Freigeben über


Was ist einmaliges Anmelden in Microsoft Entra ID?

In diesem Artikel finden Sie Informationen zu den verfügbaren Optionen für einmaliges Anmelden (Single Sign-On, SSO). Außerdem erläutert dieser Artikel eine Einführung in die Planung einer Bereitstellung für einmaliges Anmelden bei Verwendung von Microsoft Entra ID. Einmaliges Anmelden ist eine Authentifizierungsmethode, mit der sich Benutzer mit einem Satz von Anmeldeinformationen bei mehreren unabhängigen Softwaresystemen anmelden können. Bei Verwendung von einmaligem Anmelden (Single Sign-On, SSO) müssen sich Benutzer nicht bei jeder Anwendung anmelden, die sie verwenden. Mit SSO können Benutzer auf alle benötigten Anwendungen zugreifen, ohne sich mit unterschiedlichen Anmeldeinformation authentifizieren zu müssen. Eine kurze Einführung finden Sie unter Einmaliges Anmelden von Microsoft Entra.

Viele Anwendungen sind bereits in Microsoft Entra ID vorhanden, die Sie mit einmaligem Anmelden verwenden können. Abhängig von den Anforderungen der Anwendung und ihrer Implementierung stehen Ihnen mehrere Optionen für einmaliges Anmelden zur Verfügung. Nehmen Sie sich Zeit, die Bereitstellung für einmaliges Anmelden zu planen, bevor Sie Anwendungen in Microsoft Entra ID erstellen. Die Verwaltung von Anwendungen kann mithilfe des Portals „Meine Apps“ vereinfacht werden.

Optionen für einmaliges Anmelden

Die Auswahl einer Methode für einmaliges Anmelden hängt davon ab, wie die Anwendung für Authentifizierung konfiguriert ist. Cloudanwendungen können verbundbasierte Optionen wie OpenID Connect, OAuth und SAML verwenden. Die Anwendung kann auch kennwortbasiertes SSO oder verknüpftes SSO verwenden, oder SSO kann deaktiviert werden.

  • Verbund: Wenn Sie einmaliges Anmelden für mehrere Identitätsanbieter einrichten, wird dies als Verbund bezeichnet. Eine SSO-Implementierung auf der Grundlage von Verbundprotokollen verbessert die Sicherheit, Zuverlässigkeit, Endbenutzerfreundlichkeit und Implementierung.

    Bei der einmaligen Verbundanmeldung authentifiziert Microsoft Entra Benutzer*innen bei der Anwendung mithilfe ihrer Microsoft Entra-Konten. Diese Methode wird für SAML 2.0-, WS-Verbund- oder OpenID Connect-Anwendungen unterstützt. Verbund-SSO ist der umfangreichste SSO-Modus. Verwenden Sie die einmalige Verbundanmeldung mit Microsoft Entra ID anstelle der kennwortbasierten einmaligen Anmeldung und von Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS), wenn eine Anwendung dies unterstützt.

    In einigen Szenarien ist die SSO-Option für eine Unternehmensanwendung nicht verfügbar. Wenn die Anwendung mithilfe von App-Registrierungen im Portal registriert wurde, wird die Funktion zum einmaligen Anmelden so konfiguriert, dass OpenID Connect verwendet wird. In diesem Fall wird die Option für einmaliges Anmelden nicht in der Navigation unter Unternehmensanwendungen angezeigt. OpenID Connect ist ein Authentifizierungsprotokoll, das auf OAuth 2.0 basiert, bei dem es sich um ein Autorisierungsprotokoll handelt. OpenID Connect setzt OAuth 2.0 für den Autorisierungsteil des Prozesses ein. Wenn ein Benutzer versucht, sich anzumelden, überprüft OpenID Connect seine Identität basierend auf der von einem Autorisierungsserver vorgenommenen Authentifizierung. Sobald der Benutzer authentifiziert ist, wird OAuth 2.0 eingesetzt, um der Anwendung Zugriff auf die Ressourcen des Benutzers zu gewähren, ohne seine Anmeldedaten offenzulegen.

    Einmaliges Anmelden ist nicht verfügbar, wenn eine Anwendung in einem anderen Mandanten gehostet wird. Einmaliges Anmelden ist ebenfalls nicht verfügbar, wenn Ihr Konto nicht über die erforderlichen Berechtigungen verfügt (Cloudanwendungsadministrator, Anwendungsadministrator oder Besitzer des Dienstprinzipals). Berechtigungen können auch zu einem Szenario führen, in dem Sie die Option zum einmaligen Anmelden zwar öffnen, nicht aber speichern können.

  • Kennwort: Lokale Anwendungen können eine kennwortbasierte Methode für SSO verwenden. Diese Auswahl funktioniert, wenn Anwendungen für den Anwendungsproxy konfiguriert wurden.

    Bei kennwortbasierter einmaliger Anmeldung melden sich Benutzer mit einem Benutzernamen und einem Kennwort bei der Anwendung an, wenn sie erstmals auf sie zugreifen. Nach der ersten Anmeldung werden der Name der Benutzer*innen und das Kennwort von Microsoft Entra ID für die Anwendung bereitgestellt. Kennwortbasiertes einmaliges Anmelden ermöglicht die sichere Speicherung des Anwendungskennworts und dessen Wiedergabe mit einer Webbrowsererweiterung oder einer mobilen App. Diese Option verwendet den von der Anwendung bereitgestellten vorhandenen Anmeldevorgang, ermöglicht es einem Administrator, die Kennwörter zu verwalten, und erfordert nicht, dass der Benutzer das Kennwort kennt. Weitere Informationen finden Sie unter Hinzufügen einer kennwortbasierten einmaligen Anmeldung zu einer Anwendung.

  • Verknüpft: Verknüpftes Anmelden sorgt während der Migration von Anwendungen über einen längeren Zeitraum für eine einheitliche Benutzererfahrung. Wenn Sie Anwendungen zu Microsoft Entra ID migrieren, können Sie mithilfe des auf Verknüpfungen basierten einmaligen Anmeldens schnell Links für alle Anwendungen veröffentlichen, die Sie migrieren möchten. Benutzer können alle Links im Portal „Meine Apps“ oder im Microsoft 365-Portal finden.

    Nachdem ein Benutzer sich mit einer verknüpften Anwendung authentifiziert hat, muss ein Konto erstellt werden, bevor der Benutzer Zugriff durch einmaliges Anmelden erhält. Die Bereitstellung dieses Kontos kann automatisch oder manuell durch einen Administrator erfolgen. Sie können keine Richtlinien für bedingten Zugriff oder Multi-Faktor-Authentifizierung auf eine verknüpfte Anwendung anwenden, weil eine verknüpfte Anwendung keine Funktionen für einmaliges Anmelden über Microsoft Entra ID bereitstellt. Wenn Sie eine verknüpfte Anwendung konfigurieren, fügen Sie einfach einen Link hinzu, der zum Starten der Anwendung angezeigt wird. Weitere Informationen finden Sie unter Hinzufügen einer verknüpften einmaligen Anmeldung zu einer Anwendung.

  • Deaktiviert: Wenn SSO deaktiviert ist, ist diese Option für die Anwendung nicht verfügbar. Wenn einmaliges Anmelden deaktiviert ist, müssen sich Benutzer möglicherweise zweimal authentifizieren. Beim ersten Mal authentifizieren die Benutzer*innen sich bei Microsoft Entra ID, danach melden sie sich bei der Anwendung an.

    Deaktivieren Sie SSO, wenn Folgendes zutrifft:

    • Sie sind noch nicht bereit, diese Anwendung in einmaliges Anmelden von Microsoft Entra zu integrieren

    • Sie andere Aspekte der Anwendung testen

    • Eine lokale Anwendung erfordert keine Benutzerauthentifizierung, Sie wünschen diese jedoch. Wenn SSO deaktiviert ist, muss sich der Benutzer authentifizieren.

      Wenn Sie die Anwendung für SP-initiiertes und SAML-basiertes einmaliges Anmelden konfiguriert haben und den SSO-Modus in „Deaktiviert“ ändern, wird nicht verhindert, dass sich Benutzer außerhalb des Portals „Meine Apps“ bei der Anwendung anmelden. Wenn Sie verhindern möchten, dass sich Benutzer außerhalb des Portals „Meine Apps“ anmelden, müssen Sie die Option für die Benutzeranmeldung deaktivieren.

Planen der SSO-Bereitstellung

Webanwendungen werden von verschiedenen Unternehmen gehostet und als Dienst zur Verfügung gestellt. Beispiele für beliebte Webanwendungen sind Microsoft 365, GitHub und Salesforce. Es gibt noch einige Tausend mehr. Benutzer verwenden auf ihren Computern einen Webbrowser, um auf Webanwendungen zuzugreifen. Einmaliges Anmelden ermöglicht Benutzern die Navigation zwischen verschiedenen Webanwendungen, ohne dass sie sich mehrfach anmelden müssen. Weitere Informationen finden Sie unterPlanen einer SSO-Bereitstellung.

Die Art der Implementierung von SSO richtet sich danach, wo die Anwendung gehostet wird. Das Hosting ist aufgrund der Art und Weise wichtig, wie Netzwerkdatenverkehr für den Zugriff auf die Anwendung weitergeleitet wird. Benutzer müssen nicht das Internet für den Zugriff auf lokale Anwendungen (gehostet in einem lokalen Netzwerk) verwenden. Wenn die Anwendung in der Cloud gehostet wird, benötigen Benutzer das Internet, um sie zu verwenden. In der Cloud gehostete Anwendungen werden auch als SaaS-Anwendungen (Software-as-a-Service) bezeichnet.

Für Cloudanwendungen werden Verbundprotokolle verwendet. Sie können einmaliges Anmelden auch für lokale Anwendungen nutzen. Sie können den Anwendungsproxy verwenden, um Zugriff für Ihre lokale Anwendung zu konfigurieren. Weitere Informationen finden Sie unter Remotezugriff auf lokale Anwendungen über den Microsoft Entra-Anwendungsproxy.

Meine Apps

Als Benutzer einer Anwendung interessieren Sie die SSO-Details wahrscheinlich nicht sonderlich. Sie möchten nur die Anwendungen nutzen, mit denen Sie produktiv arbeiten können, ohne häufig Ihr Kennwort eingeben zu müssen. Sie finden und verwalten Ihre Anwendungen im Portal „Meine Apps“. Weitere Informationen finden Sie unter Anmelden beim Portal „Meine Apps“ und Starten von Apps über dieses.

Nächste Schritte