O que é o logon único do Microsoft Entra ID?

Este artigo fornece informações sobre as opções de SSO (logon único) disponíveis para você. Ele também descreve uma introdução ao planejamento de uma implantação de logon único ao usar o Microsoft Entra ID. O logon único é um método de autenticação que permite aos usuários entrar usando um conjunto de credenciais para vários sistemas de software independentes. Com o uso do SSO, o usuário não precisa se conectar em cada aplicativo que usa. Com o SSO, os usuários podem acessar todos os aplicativos necessários sem precisar autenticar novamente usando outras credenciais. Para ver uma breve introdução, confira Logon único do Microsoft Entra.

Já existem muitos aplicativos no Microsoft Entra ID nos quais você pode usar o SSO. Há várias opções de SSO, dependendo das necessidades do aplicativo e de como ele é implementado. Separe algum tempo para planejar sua implantação de SSO antes de criar aplicativos no Microsoft Entra ID. O gerenciamento de aplicativos pode ser facilitado com o uso do portal Meus Aplicativos.

Opções de logon único

A escolha de um método de SSO depende de como o aplicativo está configurado para autenticação. Os aplicativos de nuvem podem usar opções baseadas em federação, como OpenID Connect e SAML (Linguagem de Marcação de Declaração de Segurança). O aplicativo também pode usar SSO baseado em senha, SSO baseado em link ou o SSO pode ser desabilitado.

  • Federação – Quando você configura o SSO para funcionar entre vários provedores de identidade, isso é chamado de federação. Uma implementação de SSO baseada em protocolos de federação melhora a segurança, a confiabilidade, as experiências do usuário final e a implementação.

    Com o logon único federado, o Microsoft Entra autentica o usuário no aplicativo usando a respectiva conta do Microsoft Entra. Esse método é compatível com aplicativos SAML 2.0, Web Services Federation ou OpenID Connect. O SSO federado é o modo de SSO mais avançado. Use o SSO federado com o Microsoft Entra ID quando um aplicativo der suporte a ele, em vez do SSO baseado em senha e dos Serviços de Federação do Active Directory (AD FS).

    Há alguns cenários em que a opção de SSO não está presente em um aplicativo empresarial. Se o aplicativo tiver sido registrado usando os Registros de aplicativo no portal, a funcionalidade de logon único será configurada para usar o OpenID Connect. Nesse caso, a opção de logon único não é mostrada na navegação em aplicativos empresariais. O OpenID Connect é um protocolo de autenticação baseado no protocolo OAuth 2.0, que é usado para autorização. O OpenID Connect usa o OAuth 2.0 para lidar com a parte de autorização do processo. Quando um usuário tenta entrar, o OpenID Connect verifica sua identidade com base na autenticação executada por um servidor de autorização. Depois que o usuário é autenticado, o OAuth 2.0 é usado para conceder ao aplicativo acesso aos recursos do usuário sem expor suas credenciais.

    O logon único não está disponível quando um aplicativo é hospedado em outro locatário. O logon único também não fica disponível se a sua conta não tem as permissões necessárias (administrador de aplicativos de nuvem, administrador de aplicativos ou proprietário da entidade de serviço). As permissões também podem resultar em um cenário em que você consegue abrir o logon único, mas não consegue salvá-lo.

  • Senha – Os aplicativos de senha no local podem usar um método baseado em senha para o SSO. Essa escolha funciona quando os aplicativos são configurados para o Proxy de Aplicativo.

    Com o SSO baseado em senha, os usuários entram no aplicativo com um nome de usuário e senha na primeira vez que acessam. Após o primeiro logon, o Microsoft Entra ID fornece o nome de usuário e a senha ao aplicativo. O SSO baseado em senha permite o armazenamento e a reprodução segura de senhas do aplicativo usando uma extensão de navegador da Web ou um aplicativo móvel. Essa opção usa o processo de entrada existente fornecido pelo aplicativo, permite que um administrador gerencie as senhas e não exige que o usuário saiba a senha. Para obter mais informações, confira: Adicionar logon único baseado em senha a um aplicativo.

  • Vinculado – O logon vinculado pode fornecer uma experiência de usuário consistente enquanto você migra aplicativos durante um período. Se estiver migrando aplicativos para o Microsoft Entra ID, use o SSO baseado em links para publicar links rapidamente para todos os aplicativos que você pretende migrar. Os usuários podem encontrar todos os links nos portais Meus Aplicativos ou Microsoft 365.

    Depois que um usuário for autenticado com um aplicativo vinculado, uma conta precisa ser criada para que o usuário receba o acesso de logon único. O provisionamento desta conta pode ocorrer automaticamente ou manualmente por um administrador. Não é possível aplicar políticas de acesso condicional nem a autenticação multifator a um aplicativo vinculado, porque ele não fornece funcionalidades de logon único por meio do Microsoft Entra ID. Ao configurar um aplicativo vinculado, você simplesmente adiciona um link que aparece para iniciar o aplicativo. Para obter mais informações, confira Adicionar logon único vinculado a um aplicativo.

  • Desabilitado – quando o SSO está desabilitado, ele não está disponível para o aplicativo. Quando o logon único está desabilitado, pode ser necessário que os usuários se autentiquem duas vezes. Primeiro, os usuários se autenticam no Microsoft Entra ID e, em seguida, entram no aplicativo.

    Desabilite o SSO quando:

    • Você não está pronto para integrar este aplicativo ao logon único do Microsoft Entra

    • Você está testando outros aspectos do aplicativo

    • Um aplicativo local não exige que os usuários se autentiquem, mas você deseja que eles se façam isso. Com o SSO desabilitado, o usuário precisa se autenticar.

      Se você tiver configurado o aplicativo para SSO baseado em SAML iniciado por SP e alterar o modo do SSO para desabilitado, isso não impede que os usuários se conectem ao aplicativo de fora do portal MyApps. Para impedir que os usuários entrem de fora do portal de Meus Aplicativos, desabilite a capacidade de entrada dos usuários.

Planejar a implantação do SSO

Os aplicativos Web são hospedados por várias empresas e disponibilizados como um serviço. Alguns exemplos populares de aplicativos Web incluem Microsoft 365, GitHub e Salesforce. Há milhares de outros. As pessoas acessam aplicativos Web usando um navegador da Web no computador. O logon único possibilita que as pessoas naveguem entre os vários aplicativos Web sem precisar entrar várias vezes. Para obter mais informações, confira Planejar uma implantação de logon único.

A maneira como você implementa o SSO depende do local em que o aplicativo está hospedado. A hospedagem é importante devido à maneira como o tráfego de rede é roteado para acessar o aplicativo. Os usuários não precisam usar a Internet para acessar aplicativos locais (hospedados em uma rede local). Se o aplicativo estiver hospedado na nuvem, os usuários precisarão da Internet para usá-lo. Os aplicativos hospedados na nuvem também são chamados de aplicativos SaaS (software como serviço).

Para aplicativos de nuvem, os protocolos de federação são usados. Você também pode usar o logon único para aplicativos locais. Você pode usar o Proxy de Aplicativo para configurar o acesso para seu aplicativo local. Para obter mais informações, confira Acesso remoto aos aplicativos locais por meio do proxy de aplicativo do Microsoft Entra.

Meus aplicativos

Se você é um usuário de um aplicativo, provavelmente não se preocupa muito com os detalhes do SSO. Você só quer usar os aplicativos que aumentam sua produtividade sem precisar digitar tantas senhas. Encontre e gerencie seus aplicativos no portal Meus Aplicativos. Para obter mais informações, confira Entrar e iniciar aplicativos no portal Meus Aplicativos.

Próximas etapas