Что такое единый вход в Azure Active Directory?

В этой статье содержатся сведения о доступных параметрах единого входа (SSO), а также вводные сведения о планировании развертывания единого входа при использовании Azure Active Directory (Azure AD). Единый вход — это метод проверки подлинности, позволяющий пользователям входить в систему, используя один набор учетных данных для нескольких независимых систем программного обеспечения. При использовании единого входа пользователю не нужно входить в каждое используемое приложение. С помощью единого входа пользователи могут получить доступ ко всем необходимым приложениям без прохождения проверки подлинности с разными учетными данными. Краткое введение см. на странице Единый вход в Azure Active Directory.

В Azure AD уже существует множество приложений, для которых можно использовать единый вход. Существует несколько вариантов единого входа в зависимости от потребностей приложения и способа его реализации. Перед созданием приложений в Azure AD стоит уделить время планированию развертывания единого входа. Воспользовавшись порталом "Мои приложения", можно упростить управление приложениями.

Варианты реализации единого входа

Выбор способа единого входа зависит от того, как приложение настраивается для аутентификации. Облачные приложения могут использовать варианты на основе федерации, например OpenID Connect, OAuth и SAML. Приложение также может использовать единый вход на основе паролей, единый вход на основе ссылки или просто единый вход.

  • Федерация. Если единый вход настроен для работы с несколькими поставщиками удостоверений, это называется федерацией. Использование единого входа на основе протоколов федерации повышает безопасность, надежность и удобство работы пользователей, а также улучшает реализацию.

    При использовании федеративного единого входа служба Azure AD выполняет аутентификацию пользователя в приложении, используя его учетную запись Azure Active Directory. Этот метод поддерживается для приложений SAML 2.0, WS-Federation и OpenID Connect. Федеративный единый вход — это наиболее функциональный режим единого входа. Вместо единого входа на основе пароля и службы федерации Active Directory (AD FS) используйте федеративный единый вход с Azure AD, если его поддерживает приложение.

    Существует несколько сценариев, в которых для корпоративного приложения отсутствует параметр единого входа. Если приложение было зарегистрировано с использованием Регистрации приложений на портале, то для единого входа настроено использование OpenID Connect и OAuth (по умолчанию). В этом случае в области навигации в разделе "Корпоративные приложения" не будет параметра "Единый вход".

    Единый вход недоступен, если приложение размещено в другом клиенте. Он также недоступен, если у вашей учетной записи нет необходимых разрешений (глобальный администратор, администратор облачных приложений, администратор приложений или владелец субъекта-службы). Кроме того, неподходящие разрешения могут стать причиной того, что, хоть и можно будет открыть настройки единого входа, но сохранить их не удастся.

  • Пароль. В локальных приложениях может использоваться метод единого входа на основе пароля. Этот вариант подходит, если для приложений настроено использование Application Proxy.

    При использовании единого входа на основе пароля пользователям, чтобы войти в приложение, необходимо ввести имя пользователя и пароль при первом обращении к нему. После первого входа Azure AD предоставляет приложению имя пользователя и пароль. Единый вход на основе пароля позволяет безопасно хранить пароли приложений и воспроизводить их с помощью расширения веб-браузера или мобильного приложения. При этом варианте используется уже имеющийся процесс входа, предоставляемый приложением, однако администраторы имеют возможность управлять паролями, что избавляет пользователей от необходимости знать свой пароль. Дополнительные сведения см. в статье Добавление единого входа на основе пароля в приложение в Azure Active Directory.

  • Связанный. Единый вход на основе ссылки предоставляет согласованный пользовательский интерфейс при переносе приложений в течение определенного времени. Если вы переносите приложения в Azure AD, вы можете использовать единый вход на основе ссылки, чтобы быстро опубликовать ссылки на все приложения, которые планируется перенести. Пользователи могут найти ссылки на портале "Мои приложения" или Microsoft 365.

    Когда пользователь пройдет проверку подлинности в связанном приложении, необходимо создать учетную запись, чтобы пользователь получил возможность использовать единый вход. Эта учетная запись может быть подготовлена либо автоматически, либо вручную администратором. Политики условного доступа или многофакторную проверку подлинности нельзя применить к связанному приложению, так как оно не предоставляет возможности единого входа через Azure AD. При настройке связанного приложения просто добавляется ссылка, которая отображается для запуска приложения. Дополнительные сведения см. в статье Добавление единого входа по ссылке в приложение.

  • Отключено. Если единый вход отключен. Он недоступен для приложения. Если единый вход отключен, пользователям может потребоваться пройти проверку подлинности дважды. Сначала пользователи проходят проверку подлинности в Azure AD, а затем входят в приложение.

    Единый вход следует отключать в следующих случаях:

    • если вы не готовы интегрировать это приложение с единым входом Azure AD;
    • если вы тестируете другие аспекты приложения;
    • локальное приложение не требует проверки подлинности пользователей, но вы хотите, чтобы она в них применялась (если единый вход отключен, пользователь должен проходить проверку подлинности).

    Если вы настроили в приложении единый вход на основе SAML, инициированного поставщиком служб, а затем отключаете режим единого входа, это не помешает пользователям входить в приложение в обход портала "Мои приложения". Чтобы это предотвратить, нужно отключить возможность входа пользователей.

Планирование развертывания единого входа

Веб-приложения размещаются различными компаниями и предоставляются как услуга. Популярными примерами веб-приложений могут служить Microsoft 365, GitHub и Salesforce. Однако есть еще и тысячи других. Пользователи получают доступ к веб-приложениям через веб-браузер на своем компьютере. Единый вход дает им возможность перемещаться между различными веб-приложениями без многократного выполнения процедуры входа. Дополнительные сведения см. в статье Планирование развертывания единого входа.

Реализация единого входа зависит от того, где размещено приложение. Размещение приложения играет очень важную роль, так как влияет на способ маршрутизации сетевого трафика для доступа к приложению. Пользователям не нужно использовать Интернет для доступа к локальным приложениям (размещенным в локальной сети). Если приложение размещено в облаке, для его использования пользователям требуется Интернет. Размещенные в облаке приложения также называются приложениями SaaS (программное обеспечение как услуга).

Для облачных приложений используются протоколы федерации. Вы также можете использовать единый вход для локальных приложений. Вы можете использовать Application Proxy для настройки доступа к локальному приложению. Дополнительные сведения см. в разделе Удаленный доступ к локальным приложениям с помощью прокси приложения Azure AD.

Мои приложения

Если вы пользователь приложения, вас, скорее всего, не слишком интересуют сведения о едином входе. Вы просто хотите использовать приложения, обеспечивающие продуктивность работы без необходимости ввода пароля. Вы можете находить приложения и управлять ими на портале "Мои приложения". Дополнительные сведения см. в статье о входе на портал "Мои приложения" и запуске приложений на нем.

Дальнейшие действия