Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся сведения, которые можно использовать для планирования развертывания системы единого входа (SSO) в Microsoft Entra ID. При планировании развертывания единого входа с приложениями в идентификаторе Microsoft Entra необходимо рассмотреть следующие вопросы:
- Какие административные роли требуются для управления приложением?
- Требуется ли продление сертификата приложения на языке разметки утверждений безопасности (SAML) ?
- Кого необходимо уведомить об изменениях, связанных с внедрением единого входа?
- Какие лицензии необходимы для эффективного управления приложением?
- Используются ли общие и гостевые учетные записи пользователей для доступа к приложению?
- Я понимаю варианты развертывания единого входа?
Административные роли
Всегда используйте роль с наименьшими разрешениями, доступными для выполнения требуемой задачи в идентификаторе Microsoft Entra. Просмотрите различные доступные роли и выберите подходящую роль для решения ваших потребностей для каждого персонажа приложения. Некоторые роли может потребоваться временно применить и удалить после завершения развертывания.
| Персона | Роли | Роль Microsoft Entra (при необходимости) |
|---|---|---|
| Администратор службы технической поддержки | Уровень 1 поддерживает просмотр журналов входа для устранения проблем. | Отсутствует |
| Администратор идентификационных данных | Настройка и отладка при проблемах с идентификатором Microsoft Entra | Администратор облачных приложений |
| Администратор приложений | Аттестация пользователей в приложении, конфигурация для пользователей с разрешениями | Отсутствует |
| Администраторы инфраструктуры | Владелец замены сертификата | Администратор облачных приложений |
| Владелец бизнеса и заинтересованные лица | Аттестация пользователей в приложении, конфигурация для пользователей с разрешениями | Отсутствует |
Дополнительные сведения об административных ролях Microsoft Entra см. в статье Встроенные роли Microsoft Entra.
Сертификаты
При включении федерации в приложении SAML Microsoft Entra ID создает сертификат, который по умолчанию действителен в течение трех лет. При необходимости можно настроить дату окончания срока действия этого сертификата. Убедитесь, что у вас есть процессы для продления сертификатов до истечения срока их действия.
Вы изменяете длительность этого сертификата в Центре администрирования Microsoft Entra. Обязательно задокументируйте срок действия сертификата и узнайте, как управлять продлением сертификата. Важно определить правильные роли и списки рассылки электронной почты, связанные с управлением жизненным циклом сертификата подписи. Рекомендуется использовать следующие роли:
- владелец для обновления свойств пользователя в приложении;
- владелец по требованию для устранения проблем в работе приложения;
- Тщательно отслеживаемый список рассылки электронной почты для уведомлений об изменениях, связанных с сертификатами
Настройте процесс обработки изменения сертификата между Microsoft Entra ID и приложением. Имея этот процесс, вы можете помочь предотвратить или минимизировать сбой из-за истечения срока действия сертификата или принудительного переключения сертификата. Дополнительные сведения см. в статье Управление сертификатами для федеративного единого входа в Microsoft Entra ID.
Связь
Обмен данными имеет решающее значение для успешной работы любой новой службы. Заблаговременно сообщите пользователям о предстоящих изменениях в интерфейсе. Сообщите, когда должны произойти изменения и как получить поддержку в случае возникновения проблем. Ознакомьтесь с вариантами доступа пользователей к приложениям с поддержкой единого входа и настройте коммуникации в соответствии с выбранным вами решением.
Реализуйте план коммуникации. Убедитесь, что вы сообщаете своим пользователям о грядущих изменениях, о том, когда они произойдут и что делать сейчас. Кроме того, убедитесь, что вы предоставляете информацию о том, как обратиться за помощью.
Лицензирование
Убедитесь, что приложение охватывается следующими требованиями лицензирования:
Лицензирование Microsoft Entra ID — единый вход для предварительно интегрированных корпоративных приложений предоставляется бесплатно. Однако для определения количества объектов в каталоге и функций, которые вы хотите развернуть, может потребоваться больше лицензий. Полный список лицензионных требований см. в разделе Цены на Microsoft Entra.
Лицензирование приложений — вам необходимы соответствующие лицензии для ваших приложений, чтобы удовлетворить потребности вашего бизнеса. Обратитесь к владельцу приложения, чтобы определить, имеют ли пользователи, назначенные приложению, соответствующие лицензии для своих ролей в приложении. Если Microsoft Entra ID управляет автоматическим предоставлением на основе ролей, то роли, назначенные Microsoft Entra ID, должны соответствовать числу лицензий, имеющихся в приложении. Неправильное количество лицензий, принадлежащих приложению, может привести к ошибкам во время подготовки или обновления учетной записи пользователя.
Общие учетные записи
С точки зрения аутентификации, приложения с общими учетными записями не отличаются от корпоративных приложений, использующих SSO с использованием пароля для индивидуальных пользователей. Однако при планировании и настройке приложения, предназначенных для использования общих учетных записей, необходимо выполнить дополнительные действия.
- Обратитесь к пользователям, чтобы документировать следующие сведения:
- Набор пользователей в организации, которые должны использовать приложение.
- Существующий набор учетных данных в приложении, связанном с набором пользователей.
- Для каждой комбинации набора пользователей и учетных данных создайте группу безопасности в облаке или локальной среде на основе ваших требований.
- Сброс общих учетных данных. После развертывания приложения в идентификаторе Microsoft Entra пользователи не нуждаются в пароле общей учетной записи. Идентификатор Microsoft Entra хранит пароль, и вы должны рассмотреть вопрос о том, чтобы он был длинным и сложным.
- Настройте автоматическую смену пароля, если приложение поддерживает его. Таким образом, даже администратор, который сделал начальную настройку, не знает пароль общей учетной записи.
Параметры единого входа
Существует несколько способов настройки приложения для единого входа. Выбор метода единого входа зависит от того, как приложение настроено для проверки подлинности.
- Облачные приложения могут использовать OpenID Connect, OAuth, SAML, парольную аутентификацию или связанные учетные записи для единого входа. Единый вход также можно отключить.
- Локальные приложения могут использовать парольную проверку подлинности, встроенную проверку подлинности Windows, проверку на основе заголовков или связанную аутентификацию для единого входа. Локальные варианты работают в том случае, если приложения настроены для работы с Application Proxy.
Эта блок-схема поможет вам решить, какой метод единого входа лучше всего подходит для вашей ситуации.
Для использования доступны следующие протоколы SSO:
OpenID Connect и OAuth — выберите OpenID Connect и OAuth 2.0, если приложение, к которому вы подключаетесь, поддерживает их. Для получения дополнительных сведений см. статью Использование протоколов OAuth 2.0 и OpenID Connect на платформе удостоверений Майкрософт. Инструкции по реализации единого входа OpenID Connect см. в статье Настройка единого входа на основе OIDC для приложения в Microsoft Entra ID.
SAML — по возможности выбирайте SAML для существующих приложений, которые не используют OpenID Connect или OAuth. Дополнительные сведения см. в статье Протокол SAML с единым входом.
На основе пароля — выберите вариант на основе пароля, если в приложении есть страница входа в формате HTML. Единый вход на основе паролей также называется хранилищем паролей. Метод единого входа на основе паролей позволяет управлять доступом пользователей и их паролями к веб-приложениям, которые не поддерживают идентификационную федерацию. Это также полезно, когда несколько пользователей должны совместно использовать одну учетную запись, например учетные записи приложения социальных сетей вашей организации.
Единый вход на основе паролей поддерживает приложения, требующие нескольких полей входа для приложений, которым требуется больше, чем только поля имени пользователя и пароля для входа. Вы можете настроить метки полей имени пользователя и пароля, которые пользователи видят в моих приложениях при вводе учетных данных. Инструкции по реализации единого входа на основе пароля см. в разделе Единый вход на основе пароля.
Связанный — выберите связанный, когда приложение настроено для единого входа в другой службе поставщика удостоверений. Связанный параметр позволяет настроить целевое расположение, когда пользователь выбирает приложение на порталах конечных пользователей организации. Можно добавить ссылку на пользовательское веб-приложение, которое в настоящее время использует федерацию, например службы федерации Active Directory (ADFS).
Вы также можете добавить ссылки на определенные веб-страницы, которые вы хотите отображать на панелях доступа пользователя и в приложение, которое не требует проверки подлинности. Параметр "Связанный" не предоставляет функцию входа с помощью учетных данных Microsoft Entra. Инструкции по реализации связанного единого входа см. в разделе Связанный единый вход.
Отключено — выберите отключенный единый вход, когда приложение не готово к настройке для единого входа.
Интегрированная проверка подлинности Windows (IWA) — выберите единый вход IWA для приложений, использующих IWA, или для приложений, поддерживающих утверждения. Дополнительные сведения см. в статье Ограниченное делегирование Kerberos для единого входа в приложения с Application Proxy.
На основе заголовка — выберите единый вход на основе заголовка, если приложение использует заголовки для проверки подлинности. Дополнительные сведения см. в разделе Единый вход на основе заголовков.