Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera informacje, których można użyć do planowania wdrożenia logowania jednokrotnego w usłudze Microsoft Entra ID. Podczas planowania wdrożenia SSO dla aplikacji w Microsoft Entra ID należy wziąć pod uwagę następujące pytania:
- Jakie role administracyjne są wymagane do zarządzania aplikacją?
- Czy certyfikat aplikacji SAML (Security Assertion Markup Language) musi zostać odnowiony?
- Kto musi zostać powiadomiony o zmianach związanych z implementacją logowania jednokrotnego?
- Jakie licencje są potrzebne w celu zapewnienia efektywnego zarządzania aplikacją?
- Czy konta użytkowników udostępnionych i gości są używane do uzyskiwania dostępu do aplikacji?
- Czy rozumiem opcje wdrażania Jednokrotnego Logowania?
Role administracyjne
Zawsze używaj roli z najmniejszymi dostępnymi uprawnieniami, aby wykonać wymagane zadanie w ramach identyfikatora Entra firmy Microsoft. Zapoznaj się z różnymi dostępnymi rolami i wybierz odpowiednie role, aby rozwiązać potrzeby każdej osoby dla aplikacji. Po zakończeniu wdrażania niektóre role mogą być tymczasowo stosowane i usuwane.
| Osoba | Role | Rola Entra firmy Microsoft (w razie potrzeby) |
|---|---|---|
| Administrator pomocy technicznej | Obsługa warstwy 1 umożliwia wyświetlenie dzienników logowania w celu rozwiązania problemów. | Żaden |
| Administrator tożsamości | Konfigurowanie i debugowanie, gdy problemy dotyczą identyfikatora Entra firmy Microsoft | Administrator aplikacji w chmurze |
| Administrator aplikacji | Zaświadczenie użytkownika w aplikacji, konfiguracja użytkowników z uprawnieniami | Żaden |
| Administratorzy infrastruktury | Właściciel odnowienia certyfikatu | Administrator aplikacji w chmurze |
| Właściciel firmy/uczestnik projektu | Zaświadczenie użytkownika w aplikacji, konfiguracja użytkowników z uprawnieniami | Żaden |
Aby dowiedzieć się więcej o rolach administracyjnych firmy Microsoft Entra, zobacz Wbudowane role firmy Microsoft Entra.
Certyfikaty
Po włączeniu federacji w aplikacji SAML identyfikator Entra firmy Microsoft tworzy certyfikat, który jest domyślnie ważny przez trzy lata. W razie potrzeby możesz dostosować datę wygaśnięcia tego certyfikatu. Przed wygaśnięciem upewnij się, że istnieją procesy odnawiania certyfikatów.
Zmieniasz czas trwania certyfikatu w centrum administracyjnym firmy Microsoft Entra. Pamiętaj, aby udokumentować wygaśnięcie i wiedzieć, jak zarządzać odnawianiem certyfikatu. Ważne jest, aby zidentyfikować odpowiednie role i listy dystrybucyjne poczty e-mail związane z zarządzaniem cyklem życia certyfikatu podpisywania. Zalecane są następujące role:
- Właściciel odpowiedzialny za aktualizację właściwości użytkownika w aplikacji
- Właściciel dostępny do rozwiązywania problemów z aplikacją
- Ściśle monitorowana lista dystrybucyjna poczty e-mail dla powiadomień o zmianach związanych z certyfikatami
Skonfiguruj proces obsługi zmiany certyfikatu między identyfikatorem Entra firmy Microsoft a aplikacją. Dzięki temu procesowi można zapobiec przestojowi lub go zminimalizować z powodu wygaśnięcia certyfikatu lub wymuszonej zmiany certyfikatu. Aby uzyskać więcej informacji, zobacz Zarządzanie certyfikatami na potrzeby federacyjnego logowania jednokrotnego usługi Microsoft Entra ID.
Komunikacja
Komunikacja ma kluczowe znaczenie dla sukcesu każdej nowej usługi. Proaktywne informowanie użytkowników o nadchodzących zmianach doświadczenia. Komunikowanie, kiedy ma nastąpić zmiana, i jak uzyskać wsparcie w przypadku wystąpienia problemów. Przejrzyj opcje uzyskiwania dostępu do aplikacji z obsługą logowania jednokrotnego i twórz komunikację zgodnie z wyborem.
Zaimplementuj plan komunikacji. Upewnij się, że użytkownicy wiedzą, że nadchodzi zmiana, kiedy nadejdzie i co należy zrobić teraz. Upewnij się również, że podajesz informacje o sposobach poszukiwania pomocy.
Licencjonowanie
Upewnij się, że aplikacja jest objęta następującymi wymaganiami dotyczącymi licencjonowania:
Licencjonowanie identyfikatora Entra firmy Microsoft — logowanie jednokrotne dla wstępnie zintegrowanych aplikacji dla przedsiębiorstw jest bezpłatne. Jednak liczba obiektów w katalogu i funkcji, które chcesz wdrożyć, może wymagać większej liczby licencji. Aby uzyskać pełną listę wymagań licencyjnych, zobacz cennik firmy Microsoft Entra.
Licencjonowanie aplikacji — potrzebujesz odpowiednich licencji dla aplikacji, aby spełniały twoje potrzeby biznesowe. Skontaktuj się z właścicielem aplikacji, aby określić, czy użytkownicy przypisani do aplikacji mają odpowiednie licencje dla swoich ról w aplikacji. Jeśli identyfikator Entra firmy Microsoft zarządza automatyczną aprowizowaniem na podstawie ról, role przypisane w identyfikatorze Entra firmy Microsoft muszą być zgodne z liczbą licencji należących do aplikacji. Niewłaściwa liczba licencji należących do aplikacji może prowadzić do błędów podczas aprowizacji lub aktualizowania konta użytkownika.
Konta udostępnione
Z punktu widzenia logowania aplikacje używające współdzielonych kont nie różnią się od aplikacji dla przedsiębiorstw, które używają SSO opartego na hasłach dla pojedynczych użytkowników. Jednak podczas planowania i konfigurowania aplikacji przeznaczonej do korzystania z kont udostępnionych jest wymaganych więcej kroków.
- Współpracuj z użytkownikami, aby udokumentować następujące informacje:
- Zestaw użytkowników w organizacji, którzy mają używać aplikacji.
- Istniejący zestaw poświadczeń w aplikacji skojarzony z zestawem użytkowników.
- Dla każdej kombinacji zestawu użytkowników i poświadczeń utwórz grupę zabezpieczeń w chmurze lub lokalnie na podstawie wymagań.
- Zresetuj poświadczenia udostępnione. Po wdrożeniu aplikacji w usłudze Microsoft Entra ID użytkownicy indywidualni nie potrzebują hasła konta udostępnionego. Microsoft Entra ID przechowuje hasło i należy rozważyć ustawienie go tak, aby było długie i złożone.
- Skonfiguruj automatyczne przerzucanie hasła, jeśli aplikacja go obsługuje. W ten sposób nawet administrator, który wykonał początkową konfigurację, nie zna hasła konta udostępnionego.
Opcje logowania jednokrotnego
Istnieje kilka sposobów konfigurowania aplikacji na potrzeby logowania jednokrotnego. Wybór metody logowania jednokrotnego zależy od tego, jak aplikacja jest skonfigurowana do uwierzytelniania.
- Aplikacje w chmurze mogą używać protokołu OpenID Connect, OAuth, SAML, opartego na hasłach lub połączonego na potrzeby logowania jednokrotnego. Logowanie jednokrotne można również wyłączyć.
- Aplikacje lokalne mogą używać uwierzytelniania opartego na hasłach, zintegrowanego uwierzytelniania systemu Windows, opartego na nagłówku lub powiązanego na potrzeby jednokrotnego logowania (SSO). Opcje lokalne działają, gdy aplikacje są skonfigurowane pod kątem serwera proxy aplikacji.
Ten diagram przepływu może pomóc w dokonaniu wyboru najlepszej metody SSO dla Twojej sytuacji.
Dostępne są następujące protokoły logowania jednokrotnego:
OpenID Connect i OAuth — wybierz OpenID Connect i OAuth 2.0, jeśli aplikacja, z którą nawiązujesz połączenie, obsługuje je. Aby uzyskać więcej informacji, zobacz Protokoły OAuth 2.0 i OpenID Connect na platformie tożsamości Microsoft. Aby uzyskać instrukcje implementowania logowania jednokrotnego openID Connect, zobacz Konfigurowanie logowania jednokrotnego opartego na protokole OIDC dla aplikacji w usłudze Microsoft Entra ID.
SAML — wybierz protokół SAML zawsze, gdy jest to możliwe dla istniejących aplikacji, które nie korzystają z protokołu OpenID Connect ani OAuth. Aby uzyskać więcej informacji, zobacz Protokół SAML logowania jednokrotnego.
Oparte na hasłach - Wybierz opcję opartą na hasłach, kiedy aplikacja posiada stronę logowania HTML. Logowanie jednokrotne oparte na hasłach jest również nazywane przechowywaniem haseł. Logowanie jednokrotne oparte na hasłach umożliwia zarządzanie dostępem użytkowników i hasłami do aplikacji internetowych, które nie obsługują federacji tożsamości. Jest to również przydatne, gdy kilku użytkowników musi współużytkować pojedyncze konto, na przykład na kontach aplikacji społecznościowych organizacji.
Logowanie jednokrotne oparte na hasłach obsługuje aplikacje, które wymagają wielu pól logowania dla aplikacji, które wymagają więcej niż tylko pól nazwy użytkownika i hasła do logowania. Możesz dostosować etykiety pól "nazwa użytkownika" i "hasło", które użytkownicy widzą w aplikacji Moje Aplikacje podczas wprowadzania swoich poświadczeń. Aby uzyskać instrukcje implementowania logowania jednokrotnego opartego na hasłach, zobacz Logowanie jednokrotne oparte na hasłach.
Połączony — wybierz opcję "połączony", gdy aplikacja jest skonfigurowana do logowania jednokrotnego w innej usłudze dostawcy tożsamości. Połączona opcja umożliwia skonfigurowanie lokalizacji docelowej, gdy użytkownik wybierze aplikację w portalach użytkowników końcowych organizacji. Możesz dodać link do niestandardowej aplikacji internetowej, która obecnie używa federacji, takiej jak usługi Active Directory Federation Services (ADFS).
Możesz również dodać linki do określonych stron sieci Web, które mają być wyświetlane na panelach dostępu użytkownika i do aplikacji, która nie wymaga uwierzytelniania. Opcja Połączona nie zapewnia funkcji logowania za pośrednictwem poświadczeń firmy Microsoft Entra. Aby uzyskać instrukcje implementowania połączonego logowania jednokrotnego, zobacz Połączone logowanie jednokrotne.
Wyłączone — wybierz wyłączone logowanie jednokrotne, gdy aplikacja nie jest gotowa do skonfigurowania logowania jednokrotnego.
Zintegrowane Uwierzytelnianie Systemu Windows (IWA) — Wybierz jednokrotne logowanie IWA dla aplikacji wykorzystujących IWA lub aplikacji obsługujących oświadczenia. Aby uzyskać więcej informacji, zobacz Ograniczone delegowanie protokołu Kerberos na potrzeby logowania jednokrotnego do aplikacji przy użyciu serwera proxy aplikacji.
Na bazie nagłówków — wybierz logowanie jednokrotne na bazie nagłówków, gdy aplikacja używa nagłówków do uwierzytelniania. Aby uzyskać więcej informacji, zapoznaj się z Jednokrotne logowanie oparte na nagłówkach.