Что такое единый вход в Microsoft Entra ID?

Единый вход (SSO) позволяет пользователям войти один раз и получить доступ ко многим приложениям. В этой статье объясняется, что такое единый вход, почему он помогает независимым поставщикам и организациям, параметрам единого входа в Microsoft Entra ID и как работает процесс входа.

При использовании SSO пользователи входят в систему с одними учетными данными. Затем они могут открывать каждое назначенное приложение без повторного входа.

SSO важен для двух аудиторий. Независимые поставщики программного обеспечения (ISV) создают приложения для корпоративных клиентов. Организации управляют доступом к приложениям для своих пользователей. Вы можете быть разработчиком, который интегрирует приложение с Microsoft Entra ID или администратором, который планирует развертывание единого входа. В обеих ролях основы SSO помогают повысить безопасность и улучшить удобство работы пользователей.

Когда Microsoft Entra ID является поставщиком удостоверений, пользователи выполняют вход один раз, используя свои рабочие учетные данные. Microsoft Entra ID проверяет каждого пользователя и подтверждает свое удостоверение в приложении. Приложения больше не управляют отдельными именами пользователей и паролями.

Зачем использовать единый вход?

SSO предоставляет очевидные преимущества двум группам: независимым поставщикам ПО и тем, кто использует приложения и управляет ими.

Для поставщиков приложений ISV

Для независимых поставщиков ПО единый вход (SSO) упрощает продажу и поддержку приложения:

  • Готовность к корпоративному использованию: поддержка SSO делает ваше приложение подходящим для корпоративных клиентов.
  • Быстрое подключение. Клиенты развертывают приложение без управления дополнительными учетными данными.
  • Конкурентное преимущество: корпоративные покупатели часто требуют SSO.
  • Упрощенное управление пользователями. Ваше приложение использует систему удостоверений клиента, а не собственную базу данных пользователей.

Для конечных пользователей и организаций

Для пользователей и администраторов единый вход улучшает ежедневный доступ и безопасность:

  • Удобство для пользователей: пользователям нужно запоминать меньше учетных данных, и им реже приходится входить в систему.
  • Более надежная безопасность: центральный вход ограничивает воздействие учетных данных и применяет согласованные политики.
  • Упрощённое управление доступом: администраторы управляют доступом через одного поставщика удостоверений.
  • Снижение нагрузки на службу поддержки: в службу поддержки поступает меньше запросов на сброс паролей и операций с учетными записями.

Варианты реализации единого входа

Выбор подходящего способа SSO зависит от того, как приложение аутентифицирует пользователей и где оно работает. Microsoft Entra ID поддерживает несколько подходов.

Федеративный единый вход

Единый вход на основе федерации обеспечивает наиболее широкие возможности интеграции. Microsoft Entra ID проверяет подлинность пользователей и отправляет сведения об удостоверениях приложениям через стандартные протоколы.

Язык разметки утверждений безопасности (SAML) 2.0: зрелый стандарт на основе XML, используемый широко в предприятиях. SAML подходит для традиционных веб-приложений и вариантов, которым требуются подробные атрибуты пользователя.

OpenID Connect (OIDC): современный протокол, созданный на основе OAuth 2.0, использующий токены на основе JSON. OIDC подходит для современных веб-приложений, мобильных приложений и API, которым требуется проверка подлинности и авторизация.

Рекомендации по протоколу:

  • Для разработчиков ISV: OIDC обычно проще создавать с помощью современных платформ. SAML обеспечивает более широкую совместимость с корпоративными системами.
  • Для администраторов: оба протокола работают с инфраструктурой удостоверений, хотя SAML может лучше соответствовать установленным корпоративным системам.

Единый вход на основе паролей

Единый вход на основе паролей работает с приложениями, используюющими вход с именем пользователя и паролем. Microsoft Entra ID безопасно сохраняет учетные данные и воспроизводит их в приложении. Этот метод помогает приложениям, которые не поддерживают протоколы федерации, особенно локальные приложения, использующие Application Proxy. Application Proxy публикует локальные приложения для безопасного удаленного доступа.

Связанный SSO

Связанная система единого входа обеспечивает единообразие в работе при миграции приложений. Он добавляет ссылки на приложения на пользовательских порталах, но он не предоставляет истинный единый вход. Используйте это для поэтапных миграций, в которых полная поддержка SSO будет реализована позже.

SSO отключён

Когда единый вход отключён, пользователи входят в систему в каждом приложении отдельно. Используйте этот параметр во время тестирования или для приложений, которые не нуждаются в встроенном входе.

Как работает единый вход с Microsoft Entra ID

Процесс единого входа состоит из трех компонентов: пользователя, приложения и Microsoft Entra ID, выступающего в роли поставщика удостоверяющих данных.

  1. Пользователь запрашивает доступ: Пользователь открывает приложение.
  2. Перенаправление на вход: приложение отправляет пользователя в Microsoft Entra ID.
  3. Проверка удостоверений: Microsoft Entra ID проверяет рабочие учетные данные пользователя.
  4. Доступ предоставлен: Microsoft Entra ID подтверждает удостоверение пользователя, а приложение предоставляет доступ.

Этот четырехэтапный процесс выполняется автоматически, поэтому приложения не управляют учетными данными пользователей напрямую.

Планирование развертывания SSO

Успешное развертывание единого входа зависит от способа размещения приложений, потребностей пользователей и вариантов интеграции. Приложения могут запускаться локально, в облаке как услуга (SaaS) или в гибридных средах. Каждая модель размещения определяет ваш подход к SSO.

  • Облачные приложения обычно используют протоколы федерации, такие как SAML или OpenID Connect.
  • Локальные приложения могут использовать протоколы федеративной идентификации или единый вход с использованием пароля через Application Proxy.
  • Гибридные сценарии могут сочетать подходы в зависимости от потребностей каждого приложения.

Подробные рекомендации по планированию см. в разделе Планирование развертывания единого входа для организаций и Планирование интеграции единого входа для приложений независимых поставщиков ПО для разработчиков приложений.

Взаимодействие с пользователем: портал Мои приложения

Конечные пользователи получают доступ к приложениям с поддержкой единого входа через портал Мои приложения, который предоставляет централизованное расположение для всех назначенных приложений. Пользователи могут находить и запускать приложения без запоминания нескольких учетных данных. Дополнительные сведения см. в статье о входе на портал "Мои приложения" и запуске приложений на нем.

Выберите следующий шаг на основе вашей роли.

Для разработчиков приложений ISV: узнайте, как отличаются SAML и OpenID Connect, чтобы выбрать правильный протокол для вашего приложения и клиентов.

Для ИТ-администраторов и специалистов по идентификации: планирование развертывания единого входа в приложениях вашей организации. Вы просматриваете портфель приложений, выбираете подходы к интеграции и задаете стратегию развертывания.