Mi az egyszeri bejelentkezés a Microsoft Entra ID-ban?
Ez a cikk az ön számára elérhető egyszeri bejelentkezési (SSO) lehetőségekről nyújt tájékoztatást. Emellett bemutatja az egyszeri bejelentkezés központi telepítésének tervezését a Microsoft Entra ID használatakor. Az egyszeri bejelentkezés egy olyan hitelesítési módszer, amely lehetővé teszi, hogy a felhasználók egyetlen hitelesítőadat-készlet használatával jelentkezzenek be több független szoftverrendszerbe. Az egyszeri bejelentkezés használata esetén a felhasználónak nem kell bejelentkeznie minden egyes alkalmazásba, amelyet használ. Az egyszeri bejelentkezéssel a felhasználók az összes szükséges alkalmazáshoz hozzáférhetnek anélkül, hogy különböző hitelesítő adatokkal kellene elvégezniük a hitelesítést. Rövid bevezetésért tekintse meg a Microsoft Entra egyszeri bejelentkezését.
Számos alkalmazás már létezik a Microsoft Entra-azonosítóban, amelyeket az egyszeri bejelentkezéssel használhat. Az egyszeri bejelentkezéshez számos lehetőség áll rendelkezésre az alkalmazás igényeitől és a megvalósítás módjától függően. Szánjon időt az egyszeri bejelentkezés telepítésének megtervezésére, mielőtt alkalmazásokat hoz létre a Microsoft Entra ID-ban. Az alkalmazások kezelése egyszerűbbé tehető a Saját alkalmazások portál használatával.
Az egyszeri bejelentkezés beállításai
Az egyszeri bejelentkezési módszer kiválasztása az alkalmazás hitelesítési konfigurációjának függvénye. A felhőalkalmazások összevonáson alapuló beállításokat használhatnak, például OpenID Csatlakozás, OAuth és SAML. Az alkalmazás jelszóalapú egyszeri bejelentkezést, társított egyszeri bejelentkezést vagy egyszeri bejelentkezést is használhat.
Összevonás – Ha az egyszeri bejelentkezést több identitásszolgáltató közötti működésre állítja be, az összevonásnak nevezzük. Az összevonási protokollokon alapuló SSO-implementáció javítja a biztonságot, a megbízhatóságot, a végfelhasználói élményt és az implementációt.
Összevont egyszeri bejelentkezéssel a Microsoft Entra a Microsoft Entra-fiókjával hitelesíti a felhasználót az alkalmazással. Ez a módszer SAML 2.0, WS-Federation vagy OpenID Csatlakozás alkalmazások esetében támogatott. Az összevont egyszeri bejelentkezés az egyszeri bejelentkezés leggazdagabb módja. Ha egy alkalmazás támogatja, használja az összevont egyszeri bejelentkezést a Microsoft Entra-azonosítóval jelszóalapú egyszeri bejelentkezés és Active Directory összevonási szolgáltatások (AD FS) (AD FS) helyett.
Vannak olyan forgatókönyvek, amelyekben az egyszeri bejelentkezés lehetőség nem jelenik meg egy vállalati alkalmazáshoz. Ha az alkalmazást a portálon Alkalmazásregisztrációk használatával regisztrálták, akkor az egyszeri bejelentkezési képesség alapértelmezés szerint openID Csatlakozás és OAuth használatára van konfigurálva. Ebben az esetben az egyszeri bejelentkezési lehetőség nem jelenik meg a nagyvállalati alkalmazások navigációs sávján.
Az egyszeri bejelentkezés nem érhető el, ha egy alkalmazást egy másik bérlő üzemeltet. Az egyszeri bejelentkezés akkor sem érhető el, ha a fiókja nem rendelkezik a szükséges engedélyekkel (globális Rendszergazda istrator, felhőalapú alkalmazás Rendszergazda istrator, alkalmazás Rendszergazda istrator vagy a szolgáltatásnév tulajdonosa). Az engedélyek olyan forgatókönyvet is okozhatnak, amelyben megnyithatja az egyszeri bejelentkezést, de előfordulhat, hogy nem tudja menteni.
Jelszó – A helyszíni alkalmazások jelszóalapú módszert használhatnak az egyszeri bejelentkezéshez. Ez a választás akkor működik, ha az alkalmazások alkalmazásproxy vannak konfigurálva.
A jelszóalapú SSO-val a felhasználók felhasználónévvel és jelszóval jelentkeznek be az alkalmazásba, amikor először férnek hozzá. Az első bejelentkezés után a Microsoft Entra ID biztosítja a felhasználónevet és a jelszót az alkalmazás számára. A jelszóalapú SSO lehetővé teszi az alkalmazás jelszavának biztonságos tárolását és megadását webböngésző-bővítmény vagy mobilalkalmazás használatával. Ez a beállítás az alkalmazás által biztosított, meglévő bejelentkezési folyamatot használja, lehetővé teszi, hogy adminisztrátor kezelje a jelszavakat, és a felhasználónak nem szükséges tudnia hozzá a jelszót. További információ: Jelszóalapú egyszeri bejelentkezés hozzáadása egy alkalmazáshoz.
Csatolt – A csatolt bejelentkezés konzisztens felhasználói élményt biztosíthat az alkalmazások egy adott időszakon keresztüli migrálása során. Ha alkalmazásokat migrál a Microsoft Entra-azonosítóba, a csatolt SSO használatával gyorsan közzéteheti a migrálni kívánt alkalmazásokra mutató hivatkozásokat. A felhasználók az összes hivatkozást megtalálhatják a Saját alkalmazások vagy a Microsoft 365 portálon.
Miután egy felhasználó hitelesített egy csatolt alkalmazással, létre kell hoznia egy fiókot, mielőtt a felhasználó egyszeri bejelentkezési hozzáférést kap. Ennek a fióknak a kiépítése automatikusan, vagy manuálisan is megtörténhet egy rendszergazda által. Nem alkalmazhat feltételes hozzáférési szabályzatokat vagy többtényezős hitelesítést egy csatolt alkalmazásra, mert egy csatolt alkalmazás nem biztosít egyszeri bejelentkezési képességeket a Microsoft Entra-azonosítón keresztül. Csatolt alkalmazás konfigurálásakor egyszerűen hozzáad egy hivatkozást, amely megjelenik az alkalmazás elindításához. További információ: Csatolt egyszeri bejelentkezés hozzáadása egy alkalmazáshoz.
Letiltva – Ha az egyszeri bejelentkezés le van tiltva, az nem érhető el az alkalmazás számára. Ha az egyszeri bejelentkezés le van tiltva, előfordulhat, hogy a felhasználóknak kétszer kell hitelesíteni őket. Először a felhasználók hitelesítik a Microsoft Entra-azonosítót, majd bejelentkeznek az alkalmazásba.
Egyszeri bejelentkezés letiltása a következő esetekben:
Nem áll készen arra, hogy integrálja ezt az alkalmazást a Microsoft Entra egyszeri bejelentkezéssel
Az alkalmazás egyéb aspektusait teszteli
Egy helyszíni alkalmazás nem követeli meg a felhasználók hitelesítését, de ön szeretné. Ha az egyszeri bejelentkezés le van tiltva, a felhasználónak hitelesítenie kell magát.
Ha az SP által kezdeményezett SAML-alapú egyszeri bejelentkezéshez konfigurálta az alkalmazást, és letiltotta az egyszeri bejelentkezés módját, az nem akadályozza meg a felhasználókat abban, hogy a MyApps portálon kívül jelentkezzenek be az alkalmazásba. Ha meg szeretné akadályozni, hogy a felhasználók a Saját alkalmazások portálon kívülről jelentkezzenek be, le kell tiltania a felhasználók bejelentkezésének lehetőségét.
SSO üzembe helyezésének megtervezése
A webalkalmazásokat különböző vállalatok üzemeltetik, és szolgáltatásként elérhetővé teszik. A webalkalmazások népszerű példái közé tartozik a Microsoft 365, a GitHub és a Salesforce. Több ezer más is van. Kapcsolatok elérni a webalkalmazásokat egy webböngésző használatával a számítógépükön. Az egyszeri bejelentkezés lehetővé teszi, hogy a felhasználók többszöri bejelentkezés nélkül navigáljanak a különböző webalkalmazások között. További információ: Egyszeri bejelentkezéses üzembe helyezés megtervezése.
Az egyszeri bejelentkezés implementálása attól függ, hogy hol üzemelteti az alkalmazást. A üzemeltetés azért fontos, mert a hálózati forgalom az alkalmazáshoz való hozzáférésre van irányítva. A felhasználóknak nem kell az internetet használniuk a helyszíni (helyi hálózaton üzemeltetett) alkalmazások eléréséhez. Ha az alkalmazást a felhőben üzemeltetik, a felhasználóknak az internetre van szükségük a használatához. A felhőben üzemeltetett alkalmazásokat szolgáltatásként (SaaS)-alkalmazásoknak is nevezik.
Felhőalkalmazások esetén összevonási protokollokat használunk. Helyszíni alkalmazásokhoz is használhat egyszeri bejelentkezést. A alkalmazásproxy használatával konfigurálhatja a helyszíni alkalmazáshoz való hozzáférést. További információ: Távoli hozzáférés a helyszíni alkalmazásokhoz a Microsoft Entra alkalmazásproxyn keresztül.
Saját alkalmazások
Ha Ön egy alkalmazás felhasználója, valószínűleg nem érdeklik az egyszeri bejelentkezés részletei. Csak azokat az alkalmazásokat szeretné használni, amelyek hatékonyabbá teszik a jelszót anélkül, hogy annyira be kellene gépelnie a jelszavát. Az alkalmazásokat a Saját alkalmazások portálon találja meg és kezelheti. További információ: Bejelentkezés és alkalmazások indítása a Saját alkalmazások portálon.