Что такое единый вход в Microsoft Entra ID?
В этой статье содержатся сведения о параметрах единого входа, доступных для вас. В нем также описывается введение в планирование развертывания единого входа при использовании идентификатора Microsoft Entra. Единый вход — это метод проверки подлинности, позволяющий пользователям входить в систему, используя один набор учетных данных для нескольких независимых систем программного обеспечения. При использовании единого входа пользователю не нужно входить в каждое используемое приложение. С помощью единого входа пользователи могут получить доступ ко всем необходимым приложениям без прохождения проверки подлинности с разными учетными данными. Краткое введение см. в статье о едином входе Microsoft Entra.
Многие приложения уже существуют в идентификаторе Microsoft Entra, который можно использовать с единым входом. У вас есть несколько вариантов единого входа в зависимости от потребностей приложения и способа его реализации. Запланируйте развертывание единого входа перед созданием приложений в идентификаторе Microsoft Entra. Воспользовавшись порталом "Мои приложения", можно упростить управление приложениями.
Варианты реализации единого входа
Выбор способа единого входа зависит от того, как приложение настраивается для аутентификации. Облачные приложения могут использовать варианты на основе федерации, например OpenID Connect, OAuth и SAML. Приложение также может использовать единый вход на основе паролей, единый вход на основе ссылки или просто единый вход.
Федерация. Если единый вход настроен для работы с несколькими поставщиками удостоверений, это называется федерацией. Использование единого входа на основе протоколов федерации повышает безопасность, надежность и удобство работы пользователей, а также улучшает реализацию.
При федеративном едином входе Microsoft Entra проверяет подлинность пользователя в приложении с помощью учетной записи Microsoft Entra. Этот метод поддерживается для приложений SAML 2.0, WS-Federation и OpenID Connect. Федеративный единый вход — это наиболее функциональный режим единого входа. Используйте федеративный единый вход с идентификатором Microsoft Entra, если приложение поддерживает его, а не единый вход на основе паролей и службы федерации Active Directory (AD FS) (AD FS).
Существует несколько сценариев, в которых для корпоративного приложения отсутствует параметр единого входа. Если приложение было зарегистрировано с использованием Регистрации приложений на портале, то для единого входа настроено использование OpenID Connect и OAuth (по умолчанию). В этом случае параметр единого входа не отображается в навигации в корпоративных приложениях.
Единый вход недоступен, если приложение размещено в другом клиенте. Он также недоступен, если у вашей учетной записи нет необходимых разрешений (глобальный администратор, администратор облачных приложений, администратор приложений или владелец субъекта-службы). Разрешения также могут привести к сценарию, в котором можно открыть единый вход, но может не сохраняться.
Пароль. В локальных приложениях может использоваться метод единого входа на основе пароля. Этот вариант подходит, если для приложений настроено использование Application Proxy.
При использовании единого входа на основе пароля пользователям, чтобы войти в приложение, необходимо ввести имя пользователя и пароль при первом обращении к нему. После первого входа Microsoft Entra ID предоставляет приложению имя пользователя и пароль. Единый вход на основе пароля позволяет безопасно хранить пароли приложений и воспроизводить их с помощью расширения веб-браузера или мобильного приложения. При этом варианте используется уже имеющийся процесс входа, предоставляемый приложением, однако администраторы имеют возможность управлять паролями, что избавляет пользователей от необходимости знать свой пароль. Дополнительные сведения см. в статье Добавление единого входа на основе пароля в приложение.
Связанный. Единый вход на основе ссылки предоставляет согласованный пользовательский интерфейс при переносе приложений в течение определенного времени. Если вы переносите приложения на идентификатор Microsoft Entra, вы можете использовать связанный единый вход для быстрого публикации ссылок на все приложения, которые вы планируете перенести. Пользователи могут найти ссылки на портале "Мои приложения" или Microsoft 365.
Когда пользователь пройдет проверку подлинности в связанном приложении, необходимо создать учетную запись, чтобы пользователь получил возможность использовать единый вход. Эта учетная запись может быть подготовлена либо автоматически, либо вручную администратором. Нельзя применять политики условного доступа или многофакторную проверку подлинности к связанному приложению, так как связанное приложение не предоставляет возможности единого входа с помощью идентификатора Microsoft Entra. При настройке связанного приложения вы просто добавляете ссылку, которая отображается для запуска приложения. Дополнительные сведения см. в статье Добавление единого входа по ссылке в приложение.
Отключено. Если единый вход отключен. Он недоступен для приложения. Если единый вход отключен, пользователям может потребоваться пройти проверку подлинности дважды. Сначала пользователи проходят проверку подлинности в идентификаторе Microsoft Entra, а затем войдите в приложение.
Единый вход следует отключать в следующих случаях:
Вы не готовы интегрировать это приложение с единым входом Microsoft Entra
если вы тестируете другие аспекты приложения;
локальное приложение не требует проверки подлинности пользователей, но вы хотите, чтобы она в них применялась (если единый вход отключен, пользователь должен проходить проверку подлинности).
Если вы настроили приложение для единого входа, инициированного поставщиком службы, и вы измените режим единого входа на отключенный, он не останавливает входа пользователей в приложение за пределами портала MyApps. Чтобы запретить пользователям войти с портала "Мои приложения", необходимо отключить возможность входа пользователей.
Планирование развертывания единого входа
Веб-приложения размещаются различными компаниями и предоставляются как услуга. Популярными примерами веб-приложений могут служить Microsoft 365, GitHub и Salesforce. Однако есть еще и тысячи других. Пользователи получают доступ к веб-приложениям через веб-браузер на своем компьютере. Единый вход дает им возможность перемещаться между различными веб-приложениями без многократного выполнения процедуры входа. Дополнительные сведения см. в статье Планирование развертывания единого входа.
Реализация единого входа зависит от того, где размещено приложение. Размещение приложения играет очень важную роль, так как влияет на способ маршрутизации сетевого трафика для доступа к приложению. Пользователям не нужно использовать Интернет для доступа к локальным приложениям (размещенным в локальной сети). Если приложение размещено в облаке, для его использования пользователям требуется Интернет. Размещенные в облаке приложения также называются приложениями SaaS (программное обеспечение как услуга).
Для облачных приложений используются протоколы федерации. Вы также можете использовать единый вход для локальных приложений. Вы можете использовать Application Proxy для настройки доступа к локальному приложению. Дополнительные сведения см. в статье "Удаленный доступ к локальным приложениям через прокси приложения Microsoft Entra".
Мои приложения
Если вы пользователь приложения, вас, скорее всего, не слишком интересуют сведения о едином входе. Вы просто хотите использовать приложения, обеспечивающие продуктивность работы без необходимости ввода пароля. Вы можете находить приложения и управлять ими на портале "Мои приложения". Дополнительные сведения см. в статье о входе на портал "Мои приложения" и запуске приложений на нем.