什麼是 Microsoft Entra ID 的 SAML 型單一登入?
本文提供您可以使用的單一登入 (SSO) 選項的相關資訊。 其也概述在使用 Microsoft Entra ID 時規劃單一登入部署的簡介。 單一登入是一種驗證方法,可讓使用者使用一組認證登入多個獨立的軟體系統。 使用 SSO 表示使用者不需要登入其使用的每個應用程式。 使用 SSO 時,使用者可以存取所有必要的應用程式,而不需要使用不同的認證進行驗證。 如需簡短簡介,請參閱 Microsoft Entra 單一登入。
許多應用程式已存在於 Microsoft Entra ID 中,您可以搭配 SSO 使用。 根據應用程式的需求及其實作方式,您有數個 SSO 選項。 在 Microsoft Entra ID 中建立應用程式之前,請花點時間規劃 SSO 部署。 您可以使用 [我的應用程式] 入口網站,更輕鬆地管理應用程式。
單一登入選項
請根據已為應用程式設定的驗證方式,選擇 SSO 方法。 雲端應用程式可以使用同盟型選項,例如 OpenID Connect 和 SAML。 應用程式也可以使用密碼型 SSO、連結型 SSO 或 SSO 來停用。
同盟 - 當您在多個識別提供者之間設定 SSO 時,這稱為同盟。 以同盟通訊協議為基礎的 SSO 實作可改善安全性、可靠性、終端使用者體驗和實作。
使用同盟單一登入,Microsoft Entra 會使用其 Microsoft Entra 帳戶向應用程式驗證使用者。 SAML 2.0、WS-同盟或 OpenID Connect 應用程式都支援此方法。 同盟 SSO 是 SSO 的最豐富模式。 當應用程式支援同盟 SSO 時,請搭配 Microsoft Entra ID 使用同盟 SSO,而非以密碼為基礎的 SSO 和 Active Directory 同盟服務 (AD FS)。
在某些情況下,企業應用程式沒有 SSO 選項可供使用。 如果應用程式是使用入口網站中的 [應用程式註冊] 所註冊,則會將單一登入功能設定為使用 OpenID Connect。 在此情況下,單一登入選項不會出現在企業應用程式下的版面配置中。 OpenID Connect 是一種建置在 OAuth 2.0 上的驗證通訊協定。 OpenID Connect 使用 OAuth 2.0 來處理流程的授權部分。 當使用者嘗試登入時,OpenID Connect 會根據授權伺服器所執行的驗證來驗證其身分識別。 驗證使用者後,在不公開認證的情況下,OAuth 2.0 用於將應用程式存取權授與使用者的資源。
當應用程式裝載於另一個租用戶時,則無法使用單一登入。 如果您的帳戶沒有必要權限 (雲端應用程式系統管理員、應用程式系統管理員或服務主體的擁有者),也無法使用單一登入。 權限也可能導致您可以開啟單一登入卻可能無法儲存的案例。
密碼 - 內部部署應用程式可以使用 SSO 的密碼型方法。 當應用程式針對 [應用程式 Proxy] 設定時,此選項可運作。
若使用密碼式 SSO,使用者在第一次存取應用程式時,要以使用者名稱和密碼來登入。 第一次登入之後,Microsoft Entra ID 就會向應用程式提供使用者名稱和密碼。 密碼式 SSO 可以使用網頁瀏覽器延伸或行動應用程式,安全儲存應用程式的密碼以及重新執行。 此選項會利用應用程式提供的現有登入程序,讓系統管理員可以管理密碼,而不需要使用者知道密碼。 如需詳細資訊,請參閱將密碼式單一登入新增至應用程式。
連結 - 當您在一段時間內移轉應用程式時,連結型登入可提供一致的使用者體驗。 如果您要將應用程式移轉至 Microsoft Entra ID,您可以使用連結型 SSO 快速發佈連結至您想要移轉的所有應用程式。 使用者可以在 [我的應用程式] 或 Microsoft 365 入口網站中找到所有連結。
在使用者使用連結的應用程式進行驗證之後,必須先建立帳戶,才能提供使用者單一登入存取權。 佈建此帳戶可能會自動發生,或可由系統管理員手動進行。 您無法將條件式存取原則或多重要素驗證套用至連結的應用程式,因為連結的應用程式不會透過 Microsoft Entra ID 提供單一登入功能。 當您設定連結的應用程式時,您只需要新增一個連結,即可啟動應用程式。 如需詳細資訊,請參閱將連結式單一登入新增至應用程式。
停用 - 停用 SSO 時,應用程式便無法使用 SSO。 停用單一登入時,使用者可能需要驗證兩次。 首先,使用者會向 Microsoft Entra ID 進行驗證,然後才登入應用程式。
在下列情況下停用 SSO:
您尚未準備好將此應用程式與 Microsoft Entra 單一登入整合
您正在測試應用程式的其他層面
內部部署應用程式不需要使用者進行驗證,但您想要他們進行驗證。 停用 SSO 之後,使用者必須進行驗證。
如果您針對 SP 起始的 SAML 型 SSO 設定應用程式,並將 SSO 模式變更為停用,則不會阻止使用者登入 MyApps 入口網站外部的應用程式。 若要阻止使用者從 [我的應用程式] 入口網站外部登入,您必須停用使用者登入的能力。
規劃 SSO 部署
Web 應用程式由各種公司所裝載,並以服務的形式提供。 Web 應用程式的一些熱門範例包括 Microsoft 365、GitHub 和 Salesforce。 還有數千個項目。 人員在其電腦上使用網頁瀏覽器存取 Web 應用程式。 單一登入可讓使用者在各種 Web 應用程式之間進行瀏覽,而無需多次登入。 如需詳細資訊,請參閱規劃單一登入部署。
您實作 SSO 的方式取決於應用程式裝載的位置。 由於網路流量路由傳送以存取應用程式的方式,所以裝載很重要。 使用者不需要使用網際網路來存取內部部署應用程式 (其裝載於本機網路上)。 如果應用程式裝載在雲端中,則使用者需要網際網路才能使用它。 雲端裝載的應用程式也稱為軟體即服務 (SaaS) 應用程式。
針對雲端應用程式,會使用同盟通訊協定。 您也可以針對內部部署應用程式使用單一登入。 您可以使用 [應用程式 Proxy] 來設定內部部署應用程式的存取權。 如需詳細資訊,請參閱透過 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式。
我的應用程式
如果您是應用程式的使用者,您可能不會太關心 SSO 詳細資料。 您只想使用無需太常輸入密碼即可提高生產力的應用程式。 您可以在 [我的應用程式] 入口網站中找到及管理您的應用程式。 如需詳細資訊,請參閱登入我的應用程式入口網站並啟動應用程式。