Интеграция пользовательских приложений SaaS для выполнения единого входа

  • 20 мин

Diagram of Microsoft Entra ID being the single-sign-on provider for cloud apps. User and external users log into Microsoft Entra ID, then connect to cloud applications.

  • Идентификатор Microsoft Entra можно использовать в качестве системы удостоверений только для любого приложения. Многие приложения настроены предварительно, и их последующая настройка не займет много времени. Эти предварительно настроенные приложения публикуются в коллекции приложений Microsoft Entra ID.
  • Для большинства приложений, которых еще нет в коллекции, можно настроить единый вход вручную. Идентификатор Microsoft Entra предоставляет несколько вариантов единого входа. Единый вход на основе SAML и единый вход на основе OIDC.

Фактически приложения могут делегировать обслуживание собственных данных имени пользователя и пароля централизованному поставщику удостоверений, идентификатору Microsoft Entra ID в качестве примера. Делегирование проверки подлинности и авторизации позволяет использовать такие сценарии, как политики условного доступа, требующие, чтобы пользователь находился в определенном месте или прошел многофакторную проверку подлинности. Единый вход позволяет пользователю выполнить вход в систему один раз, а затем автоматически входить во все веб-приложения, которые используют один и тот же централизованный каталог.

Платформа удостоверений Майкрософт упрощает для разработчиков приложений процесс проверки подлинности и авторизации, предоставляя удостоверение как услугу, благодаря поддержке стандартных протоколов, например OAuth 2.0 и OpenID Connect, а также библиотекам с открытым кодом для различных платформ, которые позволяют оперативно приступать к программированию. С ее помощью разработчики могут создавать приложения, которые обеспечивают вход с помощью любых удостоверений Майкрософт, получают маркеры для вызова Microsoft Graph, других программных интерфейсов Майкрософт или API, созданных разработчиками.

Далее приведено краткое сравнение различных протоколов, используемых платформой идентификации Майкрософт.

  • OAuth и OpenID Подключение: OAuth используется для авторизации, а для проверки подлинности используется Подключение OpenID (OIDC). В основе OpenID Connect лежит OAuth 2.0, что означает, что терминология и последовательность операций в них схожи. Можно даже проверить подлинность пользователя с помощью OpenID Connect и получить авторизацию для доступа к защищенному ресурсу, которым владеет пользователь, с помощью OAuth 2.0 в одном запросе.
  • OAuth vs. SAML: OAuth используется для авторизации и языка разметки утверждений безопасности (SAML) используется для проверки подлинности.
  • OpenID Connect и SAML. Как OpenID Connect, так и SAML используются для проверки подлинности пользователя и обеспечения единого входа. Проверка подлинности SAML обычно используется с поставщиками удостоверений, такими как службы федерации Active Directory (AD FS) (ADFS), федеративными с идентификатором Microsoft Entra ID и поэтому часто используется в корпоративных приложениях. OpenID Connect обычно используется для приложений, которые полностью находятся в облаке (например, для мобильных приложений, веб-сайтов и веб-API).

Если у вас есть приложение, которое вы хотите интегрировать с Идентификатором Microsoft Entra для предоставления единого входа для пользователей, см. статью ClaimsXRay в Microsoft Entra ID с расширением каталога, связанной ниже:

ClaimsXRay в идентификаторе Microsoft Entra с расширением каталога