概述
在 Microsoft Entra ID 中,Microsoft Entra 的一部分,有时组织需要为多个用户使用单个用户名和密码,这种情况通常发生在以下情况下:
- 访问需要每个用户的唯一登录和密码的应用程序时,无论是本地应用还是使用者云服务(例如公司社交媒体帐户)。
- 创建多用户环境时。 您可能拥有一个具有提升权限的本地帐户,用于进行核心设置、管理和恢复操作。 例如,Microsoft 365 的应用程序管理员帐户或 Salesforce 中的根帐户。
传统上,这些帐户通过将凭据(用户名和密码)分发给正确的个人,或将它们存储在多个受信任的代理可以访问它们的共享位置中来共享。
传统的共享模型有几个缺点:
- 启用对新应用程序的访问需要将凭据分发给需要访问权限的每个人。
- 每个共享应用程序可能需要自己的唯一共享凭据集,要求用户记住多组凭据。 当用户必须记住许多凭据时,转向有风险的做法的风险增加。 (例如,记下密码)。
- 无法判断谁有权访问应用程序。
- 无法判断谁 访问 了应用程序。
- 如果要删除对应用程序的访问权限,必须更新凭据并将其重新分发给需要访问该应用程序的每个人。
Microsoft Entra 帐户共享
Microsoft Entra ID 提供了一种使用共享帐户来消除这些缺点的新方法。
Microsoft Entra 管理员配置用户可以使用访问面板访问的应用程序,并选择最适合该应用程序的单一登录类型。 其中一种类型,基于密码的单点登录,让 Microsoft Entra ID 在该应用的登录过程中充当某种“中转站”。
用户使用其组织帐户登录一次。 此帐户与他们经常用来访问其桌面或电子邮件的帐户相同。 他们只能发现和访问他们分配到的那些应用程序。 使用共享帐户时,此应用程序列表可以包含任意数量的共享凭据。 最终用户不需要记住或记下他们可能正在使用的各种帐户。
共享帐户可增加监督、提高可用性并提高安全性。 有权使用凭据的用户不会看到共享密码,而是获取将密码用作协调身份验证流的一部分的权限。 此外,某些密码 SSO 应用程序提供了使用 Microsoft Entra ID 定期更新密码的选项。 系统使用大型复杂密码,从而提高帐户安全性。 管理员可以轻松授予或撤销对应用程序的访问权限、知道谁有权访问该帐户以及过去访问过该帐户的人员。
Microsoft Entra ID 支持在任何企业移动性套件(EMS)或 Microsoft Entra ID P1 或 P2 许可证计划下,跨所有类型的密码单一登录应用程序使用共享帐户。 可以在应用程序库中共享成千上万个预集成应用程序的帐户,并使用 自定义 SSO 应用添加自己的密码身份验证应用程序。
启用帐户共享的Microsoft Entra 功能包括:
- 密码单一登录
- 密码单一登录代理
- 组分配
- 自定义密码应用
- 应用使用情况仪表板/报表
- 最终用户访问门户
- 应用代理
- Azure 市场
共享帐户
若要使用 Microsoft Entra ID 共享帐户,需要:
还可以使用多重身份验证(MFA)使共享帐户更安全(详细了解如何使用 Microsoft Entra ID 保护应用程序)。 可以使用 Microsoft Entra 自助服务 组管理来委托管理谁有权访问应用程序。