Planera en distribution för enkel inloggning

Den här artikeln innehåller information som du kan använda för att planera distributionen av enkel inloggning (SSO) i Microsoft Entra-ID. När du planerar din SSO-distribution med dina program i Microsoft Entra-ID måste du överväga följande frågor:

  • Vilka administrativa roller krävs för att hantera programmet?
  • Behöver SAML-programcertifikatet (Security Assertion Markup Language) förnyas?
  • Vem behöver meddelas om ändringar i samband med genomförandet av enkel inloggning?
  • Vilka licenser behövs för att säkerställa effektiv hantering av programmet?
  • Används delade användarkonton och gästanvändarkonton för att komma åt programmet?
  • Förstår jag alternativen för SSO-distribution?

Administrativa roller

Använd alltid rollen med minst tillgängliga behörigheter för att utföra den uppgift som krävs i Microsoft Entra-ID: t. Granska de olika roller som är tillgängliga och välj rätt för att lösa dina behov för varje persona för programmet. Vissa roller kan behöva tillämpas tillfälligt och tas bort när distributionen har slutförts.

Persona Roller Microsoft Entra-roll (om det behövs)
Supportadministratör Stöd för nivå 1 visar inloggningsloggarna för att lösa problem. Ingen
Identitetsadministratör Konfigurera och felsöka när problem rör Microsoft Entra-ID Molnappadministratör
Programadministratör Användarattestering i programmet, konfiguration för användare med behörighet Ingen
Infrastrukturadministratörer Ägaren av certifikatet för rollover Molnappadministratör
Företagsägare/intressent Användarattestering i programmet, konfiguration för användare med behörighet Ingen

Mer information om administrativa Microsoft Entra-roller finns i Inbyggda Roller i Microsoft Entra.

Certifikat

När du aktiverar federation i SAML-programmet skapar Microsoft Entra-ID ett certifikat som är giltigt som standard i tre år. Du kan anpassa förfallodatumet för certifikatet om det behövs. Se till att du har processer på plats för att förnya certifikat innan de upphör att gälla.

Du ändrar certifikatets varaktighet i administrationscentret för Microsoft Entra. Se till att dokumentera förfallodatumet och vet hur du hanterar certifikatförnyelsen. Det är viktigt att identifiera rätt roller och distributionslistor för e-post som ingår i hanteringen av livscykeln för signeringscertifikatet. Följande roller rekommenderas:

  • Ägare för uppdatering av användaregenskaper i programmet
  • Support för felsökning av ägarsamtal för program
  • Noga övervakad e-postdistributionslista för certifikatrelaterade ändringsmeddelanden

Konfigurera en process för hur du hanterar en certifikatändring mellan Microsoft Entra-ID och ditt program. Genom att ha den här processen på plats kan du förhindra eller minimera ett avbrott på grund av att ett certifikat har upphört att gälla eller en framtvingad certifikatåterställning. Mer information finns i Hantera certifikat för federerad enkel inloggning i Microsoft Entra ID.

Kommunikation

Kommunikation är avgörande för att alla nya tjänster ska lyckas. Kommunicera proaktivt med dina användare om den kommande upplevelsen. Kommunicera när ändringar ska ske och hur du får support om de får problem. Granska alternativen för hur användare ska få åtkomst till sina SSO-aktiverade program och skapa din kommunikation för att matcha ditt val.

Implementera din kommunikationsplan. Se till att användarna får veta att en ändring kommer, när den kommer och vad de ska göra nu. Se också till att du anger information om hur du söker hjälp.

Licensiering

Kontrollera att programmet omfattas av följande licenskrav:

  • Microsoft Entra ID-licensiering – enkel inloggning för förinstallerade företagsprogram är kostnadsfri. Antalet objekt i katalogen och de funktioner som du vill distribuera kan dock kräva fler licenser. En fullständig lista över licenskrav finns i Microsoft Entra-priser.

  • Programlicensiering – Du behöver lämpliga licenser för dina program för att uppfylla dina affärsbehov. Arbeta med programägaren för att avgöra om de användare som tilldelats programmet har rätt licenser för sina roller i programmet. Om Microsoft Entra-ID hanterar den automatiska etableringen baserat på roller måste de roller som tilldelats i Microsoft Entra-ID överensstämma med antalet licenser som ägs i programmet. Felaktigt antal licenser som ägs i programmet kan leda till fel vid etablering eller uppdatering av ett användarkonto.

Delade konton

Från inloggningsperspektiv skiljer sig inte program med delade konton från företagsprogram som använder lösenords-SSO för enskilda användare. Det krävs dock fler steg när du planerar och konfigurerar ett program som är avsett att använda delade konton.

  • Arbeta med användare för att dokumentera följande information:
    • Uppsättningen användare i organisationen som ska använda programmet.
    • Den befintliga uppsättningen autentiseringsuppgifter i programmet som är associerat med uppsättningen användare.
  • För varje kombination av användaruppsättningar och autentiseringsuppgifter skapar du en säkerhetsgrupp i molnet eller lokalt baserat på dina krav.
  • Återställ de delade autentiseringsuppgifterna. När programmet har distribuerats i Microsoft Entra-ID behöver enskilda användare inte lösenordet för det delade kontot. Microsoft Entra ID lagrar lösenordet och du bör överväga att ange att det ska vara långt och komplext.
  • Konfigurera automatisk återställning av lösenordet om programmet stöder det. På så sätt känner inte ens administratören som gjorde den första installationen till lösenordet för det delade kontot.

Alternativ för enkel inloggning

Det finns flera sätt att konfigurera ett program för enkel inloggning. Valet av en metod för enkel inloggning beror på hur programmet är konfigurerat för autentisering.

  • Molnprogram kan använda OpenID Connect, OAuth, SAML, lösenordsbaserad eller länkad för enkel inloggning. Enkel inloggning kan även inaktiveras.
  • Lokala program kan använda lösenordsbaserad, integrerad Windows-autentisering, huvudbaserad eller länkad för enkel inloggning. De lokala alternativen fungerar när program är konfigurerade för Programproxy.

Det här flödesschemat kan hjälpa dig att avgöra vilken metod för enkel inloggning som passar bäst för din situation.

Beslutsflödesschema för metod för enkel inloggning

Följande SSO-protokoll är tillgängliga att använda:

  • OpenID Anslut och OAuth – Välj OpenID Anslut och OAuth 2.0 om programmet som du ansluter till stöder det. Mer information finns i protokollen OAuth 2.0 och OpenID Anslut på Microsofts identitetsplattform. Anvisningar för hur du implementerar OpenID Anslut enkel inloggning finns i Konfigurera OIDC-baserad enkel inloggning för ett program i Microsoft Entra-ID.

  • SAML – Välj SAML när det är möjligt för befintliga program som inte använder OpenID Anslut eller OAuth. Mer information finns i SAML-protokoll för enkel inloggning.

  • Lösenordsbaserad – Välj lösenordsbaserad när programmet har en HTML-inloggningssida. Lösenordsbaserad enkel inloggning kallas även för lösenordsvalv. Med lösenordsbaserad enkel inloggning kan du hantera användaråtkomst och lösenord till webbprogram som inte stöder identitetsfederation. Det är också användbart när flera användare behöver dela ett enda konto, till exempel till organisationens appkonton för sociala medier.

    Lösenordsbaserad enkel inloggning stöder program som kräver flera inloggningsfält för program som kräver mer än bara användarnamn och lösenord för att logga in. Du kan anpassa etiketterna för de användarnamn och lösenordsfält som användarna ser på Mina appar när de anger sina autentiseringsuppgifter. Anvisningar för hur du implementerar lösenordsbaserad enkel inloggning finns i Lösenordsbaserad enkel inloggning.

  • Länkad – Välj länkad när programmet har konfigurerats för enkel inloggning i en annan identitetsprovidertjänst. Med det länkade alternativet kan du konfigurera målplatsen när en användare väljer programmet i organisationens slutanvändarportaler. Du kan lägga till en länk till ett anpassat webbprogram som för närvarande använder federation, till exempel Active Directory Federation Services (AD FS) (ADFS).

    Du kan också lägga till länkar till specifika webbsidor som du vill ska visas på användarens åtkomstpaneler och i en app som inte kräver autentisering. Alternativet Länkad tillhandahåller inte inloggningsfunktioner via Microsoft Entra-autentiseringsuppgifter. Anvisningar för hur du implementerar länkad enkel inloggning finns i Länkad enkel inloggning.

  • Inaktiverad – Välj inaktiverad enkel inloggning när programmet inte är redo att konfigureras för enkel inloggning.

  • Integrerad Windows-autentisering (IWA) – Välj enkel inloggning med IWA för program som använder IWA eller för anspråksmedvetna program. Mer information finns i Kerberos-begränsad delegering för enkel inloggning till dina program med Programproxy.

  • Rubrikbaserad – Välj rubrikbaserad enkel inloggning när programmet använder rubriker för autentisering. Mer information finns i Rubrikbaserad enkel inloggning.

Nästa steg