什麼是 Microsoft Entra ID 的 SAML 型單一登入?

本文提供您可用單一登入 (SSO) 選項的相關信息。 它也概述在使用 Microsoft Entra ID 時規劃單一登錄部署的簡介。 單一登入是一種驗證方法,可讓使用者使用一組認證登入多個獨立的軟體系統。 使用 SSO 表示使用者不需要登入其使用的每個應用程式。 使用 SSO 時,使用者可以存取所有必要的應用程式,而不需要使用不同的認證進行驗證。 如需簡短簡介,請參閱 Microsoft Entra 單一登錄

許多應用程式已存在於 Microsoft Entra ID 中,您可以搭配 SSO 使用。 根據應用程式的需求及其實作方式,您有數個 SSO 選項。 在 Microsoft Entra ID 中建立應用程式之前,請花點時間規劃 SSO 部署。 您可以使用 我的應用程式 入口網站,更輕鬆地管理應用程式。

單一登入選項

請根據已為應用程式設定的驗證方式,選擇 SSO 方法。 雲端應用程式可以使用同盟型選項,例如 OpenID 連線、OAuth 和 SAML。 應用程式也可以使用密碼型 SSO、連結式 SSO 或 SSO 來停用。

  • 同盟 - 當您設定 SSO 以在多個識別提供者之間運作時,它稱為同盟。 以同盟通訊協議為基礎的 SSO 實作可改善安全性、可靠性、用戶體驗和實作。

    使用同盟單一登錄,Microsoft Entra 會使用其 Microsoft Entra 帳戶向應用程式驗證使用者。 SAML 2.0、WS-Federation 或OpenID 連線 應用程式都支援此方法。 同盟 SSO 是 SSO 的最豐富模式。 當應用程式支援同盟 SSO 時,請搭配 Microsoft Entra ID 使用同盟 SSO,而不是以密碼為基礎的 SSO 和 Active Directory 同盟服務 (AD FS)。

    在某些情況下,企業應用程式沒有 SSO 選項。 如果在入口網站中使用 應用程式註冊 註冊應用程式,則單一登錄功能預設會設定為使用 OpenID 連線 和 OAuth。 在此情況下,單一登錄選項不會出現在企業應用程式下的導覽中。

    當應用程式裝載於另一個租使用者時,無法使用單一登錄。 如果您的帳戶沒有必要的許可權(全域 管理員 istrator、Cloud Application 管理員 istrator、Application 管理員 istrator 或服務主體的擁有者),則也無法使用單一登錄。 許可權也可能造成您可以開啟單一登錄但可能無法儲存的案例。

  • 密碼 - 內部部署應用程式可以使用 SSO 的密碼型方法。 當應用程式設定為 應用程式 Proxy 時,此選項可運作。

    若使用密碼式 SSO,使用者在第一次存取應用程式時,要以使用者名稱和密碼來登入。 第一次登入之後,Microsoft Entra ID 就會向應用程式提供使用者名稱和密碼。 密碼式 SSO 可以使用網頁瀏覽器延伸或行動應用程式,安全儲存應用程式的密碼以及重新執行。 此選項會利用應用程式提供的現有登入程序,讓系統管理員可以管理密碼,而不需要使用者知道密碼。 如需詳細資訊,請參閱 將密碼型單一登錄新增至應用程式

  • 連結 - 連結 的登入可在一段時間內移轉應用程式時提供一致的用戶體驗。 如果您要將應用程式移轉至 Microsoft Entra ID,您可以使用連結式 SSO 快速發佈連結至您想要移轉的所有應用程式。 用戶可以在 我的應用程式 或 Microsoft 365 入口網站中找到所有連結。

    在使用者向連結應用程式進行驗證之後,必須先建立帳戶,才能提供使用者單一登錄存取權。 布建此帳戶可能會自動發生,或可由系統管理員手動進行。 您無法將條件式存取原則或多重要素驗證套用至連結的應用程式,因為鏈接的應用程式不會透過 Microsoft Entra ID 提供單一登錄功能。 當您設定連結的應用程式時,您只需要新增一個連結,即可啟動應用程式。 如需詳細資訊,請參閱 將連結的單一登錄新增至應用程式

  • Disabled - 停用 SSO 時,應用程式無法使用 SSO。 停用單一登錄時,使用者可能需要驗證兩次。 首先,使用者會向 Microsoft Entra 識別碼進行驗證,然後登入應用程式。

    在下列情況下停用 SSO:

    • 您尚未準備好將此應用程式與 Microsoft Entra 單一登入整合

    • 您正在測試應用程式的其他層面

    • 內部部署應用程式不需要使用者進行驗證,但您想要他們進行驗證。 停用 SSO 之後,用戶必須進行驗證。

      如果您為SP起始的SAML型SSO設定應用程式,並將SSO模式變更為停用,則不會阻止使用者登入 MyApps 入口網站外部的應用程式。 若要阻止使用者從我的應用程式入口網站外部登入,您必須停用使用者登入的能力。

規劃 SSO 部署

Web 應用程式是由各種公司所裝載,並以服務的形式提供。 Web 應用程式的一些熱門範例包括 Microsoft 365、GitHub 和 Salesforce。 還有數千人。 人員 在其電腦上使用網頁瀏覽器存取 Web 應用程式。 單一登錄可讓用戶在各種 Web 應用程式之間流覽,而不需要多次登入。 如需詳細資訊,請參閱 規劃單一登錄部署

您實作 SSO 的方式取決於應用程式裝載的位置。 裝載很重要,因為網路流量路由傳送至存取應用程式的方式。 使用者不需要使用因特網來存取內部部署應用程式(裝載在局域網路上)。 如果應用程式裝載在雲端中,則使用者需要因特網才能使用它。 雲端裝載的應用程式也稱為軟體即服務 (SaaS) 應用程式。

針對雲端應用程式,會使用同盟通訊協定。 您也可以針對內部部署應用程式使用單一登錄。 您可以使用 應用程式 Proxy 來設定內部部署應用程式的存取權。 如需詳細資訊,請參閱 透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式。

我的應用程式

如果您是應用程式的使用者,您可能不太關心 SSO 詳細資料。 您只想使用可提高生產力的應用程式,而不需要輸入密碼。 您可以在 我的應用程式 入口網站中找到及管理您的應用程式。 如需詳細資訊,請參閱從 我的應用程式 入口網站登入和啟動應用程式。

下一步