office 365, Box en Salesforce.IT staff needs to create and update user accounts for each application such as Office 365, Box, and Salesforce. Gebruikers moeten hun wachtwoorden onthouden en zijn meer tijd kwijt omdat ze zich bij elke toepassing moeten aanmelden.Users need to remember their passwords, plus spend the time to sign in to each application.

Een methode voor eenmalige aanmelding kiezenChoosing a single sign-on method

Er zijn verschillende manieren om een toepassing te configureren voor eenmalige aanmelding.There are several ways to configure an application for single sign-on. Het kiezen van een methode voor eenmalige aanmelding is afhankelijk van de wijze waarop de toepassing is geconfigureerd voor verificatie.Choosing a single sign-on method depends on how the application is configured for authentication.

  • Cloud-toepassingen kunnen gebruikmaken van de volgende methoden voor eenmalige aanmelding: OpenID Connect, OAuth, SAML, op een wachtwoord gebaseerd, gekoppeld of uitgeschakeld.Cloud applications can use OpenID Connect, OAuth, SAML, password-based, linked, or disabled methods for single sign-on.
  • On-premises toepassingen kunnen gebruikmaken van de volgende methoden voor eenmalige aanmelding: op een wachtwoord gebaseerd, geïntegreerde Windows-verificatie, op headers gebaseerd, gekoppeld of uitgeschakeld.On-premises applications can use password-based, Integrated Windows Authentication, header-based, linked, or disabled methods for single sign-on. De on-premises opties kunnen worden toegepast wanneer toepassingen zijn geconfigureerd voor Application Proxy.The on-premises choices work when applications are configured for Application Proxy.

U kunt aan de hand van dit stroomdiagram bepalen welke methode voor eenmalige aanmelding het geschiktst is voor uw situatie.This flowchart helps you decide which single sign-on method is best for your situation.

Beslissingsstroomdiagram voor de methode voor eenmalige aanmelding

In de volgende tabel vindt u een overzicht van de methoden voor eenmalige aanmelding en koppelingen voor meer informatie.The following table summarizes the single sign-on methods, and links to more details.

Methode voor eenmalige aanmeldingSingle sign-on method ToepassingstypenApplication types Wanneer gebruikt u dit?When to use
OpenID Connect en OAuthOpenID Connect and OAuth alleen cloudcloud only Gebruik OpenID Connect en OAuth bij het ontwikkelen van een nieuwe toepassing.Use OpenID Connect and OAuth when developing a new application. Dit protocol vereenvoudigt de configuratie van toepassingen, biedt gebruiksvriendelijke SDK's en stelt uw toepassing in staat om MS Graph te gebruiken.This protocol simplifies application configuration, has easy-to-use SDKs, and enables your application to use MS Graph.
SAMLSAML cloud en on-premisescloud and on-premises Kies indien mogelijk SAML voor bestaande toepassingen die niet gebruikmaken van OpenID Connect of OAuth.Choose SAML whenever possible for existing applications that do not use OpenID Connect or OAuth. SAML kan worden gebruikt voor toepassingen waarbij de verificatie wordt uitgevoerd aan de hand van een van de SAML-protocollen.SAML works for applications that authenticate using one of the SAML protocols.
Op basis van een wachtwoordPassword-based cloud en on-premisescloud and on-premises Kies voor eenmalige aanmelding op basis van een wachtwoord wanneer de verificatie voor de toepassing wordt uitgevoerd met een gebruikersnaam en wachtwoord.Choose password-based when the application authenticates with username and password. Bij eenmalige aanmelding op basis van een wachtwoord is beveiligde toepassingswachtwoordopslag en -herhaling mogelijk door middel van een webbrowserextensie of mobiele app.Password-based single sign-on enables secure application password storage and replay using a web browser extension or mobile app. Deze methode maakt gebruik van de bestaande aanmeldingsprocedure van de toepassing, maar stelt een beheerder in staat om de wachtwoorden te beheren.This method uses the existing sign-in process provided by the application, but enables an administrator to manage the passwords.
GekoppeldLinked cloud en on-premisescloud and on-premises Kies voor een gekoppelde aanmelding wanneer de toepassing is geconfigureerd voor eenmalige aanmelding in een andere id-providerservice.Choose linked sign-on when the application is configured for single sign-on in another identity provider service. Bij deze optie wordt geen eenmalige aanmelding toegevoegd aan de toepassing.This option doesn't add single sign-on to the application. Voor de toepassing is echter mogelijk al een eenmalige aanmelding geïmplementeerd met behulp van een andere service, zoals Active Directory Federation Services.However, the application might already have single sign-on implemented using another service such as Active Directory Federation Services.
UitgeschakeldDisabled cloud en on-premisescloud and on-premises Kies voor een uitgeschakelde eenmalige aanmelding wanneer de app niet gereed is om te worden geconfigureerd voor eenmalige aanmelding.Choose disabled single sign-on when the app isn't ready to be configured for single sign-on. Deze modus is de standaardinstelling bij het maken van de app.This mode is the default when you create the app.
Geïntegreerde Windows-verificatieIntegrated Windows Authentication (IWA) alleen on-premiseson-premises only Kies eenmalige aanmelding met geïntegreerde Windows-verificatie voor toepassingen die gebruikmaken van geïntegreerde Windows-verificatie of claimbewuste toepassingen.Choose IWA single sign-on for applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Voor geïntegreerde Windows-verificatie maken de Application Proxy-connectors gebruik van beperkte Kerberos-delegering om gebruikers te verifiëren voor de toepassing.For IWA, the Application Proxy connectors use Kerberos Constrained Delegation (KCD) to authenticate users to the application.
Op basis van headersHeader-based alleen on-premiseson-premises only Gebruik eenmalige aanmelding op basis van headers wanneer de toepassing headers gebruikt voor verificatie.Use header-based single sign-on when the application uses headers for authentication. Voor eenmalige aanmelding op basis van headers is PingAccess voor Azure AD vereist.Header-based single sign-on requires PingAccess for Azure AD. Application Proxy gebruikt Azure AD om de gebruiker te verifiëren en geeft vervolgens het verkeer door via de connectorservice.Application Proxy uses Azure AD to authenticate the user and then passes traffic through the connector service.

OpenID Connect en OAuthOpenID Connect and OAuth

Gebruik bij het ontwikkelen van nieuwe toepassingen moderne protocollen, zoals OpenID Connect en OAuth, om de beste eenmalige aanmelding voor uw app op meerdere platformen te realiseren.When developing new applications, use modern protocols like OpenID Connect and OAuth to achieve the best single sign-on experience for your app across multiple device platforms. Met OAuth kunnen gebruikers of beheerders toestemming geven voor beveiligde resources, zoals Microsoft Graph.OAuth enables users or admins to grant consent for protected resources like Microsoft Graph. We bieden SDK's voor uw app die eenvoudig kunnen worden aangepast en daarnaast kan Microsoft Graph worden gebruikt door uw app.We provide easy to adopt SDKs for your app, and additionally, your app will be ready to use Microsoft Graph.

Zie voor meer informatie:For more information, see:

Eenmalige aanmelding op basis van SAMLSAML SSO

Met eenmalige aanmelding op basis van SAML voert Azure AD een verificatie voor de toepassing uit met behulp van het Azure AD-account van de gebruiker.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. Azure AD geeft de aanmeldingsgegevens door aan de toepassing via een verbindingsprotocol.Azure AD communicates the sign-on information to the application through a connection protocol. Met eenmalige aanmelding op basis van SAML kunt u gebruikers toewijzen aan specifieke toepassingsrollen op basis van de regels die u in uw SAML-claims definieert.With SAML-based single sign-on, you can map users to specific application roles based on rules you define in your SAML claims.

Kies voor eenmalige aanmelding op basis van SAML wanneer de toepassing dit ondersteunt.Choose SAML-based single sign-on when the application supports it.

Eenmalige aanmelding op basis van SAML wordt ondersteund voor toepassingen die gebruikmaken van de volgende protocollen:SAML-based single sign-on is supported for applications that use any of these protocols:

  • SAML 2.0SAML 2.0
  • Webservices-federatieWS-Federation

Zie Eenmalige aanmelding op basis van SAML configureren als u een SaaS-toepassing wilt configureren voor eenmalige aanmelding op basis van SAML.To configure a SaaS application for SAML-based single sign-on, see Configure SAML-based single sign-on. Daarnaast bestaat er voor veel SaaS-toepassingen (Software as a Service) een toepassingsspecifieke zelfstudie waarin de configuratie voor eenmalige aanmelding op basis van SAML stapsgewijs wordt beschreven.Also, many Software as a Service (SaaS) applications have an application-specific tutorial that step you through the configuration for SAML-based single sign-on.

Als u een toepassing voor WS-Federation wilt configureren, volgt u dezelfde richtlijnen om de toepassing te configureren voor eenmalige aanmelding op basis van SAML.To configure an application for WS-Federation, follow the same guidance to configure application for SAML-based single sign-on. In de stap waarin de toepassing wordt geconfigureerd voor gebruik van Azure AD, moet u de aanmeldings-URL van Azure AD voor het eindpunt van WS-Federation https://login.microsoftonline.com/<tenant-ID>/wsfed vervangen.In the step to configure the application to use Azure AD, you will need to replace the Azure AD login URL for the WS-Federation end-point https://login.microsoftonline.com/<tenant-ID>/wsfed.

Raadpleeg Eenmalige aanmelding op basis van SAML voor on-premises toepassingen met Application Proxy als u een on-premises toepassing wilt configureren voor eenmalige aanmelding op basis van SAML.To configure an on-premises application for SAML-based single sign-on, see SAML single-sign-on for on-premises applications with Application Proxy.

Zie SAML-protocol voor eenmalige aanmelding voor meer informatie over het SAML-protocol.For more information about the SAML protocol, see Single sign-on SAML protocol.

Eenmalige aanmelding op basis van een wachtwoordPassword-based SSO

Bij aanmelding op basis van een wachtwoord melden gebruikers zich aan bij de toepassing met een gebruikersnaam en wachtwoord wanneer ze deze voor de eerste keer gaan gebruiken.With password-based sign-on, users sign on to the application with a username and password the first time they access it. Na de eerste aanmelding levert Azure AD de gebruikersnaam en het wachtwoord voor de toepassing.After the first sign-on, Azure AD supplies the username and password to the application.

Eenmalige aanmelding op basis van een wachtwoord maakt gebruik van de bestaande verificatieprocedure die door de toepassing wordt geboden.Password-based single sign-on uses the existing authentication process provided by the application. Wanneer u eenmalige aanmelding op basis van een wachtwoord inschakelt voor een toepassing, worden gebruikersnamen en wachtwoorden voor de toepassing door Azure AD verzameld en beveiligd.When you enable password single sign-on for an application, Azure AD collects and securely stores user names and passwords for the application. Gebruikersreferenties worden versleuteld opgeslagen in de map.User credentials are stored in an encrypted state in the directory.

Kies voor eenmalige aanmelding op basis van wachtwoord wanneer:Choose password-based single sign-on when:

  • Een toepassing geen ondersteuning biedt voor het protocol van eenmalige aanmelding op basis van SAML.An application doesn't support SAML single sign-on protocol.
  • Verificatie voor een toepassing wordt uitgevoerd met een gebruikersnaam en wachtwoord in plaats van toegangstokens en headers.An application authenticates with a username and password instead of access tokens and headers.

Notitie

U geen beleid voor voorwaardelijke toegang of meervoudige verificatie kunt toepassen voor eenmalige aanmelding op basis van een wachtwoord.You cannot apply conditional access policies or multi-factor authentication for password-based SSO.

Eenmalige aanmelding op basis van een wachtwoord wordt ondersteund voor alle cloud-toepassingen die een HTML-aanmeldingspagina hebben.Password-based single sign-on is supported for any cloud-based application that has an HTML-based sign-in page. De gebruiker kan een van de volgende browsers gebruiken:The user can use any of the following browsers:

  • Internet Explorer 11 in Windows 7 of hogerInternet Explorer 11 on Windows 7 or later

    Notitie

    Internet Explorer heeft beperkte ondersteuning en ontvangt geen nieuwe software-updates meer.Internet Explorer is on limited support and no longer receives new software updates. Microsoft Edge is de aanbevolen browser.Microsoft Edge is the recommended browser.

  • Microsoft Edge in Windows 10 Anniversary Edition of hogerMicrosoft Edge on Windows 10 Anniversary Edition or later

  • Microsoft Edge voor iOS en AndroidMicrosoft Edge for iOS and Android

  • Intune Managed BrowserIntune Managed Browser

  • Chrome in Windows 7 of hoger en in macOS X of hogerChrome on Windows 7 or later, and on macOS X or later

  • Firefox 26.0 of hoger in Windows XP SP2 of hoger en in macOS X 10.6 of hogerFirefox 26.0 or later on Windows XP SP2 or later, and on macOS X 10.6 or later

Zie Eenmalige aanmelding op basis van een wachtwoord configureren als u een cloudtoepassing wilt configureren voor eenmalige aanmelding op basis van een wachtwoord.To configure an cloud application for password-based single sign-on, see Configure password single sign-on.

Raadpleeg Wachtwoordkluis voor eenmalige aanmelding met Application Proxy als u een on-premises toepassing wilt configureren voor eenmalige aanmelding via Application ProxyTo configure an on-premises application for single sign-on through Application Proxy, see Password vaulting for single sign-on with Application Proxy

Hoe verificatie wordt toegepast voor eenmalige aanmelding op basis van een wachtwoordHow authentication works for password-based SSO

Als u een gebruiker wilt verifiëren voor een toepassing, haalt Azure AD de referenties van de gebruiker op uit de directory en voert deze in op de aanmeldingspagina van de toepassing.To authenticate a user to an application, Azure AD retrieves the user's credentials from the directory and enters them into the application's sign-on page. Azure AD geeft de gebruikersreferenties veilig door via een webbrowserextensie of een mobiele app.Azure AD securely passes the user credentials via a web browser extension or mobile app. Op deze manier kan een beheerder gebruikersreferenties beheren en hoeven gebruikers hun wachtwoord niet te onthouden.This process enables an administrator to manage user credentials, and doesn't require users to remember their password.

Belangrijk

De referenties worden niet weergegeven voor de gebruiker tijdens de geautomatiseerde aanmeldingsprocedure.The credentials are obfuscated from the user during the automated sign-on process. De referenties kunnen echter wel worden weergegeven met behulp van webfoutopsporingsprogramma's.However, the credentials are discoverable by using web-debugging tools. Gebruikers en beheerders moeten hetzelfde beveiligingsbeleid volgen alsof referenties rechtstreeks door de gebruiker zijn ingevoerd.Users and administrators need to follow the same security policies as if credentials were entered directly by the user.

Referenties voor eenmalige aanmelding op basis van een wachtwoord beherenManaging credentials for password-based SSO

Wachtwoorden voor elke toepassing kunnen worden beheerd door de Azure AD-beheerder of door de gebruikers.Passwords for each application can either be managed by the Azure AD administrator or by the users.

Wanneer de Azure AD-beheerder de referenties beheert, is het volgende van toepassing:When the Azure AD administrator manages the credentials:

  • De gebruiker hoeft de gebruikersnaam en het wachtwoord niet opnieuw in te stellen of te onthouden.The user doesn't need to reset or remember the user name and password. De gebruiker kan toegang krijgen tot de toepassing door erop te klikken in hun toegangsvenster of via een geleverde koppeling.The user can access the application by clicking on it in their access panel or via a provided link.
  • De beheerder kan beheertaken uitvoeren voor de referenties.The administrator can do management tasks on the credentials. De beheerder kan bijvoorbeeld de toegang tot de toepassing bijwerken op basis van lidmaatschappen van gebruikersgroepen en de status van de werknemers.For example, the administrator can update application access according to user group memberships and employee status.
  • De beheerder kan beheerdersreferenties gebruiken om toegang te bieden tot toepassingen die worden gedeeld door veel gebruikers.The administrator can use administrative credentials to provide access to applications shared among many users. De beheerder kan bijvoorbeeld toestaan dat iedereen die toegang heeft tot een toepassing toegang heeft tot een socialemediatoepassing of een toepassing voor het delen van documenten.For example, the administrator can allow everyone who can access an application to have access to a social media or document sharing application.

Wanneer de eindgebruiker de referenties beheert, is het volgende van toepassing:When the end user manages the credentials:

  • Gebruikers kunnen hun wachtwoorden beheren door deze naar behoefte bij te werken of te verwijderen.Users can manage their passwords by updating or deleting them as needed.
  • Beheerders kunnen nog steeds nieuwe referenties voor de toepassing instellen.Administrators are still able to set new credentials for the application.

Gekoppelde aanmeldingLinked sign-on

Met gekoppelde aanmelding kan Azure AD eenmalige aanmelding bieden voor een toepassing die al is geconfigureerd voor eenmalige aanmelding in een andere service.Linked sign-on enables Azure AD to provide single sign-on to an application that is already configured for single sign-on in another service. De gekoppelde toepassing kan worden weergegeven voor eindgebruikers in de Office 365-portal of MyApps-portal van Azure AD.The linked application can appear to end users in the Office 365 portal or Azure AD MyApps portal. Een gebruiker kan bijvoorbeeld een toepassing starten die is geconfigureerd voor eenmalige aanmelding in Active Directory Federation Services 2.0 (AD FS) van de Office 365-portal.For example, a user can launch an application that is configured for single sign-on in Active Directory Federation Services 2.0 (AD FS) from the Office 365 portal. Aanvullende rapportage is ook beschikbaar voor gekoppelde toepassingen die worden gestart vanuit de Office 365-portal of de MyApps-portal van Azure AD.Additional reporting is also available for linked applications that are launched from the Office 365 portal or the Azure AD MyApps portal. Zie Gekoppelde aanmelding configureren als u voor een toepassing gekoppelde aanmelding wilt configureren.To configure an application for linked sign-on, see Configure linked sign-on.

Gekoppelde aanmelding voor de migratie van toepassingenLinked sign-on for application migration

Een gekoppelde aanmelding kan een consistente gebruikerstoepassing bieden tijdens het migreren van toepassingen gedurende een bepaalde periode.Linked sign-on can provide a consistent user experience while you migrate applications over a period of time. Als u toepassingen migreert naar Azure Active Directory, kunt u een gekoppelde aanmelding gebruiken om snel koppelingen te publiceren naar alle toepassingen die u wilt migreren.If you're migrating applications to Azure Active Directory, you can use linked sign-on to quickly publish links to all the applications you intend to migrate. Gebruikers kunnen alle koppelingen vinden in de MyApps-portal of het programma voor het starten van toepassingen van Office 365.Users can find all the links in the MyApps portal or the Office 365 application launcher. Gebruikers weten niet dat ze toegang hebben tot een gekoppelde toepassing of een gemigreerde toepassing.Users won't know they're accessing a linked application or a migrated application.

Wanneer een gebruiker eenmaal is geverifieerd met een gekoppelde toepassing, moet er een accountrecord worden gemaakt voordat de eindgebruiker toegang via eenmalige aanmelding wordt geboden.Once a user has authenticated with a linked application, an account record needs to be created before the end user is provided single sign-on access. Het inrichten van deze accountrecord kan automatisch plaatsvinden of kan handmatig door een beheerder worden uitgevoerd.Provisioning this account record can either occur automatically, or it can occur manually by an administrator.

Notitie

U kunt geen beleid voor voorwaardelijke toegang of meervoudige verificatie toepassen op een gekoppelde toepassing.You cannot apply conditional access policies or multi-factor authentication to a linked application. Dit komt doordat een gekoppelde toepassing geen functionaliteit voor eenmalige aanmelding biedt via Azure AD.This is because a linked application does not provide single sign-on capabilities through Azure AD. Wanneer u een gekoppelde toepassing configureert, voegt u simpelweg een koppeling toe die wordt weergegeven in het programma voor het starten van toepassingen of in de MyApps-portal.When you configure a linked application you are simply adding a link that will appear in the app launcher or MyApps portal.

Uitgeschakelde eenmalige aanmeldingDisabled SSO

In de modus Uitgeschakeld wordt eenmalige aanmelding niet gebruikt voor de app.Disabled mode means single sign-on isn't used for the application. Wanneer eenmalige aanmelding is uitgeschakeld, moeten gebruikers mogelijk twee keer worden geverifieerd.When single sign-on is disabled, users might need to authenticate twice. Eerst moeten gebruikers zich verifiëren bij Azure AD en vervolgens melden ze zich aan bij de toepassing.First, users authenticate to Azure AD, and then they sign in to the application.

Pas de modus voor uitgeschakelde eenmalige aanmelding toe in de volgende situaties:Use disabled single sign-on mode:

  • Als u deze toepassing nog niet kunt integreren met de eenmalige aanmelding van Azure AD, ofIf you're not ready to integrate this application with Azure AD single sign-on, or
  • Als u andere aspecten van de toepassing test, ofIf you're testing other aspects of the application, or
  • Als een beveiligingslaag voor een on-premises toepassing waarvoor gebruikers zich niet hoeven te verifiëren.As a layer of security to an on-premises application that doesn't require users to authenticate. In de modus Uitgeschakeld moet de gebruiker zich verifiëren.With disabled, the user needs to authenticate.

Houd er rekening mee dat als u de toepassing hebt geconfigureerd voor eenmalige aanmelding op basis van SAML die door de serviceprovider wordt gestart en u de modus voor eenmalige aanmelding wijzigt in Uitgeschakeld, gebruikers zich nog steeds buiten de MyApps-portal kunnen aanmelden bij de toepassing.Note that if you have configured the application for SP-initiated SAML based single sign-on and you change the SSO mode to disable, it won't stop users from signing to the application outside the MyApps portal. Als u dit wilt bereiken, moet u de mogelijkheid uitschakelen voor gebruikers om zich aan te meldenTo achieve this, you need to disable the ability for users to sign-in

Eenmalige aanmelding met geïntegreerde Windows-verificatieIntegrated Windows Authentication (IWA) SSO

Application Proxy biedt eenmalige aanmelding voor toepassingen die gebruikmaken van geïntegreerde Windows-verificatie of claimbewuste toepassingen.Application Proxy provides single sign-on (SSO) to applications that use Integrated Windows Authentication (IWA), or claims-aware applications. Als uw toepassing gebruikmaakt van geïntegreerde Windows-verificatie, voert Application Proxy een verificatie uit voor de toepassing met behulp van beperkte Kerberos-delegatie.If your application uses IWA, Application Proxy authenticates to the application by using Kerberos Constrained Delegation (KCD). Voor een claimbewuste toepassing die Azure Active Directory vertrouwt, kan eenmalige aanmelding worden gebruikt omdat de gebruiker al is geverifieerd door Azure AD.For a claims-aware application that trusts Azure Active Directory, single sign-on works because the user was already authenticated by using Azure AD.

Kies voor de modus voor eenmalige aanmelding met geïntegreerde Windows-verificatie als u eenmalige aanmelding wilt gebruiken voor een on-premises toepassing die wordt geverifieerd met geïntegreerde Windows-verificatie.Choose Integrated Windows Authentication single sign-on mode to provide single sign-on to an on-premises app that authenticates with IWA.

Raadpleeg Beperkte Kerberos-delegering voor eenmalige aanmelding bij uw toepassingen met Application Proxy als u een on-premises toepassing wilt configureren voor geïntegreerde Windows-verificatie.To configure an on-premises app for IWA, see Kerberos Constrained Delegation for single sign-on to your applications with Application Proxy.

Hoe eenmalige aanmelding met beperkte Kerberos-delegering werktHow single sign-on with KCD works

In dit diagram wordt de stroom weergegeven voor een gebruiker die toegang wil krijgen tot een on-premises toepassing die gebruikmaakt van geïntegreerde Windows-verificatie.This diagram explains the flow when a user accesses an on-premises application that uses IWA.

Stroomdiagram voor Microsoft Azure AD-verificatie

  1. De gebruiker voert de URL in om toegang te krijgen tot de on-premises toepassing via Application Proxy.The user enters the URL to access the on premises application through Application Proxy.
  2. Application Proxy leidt de aanvraag om naar Azure AD-verificatieservices om vooraf een verificatie uit te voeren.Application Proxy redirects the request to Azure AD authentication services to preauthenticate. Op dit punt past Azure AD de betreffende verificatie en het relevante verificatiebeleid, zoals meervoudige verificatie, toe.At this point, Azure AD applies any applicable authentication and authorization policies, such as multifactor authentication. Als de gebruiker is gevalideerd, wordt door Azure AD een token gemaakt en verzonden naar de gebruiker.If the user is validated, Azure AD creates a token and sends it to the user.
  3. De gebruiker geeft het token door aan Application Proxy.The user passes the token to Application Proxy.
  4. Application Proxy valideert het token en haalt de user principal name (UPN) op uit het token.Application Proxy validates the token and retrieves the User Principal Name (UPN) from the token. Vervolgens worden de aanvraag, de UPN en de SPN-naam (Service Principal Name) verzonden naar de connector via een dubbel geverifieerd beveiligd kanaal.It then sends the request, the UPN, and the Service Principal Name (SPN) to the Connector through a dually authenticated secure channel.
  5. De connector maakt gebruik van onderhandeling voor beperkte Kerberos-delegering met de on-premises AD en imiteert de gebruiker om een Kerberos-token voor de toepassing te krijgen.The connector uses Kerberos Constrained Delegation (KCD) negotiation with the on premises AD, impersonating the user to get a Kerberos token to the application.
  6. Active Directory verzendt het Kerberos-token voor de toepassing naar de connector.Active Directory sends the Kerberos token for the application to the connector.
  7. De connector verzendt de oorspronkelijke aanvraag naar de toepassingsserver met behulp van het Kerberos-token dat is ontvangen van AD.The connector sends the original request to the application server, using the Kerberos token it received from AD.
  8. De toepassing stuurt het antwoord naar de connector en dit wordt vervolgens teruggestuurd naar de Application Proxy-service en uiteindelijk naar de gebruiker.The application sends the response to the connector, which is then returned to the Application Proxy service and finally to the user.

Eenmalige aanmelding op basis van headersHeader-based SSO

Eenmalige aanmelding op basis van headers kan worden gebruikt voor toepassingen die HTTP-headers gebruiken voor de verificatie.Header-based single sign-on works for applications that use HTTP headers for authentication. Deze aanmeldingsmethode maakt gebruik van een externe verificatieservice met de naam PingAccess.This sign-on method uses a third-party authentication service called PingAccess. Een gebruiker hoeft zich alleen te verifiëren bij Azure AD.A user only needs to authenticate to Azure AD.

Kies voor een eenmalige aanmelding op basis van headers wanneer Application Proxy en PingAccess zijn geconfigureerd voor de toepassing.Choose header-based single sign-on when Application Proxy and PingAccess are configured for the application.

Raadpleeg Verificatie op basis van headers voor eenmalige aanmelding met Application Proxy als u een verificatie op basis van headers wilt configureren.To configure header-based authentication, see Header-based authentication for single sign-on with Application Proxy.

Wat is PingAccess voor Azure AD?What is PingAccess for Azure AD?

Wanneer gebruikers PingAccess voor Azure AD gebruiken, kunnen ze via eenmalige aanmelding toegang krijgen tot toepassingen waarin headers worden gebruikt voor verificatie.Using PingAccess for Azure AD, users can access and single sign-on to applications that use headers for authentication. Application Proxy behandelt deze toepassingen hetzelfde als andere, waarbij Azure AD wordt gebruikt om de toegang te verifiëren en vervolgens het verkeer door te geven via de connectorservice.Application Proxy treats these applications like any other, using Azure AD to authenticate access and then passing traffic through the connector service. Nadat de verificatie is uitgevoerd, zet de PingAccess-service het Azure AD-toegangstoken om in een headerindeling die naar de toepassing wordt verzonden.After authentication occurs, the PingAccess service translates the Azure AD access token into a header format that is sent to the application.

De gebruikers merken hier niets van wanneer ze zich aanmelden om uw bedrijfstoepassingen te gebruiken.Your users won’t notice anything different when they sign in to use your corporate applications. Ze kunnen nog steeds vanaf elke locatie op elk apparaat werken.They can still work from anywhere on any device. De Application Proxy-connectors sturen extern verkeer door naar alle toepassingen, waarbij ze automatisch de taakverdeling blijven uitvoeren.The Application Proxy connectors direct remote traffic to all applications, and they’ll continue to load balance automatically.

Hoe kan ik een licentie voor PingAccess krijgen?How do I get a license for PingAccess?

Omdat deze werkwijze mogelijk wordt gemaakt door een samenwerking tussen Azure AD en PingAccess, hebt u licenties nodig voor beide services.Since this scenario is offered through a partnership between Azure AD and PingAccess, you need licenses for both services. Azure AD Premium-abonnementen omvatten echter een basislicentie voor PingAccess die kan worden gebruikt voor maximaal twintig toepassingen.However, Azure AD Premium subscriptions include a basic PingAccess license that covers up to 20 applications. Als u meer dan twintig toepassingen op basis van headers wilt publiceren, kunt u een aanvullende licentie verkrijgen via PingAccess.If you need to publish more than 20 header-based applications, you can acquire an additional license from PingAccess.

Zie Azure Active Directory-edities voor meer informatie.For more information, see Azure Active Directory editions.