Co to jest logowanie Azure Active Directory?

Ten artykuł zawiera informacje o dostępnych opcjach logowania jednokrotnego oraz wprowadzenie do planowania wdrożenia logowania jednokrotnego w przypadku korzystania z usługi Azure Active Directory (Azure AD). Logowanie pojedyncze to metoda uwierzytelniania, która umożliwia użytkownikom logowanie się przy użyciu jednego zestawu poświadczeń w wielu niezależnych systemach oprogramowania. Korzystanie z logowania jednokrotnego oznacza, że użytkownik nie musi logować się do każdej aplikacji, z których korzysta. Dzięki funkcji logowania jednokrotnego użytkownicy mogą uzyskać dostęp do wszystkich potrzebnych aplikacji bez konieczności uwierzytelniania przy użyciu różnych poświadczeń. Aby uzyskać krótkie wprowadzenie, zobacz Azure Active Directory logowaniem pojedynczym.

W usłudze Azure AD istnieje już wiele aplikacji, których można używać z logowaniem jednokrotnym. Istnieje kilka opcji logowania jednokrotnego w zależności od potrzeb aplikacji i sposobu jej implementowania. Przed utworzeniem aplikacji w usłudze Azure AD pokłoń trochę czasu, aby zaplanować wdrożenie logowania jednokrotnego. Zarządzanie aplikacjami można ułatwić za pomocą witryny Moje aplikacje Portal.

Opcje logowania jednokrotnego

Wybór metody logowania jednokrotnego zależy od tego, jak aplikacja jest skonfigurowana do uwierzytelniania. Aplikacje w chmurze mogą korzystać z opcji opartych na federacji, takich jak openid Połączenie, OAuth i SAML. Aplikacja może również używać logowania jednokrotnego opartego na hasłach, logowania jednokrotnego opartego na linkach lub logowania jednokrotnego.

  • Federacja — skonfigurowanie logowania jednokrotnego do pracy między wieloma dostawcami tożsamości jest nazywane federacją. Implementacja logowania jednokrotnego oparta na protokołach federacji zwiększa bezpieczeństwo, niezawodność, środowisko użytkownika końcowego i implementację.

    W przypadku federowego logowania pojedynczego usługa Azure AD uwierzytelnia użytkownika w aplikacji przy użyciu konta usługi Azure AD. Ta metoda jest obsługiwana w przypadku aplikacji saml 2.0,WS-Federation Połączenie OpenID. Federowane logowanie jednokrotne to najbogatszy tryb logowania jednokrotnego. Używaj federowego logowania jednokrotnego z usługą Azure AD, gdy aplikacja go obsługuje, zamiast logowania jednokrotnego opartego na hasłach i Active Directory Federation Services (AD FS).

    Istnieją pewne scenariusze, w których opcja logowania jednokrotnego nie jest obecna w przypadku aplikacji dla przedsiębiorstw. Jeśli aplikacja została zarejestrowana przy użyciu Rejestracje aplikacji w portalu, funkcja logowania pojedynczego jest skonfigurowana do domyślnego używania protokołu OpenID Połączenie i OAuth. W takim przypadku opcja logowania pojedynczego nie będzie wyświetlana w obszarze nawigacji w obszarze aplikacji dla przedsiębiorstw.

    Logowanie pojedyncze nie jest dostępne, gdy aplikacja jest hostowana w innej dzierżawie. Logowanie pojedyncze nie jest również dostępne, jeśli Twoje konto nie ma wymaganych uprawnień (administrator globalny, administrator aplikacji w chmurze, administrator aplikacji lub właściciel jednostki usługi). Uprawnienia mogą również powodować scenariusz, w którym można otworzyć logowanie pojedyncze, ale nie można go zapisać.

  • Hasło — aplikacje lokalne mogą używać metody logowania jednokrotnego opartej na hasłach. Ten wybór działa, gdy aplikacje są skonfigurowane do serwer proxy aplikacji.

    W przypadku logowania jednokrotnego opartego na hasłach użytkownicy logują się do aplikacji przy użyciu nazwy użytkownika i hasła przy pierwszym dostępie do aplikacji. Po pierwszym zalogowaniu usługa Azure AD udostępnia nazwę użytkownika i hasło aplikacji. Logowanie jednokrotne oparte na hasłach umożliwia bezpieczne przechowywanie i powtarzanie haseł aplikacji przy użyciu rozszerzenia przeglądarki internetowej lub aplikacji mobilnej. Ta opcja korzysta z istniejącego procesu logowania udostępnianego przez aplikację, umożliwia administratorowi zarządzanie hasłami i nie wymaga od użytkownika znać hasła. Aby uzyskać więcej informacji, zobacz Add password-based single sign-on to an application(Dodawanie logowania pojedynczego opartego na hasłach do aplikacji).

  • Połączone — połączone logowanie może zapewnić spójne środowisko użytkownika podczas migrowania aplikacji w czasie. W przypadku migrowania aplikacji do usługi Azure AD możesz użyć logowania jednokrotnego opartego na linkach, aby szybko opublikować linki do wszystkich aplikacji, które zamierzasz migrować. Użytkownicy mogą znaleźć wszystkie linki w Moje aplikacje lub Microsoft 365 portalach.

    Po uwierzytelnieniu użytkownika za pomocą połączonej aplikacji należy utworzyć konto, zanim zostanie zapewniony dostęp za pomocą logowania pojedynczego. Aprowizowanie tego konta może nastąpić automatycznie lub może nastąpić ręcznie przez administratora. Nie można zastosować zasad dostępu warunkowego ani uwierzytelniania wieloskładnikowego do połączonej aplikacji, ponieważ połączona aplikacja nie zapewnia możliwości logowania pojedynczego za pośrednictwem usługi Azure AD. Podczas konfigurowania połączonej aplikacji wystarczy dodać link wyświetlany do uruchomienia aplikacji. Aby uzyskać więcej informacji, zobacz Add linked single sign-on to an application(Dodawanie połączonego logowania pojedynczego do aplikacji).

  • Wyłączone — jeśli logowanie jednokrotne jest wyłączone, nie jest dostępne dla aplikacji. Po wyłączeniu logowania pojedynczego użytkownicy mogą wymagać dwukrotnego uwierzytelnienia. Najpierw użytkownicy uwierzytelniają się w usłudze Azure AD, a następnie logują się do aplikacji.

    Wyłącz logowanie jednokrotne, gdy:

    • Nie możesz jeszcze zintegrować tej aplikacji z logowaniem pojedynczym usługi Azure AD
    • Testuje się inne aspekty aplikacji
    • Aplikacja lokalna nie wymaga od użytkowników uwierzytelniania, ale chcesz, aby się ich uwierzytelnili. Po wyłączeniu logowania jednokrotnego użytkownik musi się uwierzytelnić.

    Jeśli skonfigurowano aplikację dla logowania jednokrotnego opartego na saml inicjowanej przez spłacie usługi i zmienisz tryb logowania jednokrotnego na wyłączony, nie zatrzyma to logowania użytkowników do aplikacji poza portalem MyApps. Aby to osiągnąć, musisz wyłączyć możliwość logowania się przez użytkowników.

Planowanie wdrożenia logowania jednokrotnego

Aplikacje internetowe są hostowane przez różne firmy i udostępniane jako usługa. Niektóre popularne przykłady aplikacji internetowych to Microsoft 365, GitHub i Salesforce. Istnieją tysiące innych. Dostęp do aplikacji internetowych można uzyskać za pomocą przeglądarki internetowej na swoim komputerze. Logowanie pojedyncze umożliwia użytkownikom przechodzenie między różnymi aplikacjami internetowymi bez konieczności wielokrotnego logowania. Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia logowania pojedynczego.

Sposób implementacji logowania jednokrotnego zależy od tego, gdzie jest hostowana aplikacja. Hosting ma znaczenie ze względu na sposób, w jaki ruch sieciowy jest przekierowyny w celu uzyskania dostępu do aplikacji. Użytkownicy nie muszą używać Internetu, aby uzyskać dostęp do aplikacji lokalnych (hostowanych w sieci lokalnej). Jeśli aplikacja jest hostowana w chmurze, użytkownicy muszą korzystać z Internetu. Aplikacje hostowane w chmurze są również nazywane aplikacjami Typu oprogramowanie jako usługa (SaaS).

W przypadku aplikacji w chmurze używane są protokoły federacji. W przypadku aplikacji lokalnych można również używać logowania pojedynczego. Możesz użyć serwer proxy aplikacji, aby skonfigurować dostęp dla aplikacji lokalnej. Aby uzyskać więcej informacji, zobacz Zdalny dostęp do aplikacji lokalnych za pośrednictwem usługi Azure AD serwer proxy aplikacji.

Moje aplikacje

Jeśli jesteś użytkownikiem aplikacji, prawdopodobnie nie zależy Ci na szczegółach logowania jednokrotnego. Chcesz po prostu korzystać z aplikacji, które sprawią, że będziesz wydajnie pracować bez konieczności wpisywania hasła. Aplikacje można znaleźć i zarządzać nimi w Moje aplikacje portal. Aby uzyskać więcej informacji, zobacz Logowanie i uruchamianie aplikacji z Moje aplikacje portal.

Następne kroki