本文提供有关你可用的单一登录(SSO)选项的信息。 它还介绍了使用 Microsoft Entra ID 时规划单一登录部署的方法。 单一登录是一种身份验证方法,允许用户使用一组凭据登录到多个独立软件系统。 使用 SSO 意味着用户无需登录到他们使用的每个应用程序。 使用 SSO,用户可以访问所有所需的应用程序,而无需使用不同的凭据进行身份验证。 有关简要介绍,请参阅 Microsoft Entra 单一登录。
许多应用程序已存在于可与 SSO 一起使用的 Microsoft Entra ID 中。 有多种 SSO 选项,具体取决于应用程序的需求及其实现方式。 在 Microsoft Entra ID 中创建应用程序之前,请花点时间规划 SSO 部署。 使用“我的应用”门户可以更轻松地管理应用程序。
单一登录选项
选择 SSO 方法取决于应用程序配置身份验证的方式。 云应用程序可以使用基于联合身份验证的选项,例如 OpenID Connect 和 SAML。 应用程序还可以使用基于密码的 SSO、基于链接的 SSO,或者禁用 SSO。
联合身份验证 - 当您设置 SSO 以便在多个身份提供者之间运行时,称这个过程为联合身份验证。 基于联合协议的 SSO 实现可提高安全性、可靠性、最终用户体验和实现。
使用联合单一登录,Microsoft Entra 使用其 Microsoft Entra 帐户向应用程序验证用户身份。 SAML 2.0、WS 联合身份验证或 OpenID Connect 应用程序支持此方法。 联合身份验证 SSO 是 SSO 的最丰富模式。 当应用程序支持联合 SSO 而不是基于密码的 SSO 和 Active Directory 联合身份验证服务(AD FS)时,将联合 SSO 与 Microsoft Entra ID 配合使用。
在某些情况下,企业应用程序不存在 SSO 选项。 如果在门户中使用 应用注册 注册应用程序,则将单一登录功能配置为使用 OpenID Connect。 在这种情况下,单一登录选项不会显示在企业应用程序下的导航中。 OpenID Connect 是基于 OAuth 2.0 构建的身份验证协议,它是授权协议。 OpenID Connect 使用 OAuth 2.0 来处理进程的授权部分。 当用户尝试登录时,OpenID Connect 会根据授权服务器执行的身份验证来验证其标识。 对用户进行身份验证后,OAuth 2.0 用于授予应用程序对用户资源的访问权限,而无需公开其凭据。
当应用程序托管在另一个租户中时,单一登录不可用。 如果帐户没有所需的权限(云应用程序管理员、应用程序管理员或服务主体的所有者),则单一登录也不可用。 权限还可能导致您可以打开单一登录但无法保存。
密码 - 本地应用程序可以使用基于密码的方法进行 SSO。 为应用程序代理配置应用程序时,此选项适用。
使用基于密码的 SSO,用户在首次访问应用程序时使用用户名和密码登录到应用程序。 首次登录后,Microsoft Entra ID 向应用程序提供用户名和密码。 基于密码的 SSO 支持使用 Web 浏览器扩展或移动应用进行安全的应用程序密码存储和重播。 此选项使用应用程序提供的现有登录过程,使管理员能够管理密码,并且不需要用户知道密码。 有关详细信息,请参阅将基于密码的单一登录添加到应用程序。
链接-关联登录可以在逐步迁移应用程序时提供一致的用户体验。 如果要将应用程序迁移到 Microsoft Entra ID,则可以使用基于链接的 SSO 快速发布指向要迁移的所有应用程序的链接。 用户可以在“我的应用”或Microsoft 365 门户中找到所有链接。
在用户通过链接应用程序进行身份验证后,需要先创建帐户,然后才能提供用户单一登录访问权限。 预配此帐户可以自动发生,也可以由管理员手动进行。 无法将条件访问策略或多重身份验证应用到链接的应用程序,因为链接的应用程序不通过 Microsoft Entra ID 提供单一登录功能。 在配置链接应用程序时,您只需添加一个用于启动该应用程序的链接。 有关详细信息,请参阅 向应用程序添加关联的单点登录。
已禁用 - 禁用 SSO 时,它不适用于应用程序。 禁用单一登录后,用户可能需要进行身份验证两次。 首先,用户对 Microsoft Entra ID 进行身份验证,然后登录到应用程序。
禁用 SSO 的情况:
你尚未准备好将此应用程序与 Microsoft Entra 单一登录集成
正在测试应用程序的其他方面
本地应用程序不需要用户进行身份验证,但你希望他们进行身份验证。 禁用 SSO 后,用户需要进行身份验证。
如果将应用程序配置为由 SP 发起的 SAML 协议 SSO,并且将 SSO 模式更改为禁用,则不会阻止用户在 MyApps 门户以外登录该应用程序。 若要阻止用户从“我的应用”门户外部登录,需要禁用用户登录的功能。
规划 SSO 部署
Web 应用程序由各种公司托管,并作为服务提供。 Web 应用程序的一些常用示例包括Microsoft 365、GitHub 和 Salesforce。 还有成千上万的人。 用户在计算机上使用 Web 浏览器访问 Web 应用程序。 单一登录使用户能够在各种 Web 应用程序之间导航,而无需多次登录。 有关详细信息,请参阅 规划单一登录部署。
实现 SSO 的方式取决于应用程序的托管位置。 托管之所以重要,是因为它决定了如何路由网络流量以访问应用程序。 用户无需使用 Internet 访问本地应用程序(托管在本地网络上)。 如果应用程序托管在云中,则用户需要 Internet 才能使用它。 云托管的应用程序也称为软件即服务(SaaS)应用程序。
对于云应用程序,使用联合协议。 还可以对本地应用程序使用单一登录。 可以使用应用程序代理为本地应用程序配置访问权限。 有关详细信息,请参阅 通过 Microsoft Entra 应用程序代理远程访问本地应用程序。
我的应用
如果你是应用程序的用户,则你可能不太关心 SSO 详细信息。 你只想使用使你高效工作的应用程序,而无需键入密码。 可以在“我的应用”门户中查找和管理应用程序。 有关详细信息,请参阅“ 我的应用”门户登录和启动应用。