Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece informações que você pode usar para planejar sua implantação de SSO (logon único) no Microsoft Entra ID. Ao planejar sua implantação de SSO com seus aplicativos na ID do Microsoft Entra, você precisa considerar as seguintes perguntas:
- Quais são as funções administrativas necessárias para gerenciar o aplicativo?
- O certificado de aplicativo SAML (Security Assertion Markup Language) precisa ser renovado?
- Quem precisa ser notificado sobre as alterações relacionadas à implementação do SSO?
- Quais licenças são necessárias para garantir o gerenciamento efetivo do aplicativo?
- As contas de usuários compartilhados e convidados são usadas para acessar o aplicativo?
- Entendo as opções de implantação de SSO?
Funções administrativas
Sempre use a função com o menor número de permissões disponíveis para realizar a tarefa necessária na ID do Microsoft Entra. Examine as diferentes funções disponíveis e escolha a certa para resolver suas necessidades para cada persona para o aplicativo. Algumas funções podem precisar ser aplicadas temporariamente e removidas após a conclusão da implantação.
| Personagem | Funções | Função do Microsoft Entra (se necessário) |
|---|---|---|
| Administrador do suporte técnico | O suporte de nível1 exibe os logs de entrada para resolver problemas. | Nenhum |
| Administrador de identidade | Configurar e depurar quando os problemas envolvem o Microsoft Entra ID | Administrador de Aplicativos na Nuvem |
| Administrador de aplicativo | Autenticação de usuário no aplicativo, configuração de usuários com permissões | Nenhum |
| Administradores de infraestrutura | Proprietário de sobreposição de certificados | Administrador de Aplicativos na Nuvem |
| Proprietário/interessado de empresa | Autenticação de usuário no aplicativo, configuração de usuários com permissões | Nenhum |
Para saber mais sobre as funções administrativas do Microsoft Entra, confira as funções internas do Microsoft Entra.
Certificados
Quando você habilita a federação no aplicativo SAML, a ID do Microsoft Entra cria um certificado válido por padrão por três anos. Você pode personalizar a data de validade desse certificado, se necessário. Verifique se você tem processos em vigor para renovar certificados antes da expiração.
Você altera a duração do certificado no Centro de administração do Microsoft Entra. Documente a expiração e saiba como gerenciar a renovação do certificado. É importante identificar as funções certas e as listas de distribuição de email envolvidas no gerenciamento do ciclo de vida do certificado de assinatura. As seguintes funções são recomendadas:
- Proprietário responsável por atualizar as propriedades do usuário no aplicativo
- Proprietário na chamada para suporte de solução de problemas do aplicativo
- Lista de distribuição de email monitorada de perto para notificações de alteração relacionadas a certificados
Configure um processo de como lidar com uma alteração de certificado entre a ID do Microsoft Entra e seu aplicativo. Ao ter esse processo em vigor, você pode ajudar a evitar ou minimizar uma interrupção devido a uma expiração de certificado ou uma substituição de certificado forçada. Consulte Gerenciar certificados para logon único federado no Microsoft Entra ID.
Comunicações
A comunicação é fundamental para o sucesso de qualquer novo serviço. Comunique-se proativamente aos usuários sobre a próxima alteração de experiência. Comunique-se quando a alteração ocorrer e como obter suporte se eles tiverem problemas. Examine as opções de como os usuários devem acessar seus aplicativos habilitados para SSO e crie suas comunicações para corresponder à sua seleção.
Implemente seu plano de comunicação. Verifique se você está permitindo que seus usuários saibam que uma alteração está chegando, quando ela chega e o que fazer agora. Além disso, certifique-se de fornecer informações sobre como buscar assistência.
Licenciamento
Verifique se o aplicativo está coberto pelos seguintes requisitos de licenciamento:
Licenciamento do Microsoft Entra ID – o SSO para aplicativos empresariais previamente integrados é gratuito. No entanto, o número de objetos em seu diretório e os recursos que você deseja implantar podem exigir mais licenças. Para obter uma lista completa dos requisitos de licença, consulte os preços do Microsoft Entra.
Licenciamento de aplicativo – Você precisa das licenças apropriadas para seus aplicativos atenderem às suas necessidades comerciais. Trabalhe com o proprietário do aplicativo para determinar se os usuários atribuídos ao aplicativo têm as licenças apropriadas para suas funções dentro do aplicativo. Se a ID do Microsoft Entra gerenciar o provisionamento automático com base em funções, as funções atribuídas na ID do Microsoft Entra deverão se alinhar ao número de licenças pertencentes ao aplicativo. O número incorreto de licenças pertencentes ao aplicativo pode levar a erros durante o provisionamento ou atualização de uma conta de usuário.
Contas compartilhadas
Do ponto de vista de entrada, os aplicativos com contas compartilhadas não são diferentes dos aplicativos empresariais que usam o SSO de senha para usuários individuais. No entanto, há mais etapas necessárias ao planejar e configurar um aplicativo destinado a usar contas compartilhadas.
- Trabalhe com usuários para documentar as seguintes informações:
- O conjunto de usuários na organização que devem usar o aplicativo.
- O conjunto existente de credenciais no aplicativo associado ao conjunto de usuários.
- Para cada combinação de conjunto de usuários e credenciais, crie um grupo de segurança na nuvem ou local com base em seus requisitos.
- Redefina as credenciais compartilhadas. Depois que o aplicativo é implantado na ID do Microsoft Entra, os indivíduos não precisam da senha da conta compartilhada. A ID do Microsoft Entra armazena a senha e você deve considerar defini-la como longa e complexa.
- Configure a substituição automática da senha se o aplicativo der suporte a ela. Dessa forma, nem mesmo o administrador que fez a configuração inicial sabe a senha da conta compartilhada.
Opções de logon único
Há várias maneiras de configurar um aplicativo para SSO. Escolher um método SSO depende de como o aplicativo é configurado para autenticação.
- Os aplicativos de nuvem podem usar OpenID Connect, OAuth, SAML, baseado em senha ou vinculados para SSO. O logon único também pode ser desabilitado.
- Os aplicativos locais podem usar a Autenticação Integrada do Windows baseada em senha, baseada em cabeçalho ou vinculada para SSO. As opções locais funcionam quando os aplicativos são configurados para Proxy de Aplicativo.
Esse fluxograma pode ajudá-lo a decidir qual método SSO é melhor para sua situação.
Os seguintes protocolos SSO estão disponíveis para uso:
OpenID Connect e OAuth – escolha OpenID Connect e OAuth 2.0 se o aplicativo ao qual você está se conectando dá suporte a ele. Para obter mais informações, confira Protocolos OAuth 2.0 e OpenID Connect na plataforma de identidade da Microsoft. Para obter etapas para implementar o SSO do OpenID Connect, consulte Configurar o logon único baseado em OIDC para um aplicativo no Microsoft Entra ID.
SAML – escolha SAML sempre que possível para aplicativos existentes que não usam o OpenID Connect ou o OAuth. Para obter mais informações, consulte o protocolo SAML de logon único.
Baseado em senha – escolha com base em senha quando o aplicativo tiver uma página de entrada HTML. O SSO baseado em senha também é conhecido como cofre de senhas. O SSO baseado em senha permite que você gerencie o acesso do usuário e senhas para aplicativos Web que não dão suporte à federação de identidade. Também é útil onde vários usuários precisam compartilhar uma única conta, como para contas de aplicativo de mídia social da sua organização.
O SSO baseado em senha dá suporte a aplicativos que exigem vários campos de entrada para aplicativos que exigem mais do que apenas campos de nome de usuário e senha para entrar. Você pode personalizar os rótulos dos campos nome de usuário e senha que seus usuários veem em Meus Aplicativos quando inserem suas credenciais. Para obter etapas para implementar a autenticação única baseada em senha, consulte autenticação única baseada em senha.
Vinculado – Selecione "Vinculado" quando o aplicativo estiver configurado para SSO em um outro provedor de identidade. A opção vinculada permite configurar o local de destino quando um usuário seleciona o aplicativo nos portais de usuário final da sua organização. Você pode adicionar um link a um aplicativo Web personalizado que atualmente usa federação, como o ADFS (Serviços de Federação do Active Directory).
Você também pode adicionar links a páginas da Web específicas que você deseja que apareçam nos painéis de acesso do usuário e a um aplicativo que não exija autenticação. A opção Vinculado não fornece funcionalidade de autenticação por meio das credenciais do Microsoft Entra. Para saber como implementar a autenticação única vinculada, consulte Autenticação Única Vinculada.
Desabilitado – escolha o SSO desabilitado quando o aplicativo não estiver pronto para ser configurado para SSO.
Autenticação Integrada do Windows (IWA) - escolha esse logon único de IWA para aplicativos que usam a IWA ou aplicativos com reconhecimento de declaração. Para obter mais informações, consulte Delegação Restrita do Kerberos para autenticação única em seus aplicativos com o Proxy de Aplicações.
Baseado em cabeçalho - use o logon único baseado em cabeçalho quando o aplicativo usar cabeçalhos para autenticação. Para obter mais informações, consulte SSO baseado em cabeçalho.