Çoklu oturum açma dağıtımını planlama

Bu makalede, Microsoft Entra Id'de çoklu oturum açma (SSO) dağıtımınızı planlamak için kullanabileceğiniz bilgiler sağlanır. Microsoft Entra ID'de uygulamalarınızla SSO dağıtımınızı planlarken aşağıdaki soruları göz önünde bulundurmanız gerekir:

  • Uygulamayı yönetmek için gereken yönetim rolleri nelerdir?
  • Güvenlik Onaylama İşaretleme Dili (SAML) uygulama sertifikasının yenilenmesi gerekiyor mu?
  • SSO'nun uygulanmasıyla ilgili değişikliklerin kime bildirilmesi gerekiyor?
  • Uygulamanın etkili bir şekilde yönetilmesini sağlamak için hangi lisanslar gereklidir?
  • Uygulamaya erişmek için paylaşılan ve konuk kullanıcı hesapları kullanılıyor mu?
  • SSO dağıtımı seçeneklerini anlıyor musunuz?

Yönetici Istrative Rolleri

Microsoft Entra Id içinde gerekli görevi gerçekleştirmek için rolü her zaman en az izinle kullanın. Kullanılabilen farklı rolleri gözden geçirin ve uygulama için her kişilik için gereksinimlerinizi çözmek için doğru rolü seçin. Dağıtım tamamlandıktan sonra bazı rollerin geçici olarak uygulanması ve kaldırılması gerekebilir.

Kişilik Roller Microsoft Entra rolü (gerekirse)
Yardım masası yöneticisi Katman 1 desteği, sorunları çözmek için oturum açma günlüklerini görüntüler. Hiçbiri
Kimlik yöneticisi Microsoft Entra Id ile ilgili sorunlar olduğunda yapılandırma ve hata ayıklama Bulut Uygulaması Yöneticisi
Uygulama yöneticisi Uygulamada kullanıcı kanıtlama, izinleri olan kullanıcılarda yapılandırma Hiçbiri
Altyapı yöneticileri Sertifika geçişi sahibi Bulut Uygulaması Yöneticisi
İş sahibi/paydaş Uygulamada kullanıcı kanıtlama, izinleri olan kullanıcılarda yapılandırma Hiçbiri

Microsoft Entra yönetim rolleri hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra yerleşik rolleri.

Sertifikalar

SAML uygulamasında federasyonu etkinleştirdiğinizde, Microsoft Entra Id varsayılan olarak üç yıl boyunca geçerli olan bir sertifika oluşturur. Gerekirse bu sertifikanın son kullanma tarihini özelleştirebilirsiniz. Sertifikaların süresi dolmadan önce yenileme işlemlerine sahip olduğunuzdan emin olun.

Bu sertifika süresini Microsoft Entra yönetim merkezinde değiştirirsiniz. Süre sonunu belgelediğinden ve sertifika yenilemenizi nasıl yönetileceğini bildiğinizden emin olun. İmzalama sertifikasının yaşam döngüsünü yönetmeyle ilgili doğru rolleri ve e-posta dağıtım listelerini tanımlamak önemlidir. Aşağıdaki roller önerilir:

  • Uygulamadaki kullanıcı özelliklerini güncelleştirme sahibi
  • Uygulama sorun giderme desteği için Sahip On-Call
  • Sertifikayla ilgili değişiklik bildirimleri için yakından izlenen e-posta dağıtım listesi

Microsoft Entra Id ile uygulamanız arasında bir sertifika değişikliğinin nasıl işleneceğini gösteren bir işlem ayarlayın. Bu işlemi gerçekleştirerek, süresi dolan sertifika veya zorunlu sertifika geçişi nedeniyle bir kesintiyi önlemeye veya en aza indirmeye yardımcı olabilirsiniz. Daha fazla bilgi için bkz. Microsoft Entra ID'de federasyon çoklu oturum açma özelliği için sertifikaları yönetme.

İletişim

İletişim, yeni bir hizmetin başarısı için kritik öneme sahiptir. Yaklaşan deneyim değişikliği hakkında kullanıcılarınıza proaktif olarak iletişim kurun. Değişikliğin ne zaman gerçekleşeceğini ve sorun yaşarlarsa nasıl destek kazanacaklarını iletin. Kullanıcıların SSO özellikli uygulamalarına nasıl erişeceklerine ilişkin seçenekleri gözden geçirin ve iletişimlerinizi seçiminizle eşleşecek şekilde oluşturun.

İletişim planınızı uygulayın. Kullanıcılarınıza bir değişikliğin yaklaştığını, ne zaman geldiğini ve şimdi ne yapacağınızı haber verdiğinizden emin olun. Ayrıca, yardım isteme hakkında bilgi sağladığınıza emin olun.

Lisanslama

Uygulamanın aşağıdaki lisans gereksinimleri kapsamında olduğundan emin olun:

  • Microsoft Entra ID lisansı - Önceden tümlenmiş kurumsal uygulamalar için SSO ücretsizdir. Ancak, dizininizdeki nesne sayısı ve dağıtmak istediğiniz özellikler daha fazla lisans gerektirebilir. Lisans gereksinimlerinin tam listesi için bkz . Microsoft Entra fiyatlandırması.

  • Uygulama lisanslama - İş gereksinimlerinizi karşılamak için uygulamalarınız için uygun lisanslara ihtiyacınız vardır. Uygulamaya atanan kullanıcıların uygulama içindeki rolleri için uygun lisanslara sahip olup olmadığını belirlemek için uygulama sahibiyle birlikte çalışın. Microsoft Entra Id, otomatik sağlamayı rollere göre yönetiyorsa, Microsoft Entra Id'de atanan rollerin uygulamanın sahip olduğu lisans sayısıyla uyumlu olması gerekir. Uygulamaya ait lisansların hatalı sayıda olması, kullanıcı hesabının sağlanması veya güncelleştirilmesi sırasında hatalara neden olabilir.

Paylaşılan hesaplar

Oturum açma açısından bakıldığında, paylaşılan hesapları olan uygulamalar tek tek kullanıcılar için parola SSO kullanan kurumsal uygulamalardan farklı değildir. Ancak, paylaşılan hesapları kullanmak üzere bir uygulamayı planlamak ve yapılandırmak için gereken daha fazla adım vardır.

  • Aşağıdaki bilgileri belgeleyen kullanıcılarla birlikte çalışın:
    • Kuruluştaki uygulamayı kullanacak kullanıcı kümesi.
    • Uygulamadaki mevcut kimlik bilgileri kümesi, kullanıcı kümesiyle ilişkilendirildi.
  • Kullanıcı kümesi ve kimlik bilgilerinin her birleşimi için, gereksinimlerinize göre bulutta veya şirket içinde bir güvenlik grubu oluşturun.
  • Paylaşılan kimlik bilgilerini sıfırlayın. Uygulama Microsoft Entra Id'de dağıtıldıktan sonra kişilerin paylaşılan hesabın parolasına ihtiyacı yoktur. Microsoft Entra ID parolayı depolar ve parolayı uzun ve karmaşık olarak ayarlamayı göz önünde bulundurmalısınız.
  • Uygulama destekliyorsa parolanın otomatik geçişini yapılandırın. Bu şekilde, ilk kurulumu yapan yönetici bile paylaşılan hesabın parolasını bilmez.

Çoklu oturum açma seçenekleri

Bir uygulamada SSO yapılandırması gerçekleştirmenin birkaç farklı yöntemi vardır. Seçilecek SSO yöntemi, uygulamadaki kimlik doğrulaması yapılandırmasına göre değişir.

  • Bulut uygulamaları için OpenID Connect, OAuth, SAML, parola tabanlı veya bağlantı tabanlı SSO kullanılabilir. Çoklu oturum açma özelliğini devre dışı bırakmak da mümkündür.
  • Şirket içi uygulamalar parola tabanlı, Tümleşik Windows Kimlik Doğrulaması, üst bilgi tabanlı veya SSO için bağlantılı kullanabilir. Uygulamalar için Uygulama Ara Sunucusu yapılandırıldığında şirket içinde yapılan tercihler dikkate alınır.

Bu akış çizelgesi sizin için en uygun SSO yöntemini belirlemenize yardımcı olabilir.

Çoklu oturum açma yöntemi için karar akış çizelgesi

Aşağıdaki SSO protokolleri kullanılabilir:

  • OpenID Bağlan ve OAuth - Bağlandığınız uygulama destekliyorsa OpenID Bağlan ve OAuth 2.0'ı seçin. Daha fazla bilgi için bkz. Microsoft kimlik platformu OAuth 2.0 ve OpenID Bağlan protokolleri. OpenID Bağlan SSO uygulama adımları için bkz. Microsoft Entra ID'de bir uygulama için OIDC tabanlı çoklu oturum açmayı ayarlama.

  • SAML - OpenID Bağlan veya OAuth kullanmayan mevcut uygulamalar için mümkün olduğunda SAML'yi seçin. Daha fazla bilgi için bkz . çoklu oturum açma SAML protokolü.

  • Parola tabanlı - Uygulamanın BIR HTML oturum açma sayfası olduğunda parola tabanlı seçeneğini belirleyin. Parola tabanlı SSO, parola kasası olarak da bilinir. Parola tabanlı SSO, kimlik federasyonu desteklemeyen web uygulamalarına kullanıcı erişimini ve parolaları yönetmenizi sağlar. Kuruluşunuzun sosyal medya uygulama hesapları gibi birkaç kullanıcının tek bir hesabı paylaşması gerektiğinde de yararlıdır.

    Parola tabanlı SSO, oturum açmak için yalnızca kullanıcı adı ve parola alanlarından fazlasını gerektiren uygulamalar için birden çok oturum açma alanı gerektiren uygulamaları destekler. Kullanıcılarınızın kimlik bilgilerini girerken Uygulamalarım gördüğü kullanıcı adı ve parola alanlarının etiketlerini özelleştirebilirsiniz. Parola tabanlı SSO uygulama adımları için bkz . Parola tabanlı çoklu oturum açma.

  • Bağlı - Uygulama başka bir kimlik sağlayıcısı hizmetinde SSO için yapılandırıldığında bağlı'yı seçin. Bağlı seçenek, bir kullanıcı kuruluşunuzun son kullanıcı portallarında uygulamayı seçtiğinde hedef konumu yapılandırmanıza olanak tanır. Şu anda Active Directory Federasyon Hizmetleri (AD FS) (ADFS) gibi federasyon kullanan özel bir web uygulamasına bağlantı ekleyebilirsiniz.

    Ayrıca kullanıcınızın erişim panellerinde görünmesini istediğiniz belirli web sayfalarının ve kimlik doğrulaması gerektirmeyen bir uygulamanın bağlantılarını da ekleyebilirsiniz. Bağlı seçeneği, Microsoft Entra kimlik bilgileri aracılığıyla oturum açma işlevselliği sağlamaz. Bağlantılı SSO uygulama adımları için bkz . Bağlantılı çoklu oturum açma.

  • Devre dışı - Uygulama SSO için yapılandırılmaya hazır olmadığında devre dışı bırakılmış SSO'yı seçin.

  • Tümleşik Windows Kimlik Doğrulaması (IWA) - IWA kullanan uygulamalar veya talep kullanan uygulamalar için IWA çoklu oturum açmayı seçin. Daha fazla bilgi için bkz. Uygulama Ara Sunucusu ile uygulamalarınızda çoklu oturum açma için Kerberos Kısıtlanmış Temsili.

  • Üst bilgi tabanlı - Uygulama kimlik doğrulaması için üst bilgiler kullandığında üst bilgi tabanlı çoklu oturum açmayı seçin. Daha fazla bilgi için bkz . Üst bilgi tabanlı SSO.

Sonraki adımlar