規劃單一登入部署

單一登入 (SSO) 表示只要使用單一使用者帳戶登入一次,就能存取使用者需要的所有應用程式和資源。 使用 SSO 時,使用者可以存取所有需要的應用程式,而不需要再次驗證。

SSO 的優點

當使用者登入 Azure Active Directory (Azure AD) 中的應用程式時,單一登入 (SSO) 可增加安全性與便利性。

許多組織都依賴軟體即服務 (SaaS) 應用程式,例如 Microsoft 365、Box 和 Salesforce,以提供使用者生產力。 在過去,IT 人員需要在每個 SaaS 應用程式中個別建立並更新使用者帳戶,而使用者必須記住每個 SaaS 應用程式的密碼。

3000 Azure Marketplace 的應用程式具有預先整合的 SSO 連線,可讓您輕鬆地將其整合到您的租使用者中。

授權

  • Azure AD 的授權 -SSO 適用于預先整合的 SaaS 應用程式是免費的。 不過,您目錄中的物件數目和您想要部署的功能可能需要額外的授權。 如需授權需求的完整清單,請參閱Azure Active Directory 定價
  • 應用程式授權 -您需要適用于 SaaS 應用程式的適當授權才能滿足您的業務需求。 與應用程式擁有者合作,以判斷指派給應用程式的使用者是否具有應用程式中其角色的適當授權。 如果 Azure AD 管理以角色為基礎的自動布建,Azure AD 中指派的角色必須與應用程式中擁有的授權數目一致。 應用程式所擁有的授權數量不正確,可能會在使用者布建/更新期間導致錯誤。

規劃您的 SSO 小組

  • 參與適當的專案關係人 -當技術專案失敗時,通常是因為對影響、結果和責任的預期不相符。 若要避免這些問題,請 確定您已吸引適當的專案關係人 ,而且專案關係人瞭解他們的角色。
  • 規劃通訊 -通訊對於任何新服務的成功都很重要。 主動與您的使用者溝通其體驗將如何變更、何時會變更,以及如何在遇到問題時獲得支援。 檢查 終端使用者如何存取啟用 SSO 的應用程式的選項,並製作您的通訊以符合您的選擇。

規劃您的 SSO 通訊協定

以同盟通訊協定為基礎的 SSO 執行可改善安全性、可靠性和使用者體驗,而且更容易執行。 許多應用程式都已在 Azure AD 中預先整合,並 提供逐步指南。 您可以在我們的 Azure Marketplace上找到它們。 Detailed information on each SSO method can be found in the article Single sign-on to applications in Azure Active Directory.

您可以透過兩種主要方式,讓使用者能夠單一登入您的應用程式:

  • 使用同盟單一登入 Azure AD 使用他們的 Azure AD 帳戶向應用程式驗證使用者。 這種方法支援支援通訊協定(例如 SAML 2.0、WS-同盟或 OpenID Connect)的應用程式,而且是單一登入的最豐富模式。 建議您在應用程式支援時使用同盟 SSO 搭配 Azure AD,而不是以密碼為基礎的 SSO 和 ADFS。

  • 使用以密碼為基礎的單一登入 使用者第一次使用使用者名稱和密碼登入應用程式時,他們會存取該應用程式。 第一次登入之後,Azure AD 就會向應用程式提供使用者名稱和密碼。 密碼式單一登入可以使用網頁瀏覽器擴充功能或行動應用程式,安全儲存應用程式的密碼以及重新執行。 此選項會利用應用程式提供的現有登入程式,讓系統管理員可以管理密碼,而且使用者不需要知道密碼。

同盟型 SSO 的考慮

  • 使用 OpenID Connect 和 oauth -如果您要連接的應用程式支援此應用程式,請使用 OIDC/OAuth 2.0 方法來啟用該應用程式的 SSO。 此方法需要較少的設定,並可提供更豐富的使用者體驗。 如需詳細資訊,請參閱OAuth 2.0OpenID Connect 1.0Azure Active Directory 開發人員指南
  • Saml 型 SSO 的端點 設定-如果您使用 saml,開發人員在設定應用程式之前將需要特定資訊。 如需詳細資訊,請參閱 設定 SAML 型單一登入
  • SAML 型 sso 的憑證管理 -當您為應用程式啟用同盟 SSO 時,Azure AD 會建立預設有效期限為三年的憑證。 您可以視需要自訂該憑證的到期日。 確定您已準備好在憑證到期之前更新憑證的流程。 若要深入瞭解,請參閱 Azure AD 管理憑證

密碼型 SSO 的考慮

使用 Azure AD 的密碼型 SSO 需要部署瀏覽器延伸模組,以安全地取出認證並填寫登入表單。 定義一種機制,以 支援的瀏覽器大規模部署擴充功能。 這些選項包括:

若要深入瞭解,請參閱 如何設定密碼單一登入

Microsoft 支援在 web 應用程式上取得密碼保存庫的中繼資料, (在) 中捕捉使用者名稱和密碼欄位。 在設定應用程式以捕捉表單中繼資料的過程中,流覽至登入 URL。 要求應用程式擁有者輸入確切的登入 URL。 這項資訊會在登入程式期間使用,在登入期間將 Azure AD 認證對應到應用程式。

若要深入瞭解,請參閱 什麼是使用 Azure AD?–密碼型 sso 的應用程式存取和 SSO

需要重新擷取表單中中繼資料的指示

當應用程式變更其 HTML 版面配置時,您可能需要重新捕獲中繼資料以調整變更。 指出 HTML 版面配置有變更的常見徵兆包括:

  • 報表按一下應用程式的使用者會在登入頁面中收到「停滯」
  • 報告使用者名稱或密碼未填入的使用者

共用帳戶

從登入觀點來看,具有共用帳戶的應用程式不會與針對個別使用者使用密碼 SSO 的資源庫應用程式不同。 不過,在規劃和設定打算使用共用帳戶的應用程式時,需要執行一些額外的步驟:

  1. 與應用程式商務使用者合作,記錄下列各項:
    1. 組織中將使用應用程式的使用者集合
    2. 與使用者集合相關聯的應用程式中現有的認證集
  2. 針對每個使用者集合和認證的組合,根據您的需求在雲端或內部部署中建立安全性群組。
  3. 重設共用認證。 在 Azure AD 中部署應用程式後,個人不需要共用帳戶的密碼。 由於 Azure AD 會儲存密碼,因此請考慮將它設定為非常長且複雜。
  4. 設定自動變換密碼(如果應用程式支援的話)。 如此一來,甚至是執行初始安裝程式的系統管理員,就會知道共用帳戶的密碼。

規劃您的驗證方法

選擇正確的驗證方法是設定 Azure AD 混合式身分識別解決方案的第一項重要決策。 請實作使用 Azure AD Connect 所設定的驗證方法,這也會在雲端佈建使用者。

若要選擇驗證方法,需要考慮實作您選取項目的時間、現有基礎結構、複雜度及成本。 這些因素對每個組織而言不同,並可能隨時間改變。 您應該選擇最符合您特定案例的專案。 如需詳細資訊,請參閱為您的 Azure Active Directory 混合式身分識別解決方案選擇正確的驗證方法

規劃安全性和治理

身分識別是新的主要樞紐分析表,可進行安全性關注和投資,因為網路周邊逐漸愈來愈,而且在 BYOD 裝置和雲端應用程式的爆炸中也變得更有效率。

規劃存取權評論

存取評論 可讓組織有效地管理群組成員資格、企業應用程式的存取權,以及角色指派。 您應規劃定期審核使用者存取,以確保只有適當的人員可繼續存取。

在設定存取權審查時,需要規劃的一些重要主題包括:

  1. 識別符合您商務需求的存取權評論步調。 這可以是每週、每月、每年或作為隨選練習的頻率。

  2. 建立代表應用程式存取報表審核者的群組。 您必須確保最熟悉應用程式及其目標使用者和使用案例的專案關係人是存取權評論中的參與者

  3. 完成存取權審核包括對不再需要存取權的使用者取得應用程式存取權限。 規劃如何處理拒絕使用者的潛在支援要求。 已刪除的使用者會在 Azure AD 的30天內保持刪除,在這段期間,系統管理員可以視需要還原。 經過 30 天後,該使用者將永久刪除。 使用 Azure Active Directory 入口網站時,全域管理員可以明確地永久刪除最近刪除的使用者,然後再達到該時間週期。

規劃審核

Azure AD 提供 包含技術和商業見解的報表

安全性和活動報告都可供使用。 安全性報告會顯示標示為有風險的使用者和有風險的登入。活動報告可協助您瞭解組織中使用者的行為,方法是詳述登入活動,並提供所有登入的審核線索。 您可以使用報告來管理風險、提高生產力,以及監視合規性。

報表類型 存取權審核 安全性報告 登入報告
用於審查 應用程式許可權和使用方式。 可能遭盜用的帳戶 神秘正在存取應用程式
可能的動作 審核存取;撤銷許可權 撤銷存取權;強制重設安全性 [撤銷存取權]

Azure AD 保留30天的大部分審核資料,並透過 Azure 系統管理員入口網站或透過 API 取得資料,以供您下載至分析系統。

考慮使用 Microsoft Cloud 應用程式安全性

Microsoft Cloud App Security (MCAS) 是雲端存取安全性代理程式 (CASB) 解決方案。 它可讓您瞭解雲端應用程式和服務,提供精密的分析來識別和對抗網路威脅,並可讓您控制資料的傳輸方式。

部署 MCAS 可讓您:

  • 使用 Cloud Discovery 來對應及識別您的雲端環境和您的組織所使用的雲端應用程式。
  • 批准和取消批准雲端中的應用程式
  • 使用易於部署的應用程式連接器,以利用提供者 Api 來查看和管理您所連接的應用程式
  • 使用條件式存取應用程式控制保護來取得雲端應用程式內的存取和活動的即時可見度和控制權
  • 藉由設定,然後持續微調原則,協助您進行連續控制。

Microsoft Cloud Application Security (MCAS) 會話控制項可供任何作業系統上任何主要平臺上的任何瀏覽器使用。 您也可以封鎖或允許行動應用程式和傳統型應用程式。 藉由原生整合 Azure AD,可支援任何以 SAML 設定的應用程式,或在 Azure AD 中使用單一登入的 Open ID 連線應用程式,包括數個精選應用程式

如需 MCAS 的詳細資訊,請參閱Microsoft Cloud App Security 總覽。 MCAS 是以使用者為基礎的訂閱服務。 您可以在 MCAS 授權資料工作表中查看授權詳細資料。

使用條件式存取

您可以使用條件式存取,將雲端應用程式的條件式存取控制決策自動化。

完成第一個要素驗證之後,即會強制執行條件式存取原則。 因此,條件式存取不適合作為拒絕服務 (DoS) 攻擊這類案例的第一道防線,但是可以利用來自這些事件的信號來決定存取權。 例如,您可以使用登入風險層級、要求位置等等。 如需條件式存取的詳細資訊,請參閱 總覽部署計畫

Azure SSO 技術需求

下一節將詳細說明設定特定應用程式的需求,包括必要的環境 () 、端點、宣告對應、必要屬性、憑證和使用的通訊協定。 您將需要這項資訊,才能在 Azure AD 入口網站中設定 SSO。

驗證機制詳細資料

針對所有預先整合的 SaaS 應用程式,Microsoft 提供了教學課程,您不需要此資訊。 如果應用程式不在我們的應用程式 marketplace/資源庫中,您可能需要收集下列資料片段:

  • 應用程式用於 SSO 的目前身分識別提供者 (如適用),例如: AD FS、PingFederate、Okta
  • 目標應用程式所支援的通訊協定,例如 SAML 2.0、OpenID Connect、OAuth、Forms-Based AUTH、WS-送出 WS-Trust
  • 使用 Azure AD 設定的通訊協定,例如 SAML 2.0 或1.1、OpenID Connect、OAuth、以表單為基礎 WS-Fed

屬性需求

在 Azure AD 使用者物件和每個 SaaS 應用程式的使用者物件之間,有一組預先設定的屬性和屬性對應。 某些應用程式會管理其他類型的物件,例如群組。 規劃將使用者屬性從 Azure AD 對應到您的應用程式,並根據您的業務需求 自訂預設的屬性 對應。

憑證需求

應用程式的憑證必須是最新的,或有使用者無法存取應用程式的風險。 大部分的 SaaS 應用程式憑證適用于36個月。 您可以在應用程式分頁中變更該憑證的持續時間。 請務必記錄到期日,並瞭解您將如何管理您的憑證更新。

有兩種方式可以管理您的憑證。

  • 自動憑證變換 -Microsoft 支援 Azure AD 中簽署金鑰變換。 雖然這是我們管理憑證的慣用方法,但並非所有 ISV 都支援此案例。

  • 手動更新 -每個應用程式都有自己的憑證,它會根據定義的方式過期。 在應用程式的憑證到期之前,請建立新的憑證,並將它傳送至 ISV。 此資訊可以從同盟中繼資料提取。 請在這裡閱讀同盟中繼資料的詳細資訊。

執行 SSO

使用下列階段在您的組織中規劃和部署您的解決方案:

SSO 的使用者設定

  • 識別您的測試使用者

    洽詢應用程式擁有者,並要求他們在應用程式內建立最少三個測試使用者。 請確定您將用來作為主要識別碼的資訊已正確填入,且符合 Azure AD 中可用的屬性。 在大部分情況下,這會對應至 SAML 型應用程式的「NameID」。 若為 JWT 權杖,則為「preferred_username」。

    使用 Azure AD Connect 同步處理引擎以手動方式在 Azure AD 中建立使用者,或將使用者從內部部署環境同步處理。 確定資訊符合傳送至應用程式的宣告。

  • 設定 SSO

    應用程式清單中,找出並開啟您應用程式的 SSO 教學課程,然後遵循教學課程中的步驟,以成功設定您的 SaaS 應用程式。

    如果找不到您的應用程式,請參閱 自訂應用程式檔。 這將逐步引導您瞭解如何新增不在 Azure AD 資源庫中的應用程式。

    (選擇性)您可以使用 Microsoft 指引檔,針對企業應用程式使用 SAML 權杖中發出的宣告。 確定這會對應到您預期會在應用程式的 SAML 回應中收到的內容。 如果您在設定期間遇到問題,請使用我們的指導方針 來偵測 SSO 整合

提供對終端使用者的 SSO 變更通訊

實行您的通訊計畫。 確定您要讓使用者知道有變更正在進行、當它抵達時、現在該怎麼做,以及如何尋求協助。

確認 SSO 的終端使用者案例

您可以使用下列測試案例,在公司擁有的裝置和個人裝置上進行測試,以確保您的 SSO 設定能如預期般運作。 下列案例假設使用者正在流覽至應用程式 URL,並透過服務提供者所起始的驗證流程 (SP 起始的驗證流程) 。

案例 由使用者在 SP 起始的驗證流程上預期的結果
在公司網路上使用 IE 登入應用程式。 整合式 Windows 驗證 (IWA) 不會有其他提示。
使用 IE 登入應用程式,同時透過新的登入嘗試進行公司網路。 AD FS 伺服器上以表單為基礎的提示。 使用者成功登入 MFA 的瀏覽器提示。
使用 IE 登入應用程式,同時使用目前的會話關閉公司網路,而且從未執行過 MFA。 使用者不會收到第一個因素的提示。 使用者收到 MFA 的提示。
使用 IE 登入應用程式,同時使用目前的會話關閉公司網路,並已在此會話中執行 MFA。 使用者不會收到第一個因素的提示。 使用者不會收到 MFA。 使用者 SSOs 到應用程式。
使用 Chrome/Firefox/Safari 登入應用程式,同時使用目前的會話關閉公司網路,並已在此會話中執行 MFA。 使用者不會收到第一個因素的提示。 使用者不會收到 MFA。 使用者 SSO 的應用程式。
使用 Chrome/Firefox/Safari 登入應用程式,同時透過新的登入嘗試進行公司網路。 AD FS 伺服器上以表單為基礎的提示。 使用者成功登入 MFA 的瀏覽器提示。
在目前會話的公司網路上使用 Chrome/Firefox 登入應用程式。 使用者不會收到第一個因素的提示。 使用者不會收到 MFA。 使用者 SSO 的應用程式。
使用具有新登入嘗試的應用程式行動應用程式登入應用程式。 AD FS 伺服器上以表單為基礎的提示。 使用者成功登入 MFA 的 ADAL 用戶端提示。
未經授權的使用者嘗試使用登入 URL 登入應用程式。 AD FS 伺服器上以表單為基礎的提示。 使用者無法使用第一個因素登入。
授權的使用者嘗試登入,但輸入的密碼不正確。 使用者流覽至應用程式 URL,並收到錯誤的使用者名稱/密碼錯誤。
已授權的使用者按一下電子郵件中的連結,並已經過驗證。 使用者按一下 URL,並登入應用程式,而不會有其他提示。
授權的使用者按一下電子郵件中的連結,但尚未進行驗證。 使用者按一下 [URL],系統會提示您以第一個因素進行驗證。
已授權的使用者使用應用程式行動應用程式登入應用程式 (SP 起始的) ,並嘗試新的登入嘗試。 AD FS 伺服器上以表單為基礎的提示。 使用者成功登入 MFA 的 ADAL 用戶端提示。
未經授權的使用者嘗試使用登入 URL 登入應用程式, (SP 起始的) 。 AD FS 伺服器上以表單為基礎的提示。 使用者無法使用第一個因素登入。
授權的使用者嘗試登入,但輸入的密碼不正確。 使用者流覽至應用程式 URL,並收到錯誤的使用者名稱/密碼錯誤。
授權的使用者登出後再登入一次。 如果已設定登出 URL,則會將使用者登出所有服務,並提示您進行驗證。
授權的使用者登出後再登入一次。 如果未設定登出 URL,將會使用現有的 Azure AD 瀏覽器會話中的現有權杖,自動重新登入使用者。
已授權的使用者按一下電子郵件中的連結,並已經過驗證。 使用者按一下 URL,並登入應用程式,而不會有其他提示。
授權的使用者按一下電子郵件中的連結,但尚未進行驗證。 使用者按一下 [URL],系統會提示您以第一個因素進行驗證。

管理 SSO

本節將概述成功管理 SSO 的需求和建議。

必要的系統管理角色

請一律使用具有最少許可權的角色,在 Azure Active Directory 中完成所需的工作。 Microsoft 建議您 複習不同的可用角色 ,然後選擇正確的角色,為此應用程式的每個角色解決您的需求。 某些角色可能需要暫時套用,並在部署完成後移除。

角色 角色 視需要 Azure AD 角色 ()
技術支援中心管理員 第1層支援 None
身分識別管理員 在問題影響時進行設定和調試 Azure AD 全域系統管理員
應用程式管理員 應用程式中的使用者證明,具有許可權的使用者設定 None
基礎結構系統管理員 憑證變換擁有者 全域系統管理員
商務擁有者/專案關係人 應用程式中的使用者證明,具有許可權的使用者設定 None

我們建議使用Privileged Identity Management (PIM) 來管理您的角色,為具有目錄許可權的使用者提供額外的審核、控制和存取權審核。

SSO 憑證生命週期管理

請務必識別正確的角色和電子郵件通訊群組清單,負責管理 Azure AD 和使用單一登入設定之應用程式之間的簽署憑證生命週期。 以下是我們建議備妥的一些重要角色:

  • 更新應用程式中使用者屬性的擁有者
  • 應用程式中斷/修正支援的擁有者呼叫
  • 密切監視的憑證相關變更通知電子郵件通訊群組清單

憑證的最長存留期為三年。 建議您建立處理常式,以瞭解如何處理 Azure AD 和應用程式之間的憑證變更。 這有助於防止或最小化由於憑證即將過期或強制憑證變換所造成的中斷。

復原進程

當您根據測試案例完成測試之後,就可以開始使用您的應用程式進入生產階段。 移至生產環境,表示您將在生產環境租使用者中執行已規劃和測試的設定,並將其推出給您的使用者。 但是,如果您的部署未依照規劃,請務必規劃要執行的動作。 如果 SSO 設定在部署期間失敗,您必須瞭解如何減輕任何中斷情況,並降低對使用者的影響。

應用程式內驗證方法的可用性將決定您的最佳策略。 如果您的部署發生問題,請務必確定您的應用程式擁有者有詳細的檔,以瞭解如何取回原始登入設定狀態。

  • 如果您的應用程式支援多個識別提供者,例如 LDAP 和 AD FS 和 Ping,則在推出期間請勿刪除現有的 SSO 設定。 相反地,在遷移期間停用它,以防您稍後需要將它切換回來。

  • 如果您的應用程式不支援多個 idp ,但允許使用者使用表單驗證登入 (使用者名稱/密碼) ,請確定使用者可以切換回此方法,以防新的 SSO 設定推出失敗。

存取管理

建議您在管理資源的存取權時,選擇調整的方法。 常見的方法包括利用內部部署群組,方法是透過 Azure AD Connect 同步、根據使用者屬性在 Azure AD 中建立動態群組,或是在資源擁有者所管理的 Azure AD 中建立自助群組

監視安全性

建議您定期設定,以查看 SaaS 應用程式安全性的不同層面,並執行任何必要的補救動作。

疑難排解

下列連結顯示疑難排解案例。 您可能會想要針對包含這些案例的支援人員和修正這些案例的步驟,建立特定的指南。

登入問題

應用程式的 SSO 問題

下一步

偵錯 SAML 型 SSO

透過 PowerShell 的應用程式宣告對應

自訂在 SAML 權杖中發出的宣告

單一登入 SAML 通訊協定

單一 Sign-Out SAML 通訊協定

Azure AD 夥伴和廠商等外部使用者的 B2B ()

Azure AD 條件式存取

Azure Identity Protection

SSO 存取

應用程式 SSO 教學課程

白皮書下載-單一登入部署計畫