本文提供了可用于在 Microsoft Entra ID 中规划单一登录(SSO)部署的信息。 使用 Microsoft Entra ID 中的应用程序规划 SSO 部署时,需要考虑以下问题:
- 管理应用程序所需的管理角色是什么?
- 是否需要续订安全断言标记语言(SAML)应用程序证书?
- 需要向哪些人通知与 SSO 实现相关的更改?
- 确保对应用程序进行有效管理需要哪些许可证?
- 共享用户帐户和来宾用户帐户是否用于访问应用程序?
- 我是否了解 SSO 部署的选项?
管理角色
始终使用权限最少的角色来完成 Microsoft Entra ID 中所需的任务。 查看可用的不同角色,并选择合适的角色来满足应用程序中每个用户角色的需求。 某些角色可能需要在部署完成后暂时应用和删除。
| 角色 | 角色 | Microsoft Entra 角色(如有必要) |
|---|---|---|
| 咨询台管理员 | 第 1 层支持查看登录日志以解决问题。 | 没有 |
| 身份管理员 | 当问题涉及 Microsoft Entra ID 时进行配置和调试 | 云应用程序管理员 |
| 应用程序管理员 | 在应用程序中进行用户证明,为用户配置权限 | 没有 |
| 基础结构管理员 | 证书滚动更新所有者 | 云应用程序管理员 |
| 业务所有者/利益干系人 | 在应用程序中进行用户证明,为用户配置权限 | 没有 |
若要详细了解Microsoft Entra 管理角色,请参阅 Microsoft Entra 内置角色。
证书
在 SAML 应用程序中启用联合身份验证时,Microsoft Entra ID 会创建一个证书,该证书默认有效期为三年。 如果需要,可以自定义该证书的到期日期。 确保在证书过期前有续订证书的流程。
在 Microsoft Entra 管理中心中更改该证书持续时间。 请务必记录过期时间并了解如何管理证书续订。 确定与签名证书生命周期管理相关的适当角色和电子邮件通讯组非常重要。 推荐的角色如下:
- 更新应用程序中用户属性的负责人
- 应用程序故障排除支持负责人随时待命
- 受到密切监视的电子邮件通讯组列表(用于接收与证书相关的更改通知)
设置一个流程,以处理 Microsoft Entra ID 与您的应用程序之间的证书更改。 实施此流程有助于防止或最大程度地减少由于证书过期或强制证书滚动更新而导致的服务中断。 有关详细信息,请参阅在 Microsoft Entra ID 中管理用于联合单一登录的证书。
通信
通信对于任何新服务的成功至关重要。 主动向用户传达即将发生的体验更改。 说明变更实施的时间,并指导如何在遇到问题时寻求支持。 查看用户访问其已启用 SSO 的应用程序的选项,并制定相应的交流内容以匹配您的选择。
实施沟通计划。 请确保通知用户变更即将发生、变更何时生效,以及现在要做什么。 此外,请确保提供有关如何寻求帮助的信息。
许可
确保应用程序符合以下许可要求:
Microsoft Entra ID 许可 - 预集成企业应用程序的 SSO 是免费的。 但是,目录中的对象数和要部署的功能可能需要更多许可证。 有关许可证要求的完整列表,请参阅 Microsoft Entra 定价。
应用程序许可 - 需要应用程序的相应许可证来满足业务需求。 与应用程序所有者合作,确定分配到应用程序的用户是否具有与其在应用程序中的角色相对应的许可证。 如果 Microsoft Entra ID 基于角色来管理自动预配,则在 Microsoft Entra ID 中分配的角色必须与在应用程序中拥有的许可证数量一致。 在预配或更新用户帐户期间,应用程序中拥有的许可证数量不当可能会导致错误。
共享帐户
从登录的角度来看,使用共享帐户的应用程序并未不同于对单个用户使用密码 SSO 的企业应用程序。 但是,在规划和配置要使用共享帐户的应用程序时,还需要执行其他步骤。
- 与用户协作,记录以下信息:
- 组织中要使用该应用程序的用户集。
- 与一组用户关联的应用程序中的现有凭证集合。
- 对于用户集和凭据的每个组合,请根据要求在云或本地创建安全组。
- 重置共享凭据。 在Microsoft Entra ID 中部署应用程序后,个人不需要共享帐户的密码。 Microsoft Entra ID 会存储密码,因此请考虑设置较长且复杂的密码。
- 如果应用程序支持密码,请配置密码的自动滚动更新。 这样,即使是执行初始设置的管理员也不知道共享帐户的密码。
单一登录选项
可通过多种方式为 SSO 配置应用程序。 选择哪种 SSO 方法取决于如何为应用程序配置身份验证。
- 云应用程序可以使用 OpenID Connect、OAuth、SAML、基于密码或关联来实现单点登录(SSO)。 还可以禁用单一登录。
- 本地应用程序可以使用基于密码的方法、集成 Windows 身份验证方法、基于标头的方法或链接方法来实现 SSO。 为应用程序配置了应用程序代理时,本地选项适用。
此流程图可帮助你确定哪种 SSO 方法最适合你的情况。
可以使用以下 SSO 协议:
OpenID Connect 和 OAuth - 如果要连接到的应用程序支持它,请选择 OpenID Connect 和 OAuth 2.0。 有关详细信息,请参阅 Microsoft 标识平台上的 OAuth 2.0 和 OpenID Connect 协议。 有关实现 OpenID Connect SSO 的步骤,请参阅 在 Microsoft Entra ID 中为应用程序设置基于 OIDC 的单一登录。
SAML - 尽可能为不使用 OpenID Connect 或 OAuth 的现有应用程序选择 SAML。 有关详细信息,请参阅 单一登录 SAML 协议。
基于密码的 - 在应用程序具有 HTML 登录页时选择基于密码。 基于密码的 SSO 也称为密码保管。 使用基于密码的 SSO 可以管理对不支持联合身份验证的 Web 应用程序的用户访问和密码。 在多个用户需要共享单个帐户(例如组织社交媒体应用帐户)的情况下,它还非常有用。
基于密码的 SSO 支持需要多个登录字段的应用程序,这适用于不只需要用户名和密码字段才能登录的应用程序。 你可以自定义用户在输入凭据时在“我的应用”上看到的用户名和密码字段的标签。 有关实现基于密码的 SSO 的步骤,请参阅 基于密码的单一登录。
关联 - 在为其他身份提供者服务配置应用程序用于 SSO 时选择关联。 通过链接选项,可以在用户在组织的最终用户门户中选择应用程序时配置目标位置。 可以添加指向当前使用联合身份验证的自定义 Web 应用程序的链接,例如 Active Directory 联合身份验证服务(ADFS)。
还可以添加指向你要在用户访问面板上显示的特定网页以及指向不需要身份验证的应用的链接。 选项“Linked”不支持通过 Microsoft Entra 凭据登录。 有关实现链接 SSO 的步骤,请参阅 链接的单一登录。
禁用 - 当应用程序尚未准备好配置 SSO 时,请选择禁用 SSO 的选项。
集成 Windows 身份验证(IWA) - 为使用 IWA 的应用程序或声明感知应用程序选择 IWA 单一登录。 有关详细信息,请参阅 Kerberos 约束委派以通过应用程序代理实现您的应用程序单一登录。
基于标头 - 当应用程序使用标头进行身份验证时,请选择基于标头的单一登录。 有关详细信息,请参阅 基于头部的 SSO。