Planera en distribution för enkel inloggning

Den här artikeln innehåller information som du kan använda för att planera distributionen av enkel inloggning (SSO) i Azure Active Directory (Azure AD). När du planerar distributionen av enkel inloggning med dina program i Azure AD måste du överväga följande frågor:

  • Vilka administrativa roller krävs för att hantera programmet?
  • Behöver certifikatet förnyas?
  • Vem behöver meddelas om ändringar som rör genomförandet av enkel inloggning?
  • Vilka licenser behövs för att säkerställa effektiv hantering av programmet?
  • Används delade användarkonton för att komma åt programmet?
  • Förstår jag alternativen för SSO-distribution?

Administrativa roller

Använd alltid rollen med minsta möjliga behörighet för att utföra den nödvändiga uppgiften i Azure AD. Granska de olika roller som är tillgängliga och välj rätt roller för att lösa dina behov för varje persona för programmet. Vissa roller kan behöva tillämpas tillfälligt och tas bort när distributionen har slutförts.

Persona Roller Azure AD-roll (om det behövs)
Supportadministratör Stöd för nivå 1 Ingen
Identitetsadministratör Konfigurera och felsöka när problem rör Azure AD Global administratör
Programadministratör Användarattestering i programmet, konfiguration för användare med behörighet Ingen
Infrastrukturadministratörer Certifikatförnyelseägare Global administratör
Företagsägare/intressent Användarattestering i programmet, konfiguration för användare med behörighet Ingen

Mer information om administrativa roller i Azure AD finns i Inbyggda roller i Azure AD.

Certifikat

När du aktiverar federerad enkel inloggning för ditt program skapar Azure AD ett certifikat som är giltigt som standard i tre år. Du kan anpassa förfallodatumet för certifikatet om det behövs. Se till att du har processer för att förnya certifikat innan de upphör att gälla.

Du ändrar certifikatets varaktighet i Azure Portal. Se till att dokumentera förfallodatumet och se hur du hanterar certifikatförnyelsen. Det är viktigt att identifiera rätt roller och distributionslistor för e-post som ingår i hanteringen av signeringscertifikatets livscykel. Följande roller rekommenderas:

  • Ägare för uppdatering av användaregenskaper i programmet
  • Support för felsökning av jourägare för program
  • Noga övervakad e-postdistributionslista för certifikatrelaterade ändringsmeddelanden

Konfigurera en process för hur du ska hantera en certifikatändring mellan Azure AD och ditt program. Genom att ha den här processen på plats kan du förhindra eller minimera ett avbrott på grund av att ett certifikat upphör att gälla eller en tvingad certifikatåterställning. Mer information finns i Hantera certifikat för federerad enkel inloggning i Azure Active Directory.

Kommunikation

Kommunikation är avgörande för att alla nya tjänster ska lyckas. Kommunicera proaktivt till användarna om hur deras upplevelse kommer att förändras. Kommunicera när den kommer att ändras och hur du får support om de upplever problem. Granska alternativen för hur användare kommer åt sina SSO-aktiverade program och skapa din kommunikation så att den matchar ditt val.

Implementera din kommunikationsplan. Se till att du låter användarna veta att en ändring kommer, när den har kommit och vad de ska göra nu. Se också till att du anger information om hur du söker hjälp.

Licensiering

Kontrollera att programmet omfattas av följande licensieringskrav:

  • Azure AD-licensiering – enkel inloggning för förintegrerade företagsprogram är kostnadsfri. Antalet objekt i katalogen och de funktioner som du vill distribuera kan dock kräva fler licenser. En fullständig lista över licenskrav finns i Azure Active Directory Prissättning.

  • Programlicensiering – Du behöver lämpliga licenser för dina program för att uppfylla dina affärsbehov. Arbeta med programägaren för att avgöra om de användare som tilldelats programmet har rätt licenser för sina roller i programmet. Om Azure AD hanterar den automatiska etableringen baserat på roller måste rollerna som tilldelats i Azure AD överensstämma med antalet licenser som ägs i programmet. Felaktigt antal licenser som ägs i programmet kan leda till fel under etableringen eller uppdateringen av ett användarkonto.

Delade konton

Från inloggningsperspektiv skiljer sig inte program med delade konton från företagsprogram som använder enkel inloggning med lösenord för enskilda användare. Det krävs dock fler steg när du planerar och konfigurerar ett program som är avsett att använda delade konton.

  • Arbeta med användare för att dokumentera följande information:
    • Uppsättningen användare i organisationen som ska använda programmet.
    • Den befintliga uppsättningen autentiseringsuppgifter i programmet som är associerad med uppsättningen användare.
  • För varje kombination av användaruppsättningar och autentiseringsuppgifter skapar du en säkerhetsgrupp i molnet eller lokalt baserat på dina krav.
  • Återställ de delade autentiseringsuppgifterna. När programmet har distribuerats i Azure AD behöver enskilda användare inte lösenordet för det delade kontot. Azure AD lagrar lösenordet och du bör överväga att ange det som långt och komplext.
  • Konfigurera automatisk återställning av lösenordet om programmet stöder det. På så sätt känner inte ens administratören som gjorde den första installationen till lösenordet för det delade kontot.

Alternativ för enkel inloggning

Det finns flera sätt att konfigurera ett program för enkel inloggning. Valet av en metod för enkel inloggning beror på hur programmet är konfigurerat för autentisering.

  • Molnprogram kan använda OpenID Connect, OAuth, SAML, lösenordsbaserad eller länkad för enkel inloggning. Enkel inloggning kan även inaktiveras.
  • Lokala program kan använda lösenordsbaserad, Integrerad Windows-autentisering, rubrikbaserad eller länkad för enkel inloggning. De lokala alternativen fungerar när program är konfigurerade för Programproxy.

Det här flödesschemat kan hjälpa dig att avgöra vilken metod för enkel inloggning som passar bäst för din situation.

Decision flowchart for single sign-on method

Följande protokoll för enkel inloggning är tillgängliga för användning:

  • OpenID Anslut och OAuth – Välj OpenID Anslut och OAuth 2.0 om programmet du ansluter till stöder det. Mer information finns i protokollen OAuth 2.0 och OpenID Anslut på Microsofts identitetsplattform. Anvisningar för hur du implementerar OpenID Anslut enkel inloggning finns i Konfigurera OIDC-baserad enkel inloggning för ett program i Azure Active Directory.

  • SAML – Välj SAML när det är möjligt för befintliga program som inte använder OpenID Anslut eller OAuth. Mer information finns i Saml-protokollet Single Sign-On. En snabb introduktion till implementering av enkel inloggning med SAML finns i Snabbstart: Konfigurera SAML-baserad enkel inloggning för ett program i Azure Active Directory.

  • Lösenordsbaserad – Välj lösenordsbaserad när programmet har en HTML-inloggningssida. Lösenordsbaserad enkel inloggning kallas även för lösenordsvalv. Med lösenordsbaserad enkel inloggning kan du hantera användaråtkomst och lösenord till webbprogram som inte stöder identitetsfederation. Det är också användbart när flera användare behöver dela ett enda konto, till exempel till organisationens appkonton för sociala medier.

    Lösenordsbaserad enkel inloggning stöder program som kräver flera inloggningsfält för program som kräver mer än bara användarnamn- och lösenordsfält för att logga in. Du kan anpassa etiketterna för de användarnamn- och lösenordsfält som användarna ser på Mina appar när de anger sina autentiseringsuppgifter. Anvisningar för hur du implementerar lösenordsbaserad enkel inloggning finns i Lösenordsbaserad enkel inloggning.

  • Länkad – Välj länkad när programmet har konfigurerats för enkel inloggning i en annan identitetsprovidertjänst. Med alternativet Länkad kan du konfigurera målplatsen när en användare väljer programmet i organisationens portaler. Du kan lägga till en länk till en anpassad webbapp som för närvarande använder federation, till exempel Active Directory Federation Services (AD FS).

    Du kan också lägga till länkar till specifika webbsidor som du vill ska visas på användarens åtkomstpaneler och i en app som inte kräver autentisering. Alternativet Länkad tillhandahåller inte någon inloggningsfunktion via Azure AD-autentiseringsuppgifter. Steg för att implementera länkad enkel inloggning finns i Länkad enkel inloggning.

  • Inaktiverad – Välj inaktiverad enkel inloggning när programmet inte är redo att konfigureras för enkel inloggning.

  • Integrerad Windows-autentisering (IWA) – Välj enkel inloggning med IWA för program som använder IWA eller för anspråksmedvetna program. Mer information finns i Kerberos-begränsad delegering för enkel inloggning till dina program med Programproxy.

  • Rubrikbaserad – Välj rubrikbaserad enkel inloggning när programmet använder rubriker för autentisering. Mer information finns i Rubrikbaserad enkel inloggning.

Nästa steg