与 Microsoft Entra ID 共享帐户

概述

在Microsoft Entra ID中,Microsoft Entra的一部分,有时组织需要为多人使用单个用户名和密码,这种情况通常发生在以下情况下:

  • 访问需要每个用户的唯一登录和密码的应用程序时,无论是本地应用还是使用者云服务(例如公司社交媒体帐户)。
  • 创建多用户环境时。 您可能拥有一个具有提升权限的本地帐户,用于进行核心设置、管理和恢复操作。 例如,Microsoft 365的应用程序管理员帐户或 Salesforce 中的根帐户。

传统上,这些帐户通过将凭据(用户名和密码)分发给正确的个人,或将它们存储在多个受信任的代理可以访问它们的共享位置中来共享。

传统的共享模型有几个缺点:

  • 启用对新应用程序的访问需要将凭据分发给需要访问权限的每个人。
  • 每个共享应用程序可能需要自己的唯一共享凭据集,要求用户记住多组凭据。 当用户必须记住许多凭据时,他们更可能采取有风险的做法(例如,写下密码)。
  • 无法判断谁有权访问应用程序。
  • 无法判断谁 访问 了应用程序。
  • 如果要删除对应用程序的访问权限,必须更新凭据并将其重新分发给需要访问该应用程序的每个人。

先决条件

若要配置共享帐户,需要以下资源和角色:

  • 访问共享帐户的每个用户需要企业移动性套件(EMS)或 Microsoft Entra ID P1 或 P2 许可证计划。 有关详细信息,请参阅 Microsoft Entra 计划和定价
  • 至少具有 云应用程序管理员 角色的用户帐户,用于配置 SSO 和分配用户。 应用程序管理员角色也有效。
  • 创建安全组至少需要组管理员角色。 如果租户允许用户创建安全组,则不需要此角色。
  • 支持基于密码的单一登录(SSO)的应用程序。

Microsoft Entra帐户共享

Microsoft Entra ID提供了使用共享帐户来消除这些缺点的新方法。

Microsoft Entra 管理员使用 Access Panel 来配置用户可以访问的应用程序,并选择最适合该应用程序的单一登录类型。 其中一种类型(基于password 的单一登录)允许Microsoft Entra ID在该应用的登录过程中充当某种“中转站”。

用户使用其组织帐户登录一次。 此帐户与他们经常用来访问其桌面或电子邮件的帐户相同。 他们只能发现和访问他们分配到的那些应用程序。 使用共享帐户时,此应用程序列表可以包含任意数量的共享凭据。 最终用户不需要记住或记下他们可能正在使用的各种帐户。

共享帐户可增加监督、提高可用性并提高安全性。 有权使用凭据的用户不会看到共享密码,而是获取将密码用作协调身份验证流的一部分的权限。 此外,某些密码 SSO 应用程序提供了使用 Microsoft Entra ID 定期更新密码的选项。 系统使用大型复杂密码,从而提高帐户安全性。 管理员可以轻松授予或撤销对应用程序的访问权限、知道谁有权访问该帐户以及过去访问过该帐户的人员。

Microsoft Entra ID支持在任何企业移动性套件(EMS)或Microsoft Entra ID P1或P2许可证计划下的共享帐户,并适用于所有类型的密码单一登录应用程序。 可以在应用程序库中共享成千上万个预集成应用程序的帐户,并使用 自定义 SSO 应用添加自己的密码身份验证应用程序。

Microsoft Entra支持账户共享的功能包括:

配置共享帐户

若要使用基于密码的 SSO 设置共享帐户,请完成以下步骤。

步骤 1:添加应用程序

  1. 以至少 云应用程序管理员 的身份登录到 Microsoft Entra 管理中心
  2. 浏览到 Entra ID>企业应用>所有应用程序
  3. 选择新应用程序
  4. 在库中搜索要添加的应用程序,或者如果未列出应用,请选择“ 创建自己的应用程序 ”。 有关详细信息,请参阅 “添加企业应用程序”。

步骤 2:配置基于密码的 SSO

  1. 选择添加的应用程序,然后在左侧菜单中选择 “单一登录 ”。
  2. 选择 “基于密码 ”作为单一登录模式。
  3. 输入应用程序的登录页的 URL。
  4. 选择“保存”

Microsoft Entra ID分析用户名和密码输入字段的登录页的 HTML。 如果自动分析失败,可以手动配置登录字段。 有关详细说明,请参阅 向应用程序添加基于密码的单一登录

步骤 3:创建安全组

为每个共享相同应用程序凭据的用户集创建安全组。 除非租户允许用户创建安全组,否则创建组至少需要 组管理员 角色。

  1. 浏览到 Entra ID>>所有组
  2. 选择新建组
  3. “组类型” 设置为 “安全性”。
  4. 提供标识共享帐户和应用程序的名称(例如,“市场营销 - 社交媒体帐户”)。
  5. 添加需要以成员身份访问共享帐户的用户。
  6. 选择“创建”

有关详细信息,请参阅 使用组管理对 SaaS 应用程序的访问权限

步骤 4:分配组并设置共享凭据

  1. 浏览到 Entra ID>Enterprise apps>All applications 并选择该应用程序。
  2. 选择用户和组,然后选择添加用户/组
  3. 选择创建的安全组并完成分配。
  4. 再次选择 “用户和组 ”,选中组行的复选框,然后选择“ 更新凭据”。
  5. 输入应用程序的共享用户名和密码。 Microsoft Entra ID安全地存储凭据,并在登录期间将其提供给组成员。

小窍门

部署应用程序后,个人不需要共享帐户的密码。 请考虑设置长而复杂的密码。 Microsoft Entra ID存储密码,并且用户看不到密码。

步骤 5:配置密码轮换(可选)

如果应用程序支持它,请配置密码的自动滚动更新。 自动密码轮换提供了另一层安全保障,因为即使是设置共享账户的管理员,在初始配置后也不需要知道密码。

访问共享帐户

管理员配置共享帐户后,最终用户会通过以下方式访问应用程序:

  1. 导航到 My Apps 门户并使用组织帐户登录。
  2. 查找并选择共享应用程序磁贴。 如果已安装My Apps安全登录扩展,应用程序将启动并Microsoft Entra ID自动提交共享凭据。

注释

基于密码的 SSO 应用程序需要My Apps浏览器扩展。 当用户首次启动基于密码的 SSO 应用时,系统会提示用户安装扩展。 该扩展适用于 Microsoft Edge 和 Google Chrome。 对于移动设备,请使用 Microsoft Edge 移动版,并在 Settings>Privacy and Security>Microsoft Entra Password SSO 中启用基于密码的 SSO。

最终用户不会直接看到或与共享凭据进行交互。 Microsoft Entra ID将凭据提交作为协调身份验证流的一部分进行处理。

安全注意事项

使用共享帐户时,请记住以下安全做法:

  • 凭据可见性:有权使用共享凭据的用户看不到实际密码。 Microsoft Entra ID为他们代理身份验证。
  • 多重身份验证(MFA):你可以要求访问共享帐户的用户进行 MFA,以提供另一层保护。 有关详细信息,请参阅 多重身份验证的工作原理 Microsoft Entra。
  • 访问管理:使用 Microsoft Entra 自助服务组管理委派管理应用程序访问权限。 组所有者可以添加或删除成员,而无需管理员参与。
  • 密码复杂性:为共享帐户设置较长的复杂密码,因为最终用户不需要知道或键入密码。
  • 审核和监视:Microsoft Entra ID记录登录活动,以便管理员可以查看访问应用程序的人员以及何时访问。

相关内容

  • Last updated on