O que é o início de sessão único no Microsoft Entra ID?
Este artigo fornece informações sobre as opções de logon único (SSO) disponíveis para você. Ele também descreve uma introdução ao planejamento de uma implantação de logon único ao usar o Microsoft Entra ID. O início de sessão único é um método de autenticação que permite que os utilizadores iniciem sessão com um conjunto de credenciais em vários sistemas de software independentes. A utilização do SSO significa que o utilizador não tem de iniciar sessão em cada uma das aplicações que utiliza. Com o SSO, os utilizadores podem aceder a todas as aplicações de que necessitam sem terem de se autenticar com diferentes credenciais. Para obter uma breve introdução, consulte Logon único do Microsoft Entra.
Muitos aplicativos já existem no Microsoft Entra ID que você pode usar com SSO. Você tem várias opções para SSO, dependendo das necessidades do aplicativo e de como ele é implementado. Reserve um tempo para planejar sua implantação de SSO antes de criar aplicativos no Microsoft Entra ID. O gerenciamento de aplicativos pode ser facilitado usando o portal Meus Aplicativos.
Opções de início de sessão único
A escolha de um método de SSO depende da configuração de autenticação da aplicação. Os aplicativos na nuvem podem usar opções baseadas em federação, como OpenID Connect e SAML. O aplicativo também pode usar SSO baseado em senha, SSO baseado em link ou SSO pode ser desativado.
Federação - Quando você configura o SSO para trabalhar entre vários provedores de identidade, ele é chamado de federação. Uma implementação de SSO baseada em protocolos de federação melhora a segurança, a confiabilidade, as experiências do usuário final e a implementação.
Com o logon único federado, o Microsoft Entra autentica o usuário no aplicativo usando sua conta do Microsoft Entra. Esse método é suportado para aplicativos SAML 2.0, WS-Federation ou OpenID Connect . SSO federado é o modo mais rico de SSO. Use o SSO federado com o Microsoft Entra ID quando um aplicativo oferecer suporte a ele, em vez de SSO baseado em senha e Serviços de Federação do Ative Directory (AD FS).
Há alguns cenários em que a opção SSO não está presente para um aplicativo corporativo. Se o aplicativo foi registrado usando registros de aplicativo no portal, o recurso de logon único é configurado para usar o OpenID Connect. Nesse caso, a opção de logon único não aparece na navegação em aplicativos corporativos. OpenID Connect é um protocolo de autenticação construído sobre o OAuth 2.0, que é um protocolo de autorização. O OpenID Connect usa o OAuth 2.0 para lidar com a parte de autorização do processo. Quando um usuário tenta fazer login, o OpenID Connect verifica sua identidade com base na autenticação executada por um servidor de autorização. Depois que o usuário é autenticado, o OAuth 2.0 é usado para conceder ao aplicativo acesso aos recursos do usuário sem expor suas credenciais.
O logon único não está disponível quando um aplicativo é hospedado em outro locatário. O logon único também não estará disponível se sua conta não tiver as permissões necessárias (Administrador de aplicativos na nuvem, Administrador de aplicativos ou proprietário da entidade de serviço). As permissões também podem causar um cenário em que você pode abrir o logon único, mas talvez não consiga salvar.
Senha - Os aplicativos locais podem usar um método baseado em senha para SSO. Essa opção funciona quando os aplicativos são configurados para o Proxy de Aplicativo.
Com o SSO baseado em palavra-passe, os utilizadores iniciam sessão na aplicação com um nome de utilizador e uma palavra-passe quando acedem pela primeira vez. Após o primeiro início de sessão, o Microsoft Entra ID proporciona o nome de utilizador e a palavra-passe para a aplicação. O SSO baseado em palavra-passe permite a repetição e o armazenamento da palavra-passe da aplicação de forma segura com uma aplicação móvel ou extensão do browser. Esta opção utiliza o processo de início de sessão existente disponibilizado pela aplicação, permite que um administrador faça a gestão das palavras-passe e não precisa que o utilizador conheça a palavra-passe. Para obter mais informações, consulte Adicionar logon único baseado em senha a um aplicativo.
Vinculado - O logon vinculado pode fornecer uma experiência de usuário consistente enquanto você migra aplicativos durante um período de tempo. Se você estiver migrando aplicativos para o Microsoft Entra ID, poderá usar o SSO baseado em link para publicar rapidamente links para todos os aplicativos que pretende migrar. Os usuários podem encontrar todos os links nos portais Meus Aplicativos ou Microsoft 365.
Depois que um usuário se autentica com um aplicativo vinculado, uma conta precisa ser criada antes que o usuário receba acesso de logon único. O provisionamento dessa conta pode ocorrer automaticamente ou manualmente por um administrador. Não é possível aplicar políticas de Acesso Condicional ou autenticação multifator a um aplicativo vinculado porque um aplicativo vinculado não fornece recursos de logon único por meio do Microsoft Entra ID. Ao configurar um aplicativo vinculado, você está simplesmente adicionando um link que aparece para iniciar o aplicativo. Para obter mais informações, consulte Adicionar logon único vinculado a um aplicativo.
Desabilitado - Quando o SSO está desabilitado, ele não está disponível para o aplicativo. Quando o logon único está desabilitado, os usuários podem precisar se autenticar duas vezes. Primeiro, os usuários se autenticam no Microsoft Entra ID e, em seguida, entram no aplicativo.
Desative o SSO quando:
Você não está pronto para integrar este aplicativo com o logon único do Microsoft Entra
Você está testando outros aspetos do aplicativo
Um aplicativo local não exige que os usuários se autentiquem, mas você deseja que eles o façam. Com o SSO desativado, o usuário precisa se autenticar.
Se você configurou o aplicativo para SSO baseado em SAML iniciado por SP e alterou o modo SSO para desabilitado, isso não impedirá que os usuários entrem no aplicativo fora do portal MyApps. Para impedir que os utilizadores iniciem sessão fora do portal As minhas aplicações, tem de desativar a capacidade de os utilizadores iniciarem sessão.
Planejar a implantação do SSO
As aplicações Web são alojadas por várias empresas e disponibilizadas como um serviço. Alguns exemplos populares de aplicativos Web incluem Microsoft 365, GitHub e Salesforce. Existem milhares de outros. As pessoas acessam aplicativos da Web usando um navegador da Web em seus computadores. O logon único possibilita que as pessoas naveguem entre os vários aplicativos Web sem precisar entrar várias vezes. Para obter mais informações, consulte Planejar uma implantação de logon único.
Como você implementa o SSO depende de onde o aplicativo está hospedado. A hospedagem é importante devido à forma como o tráfego de rede é roteado para acessar o aplicativo. Os usuários não precisam usar a Internet para acessar aplicativos locais (hospedados em uma rede local). Se o aplicativo estiver hospedado na nuvem, os usuários precisam da Internet para usá-lo. Os aplicativos hospedados na nuvem também são chamados de aplicativos SaaS (Software as a Service).
Para aplicativos em nuvem, protocolos de federação são usados. Você também pode usar o logon único para aplicativos locais. Você pode usar o Proxy de Aplicativo para configurar o acesso para seu aplicativo local. Para obter mais informações, consulte Acesso remoto a aplicativos locais por meio do proxy de aplicativo Microsoft Entra.
As Minhas Aplicações
Se você é um usuário de um aplicativo, provavelmente não se importa muito com os detalhes do SSO. Você só quer usar os aplicativos que o tornam produtivo sem ter que digitar tanto sua senha. Você pode encontrar e gerenciar seus aplicativos no portal Meus Aplicativos. Para obter mais informações, consulte Entrar e iniciar aplicativos no portal Meus Aplicativos.