Microsoft Entra Připojení možnosti přihlášení uživatele
Microsoft Entra Připojení umožňuje uživatelům přihlásit se ke cloudovým i místním prostředkům pomocí stejných hesel. Tento článek popisuje klíčové koncepty jednotlivých modelů identit, které vám pomůžou zvolit identitu, kterou chcete použít pro přihlášení k Microsoft Entra ID.
Pokud už znáte model identity Microsoft Entra a chcete získat další informace o konkrétní metodě, podívejte se na příslušný odkaz:
- Synchronizace hodnot hash hesel s bezproblémovým jednotným přihlašováním (SSO)
- Předávací ověřování s bezproblémovým jednotným přihlašováním (SSO)
- Federované jednotné přihlašování (s Active Directory Federation Services (AD FS) (AD FS))
- Federace pomocí PingFederate
Poznámka:
Je důležité si uvědomit, že konfigurací federace pro ID Microsoft Entra vytvoříte vztah důvěryhodnosti mezi vaším tenantem Microsoft Entra a federovanými doménami. Díky této důvěryhodnosti budou mít uživatelé federované domény přístup ke cloudovým prostředkům Microsoft Entra v rámci tenanta.
Volba metody přihlášení uživatele pro vaši organizaci
Prvním rozhodnutím implementace microsoft Entra Připojení je volba metody ověřování, kterou uživatelé budou používat k přihlášení. Je důležité, abyste zvolili správnou metodu, která splňuje požadavky vaší organizace na zabezpečení a pokročilé požadavky. Ověřování je důležité, protože ověří identity uživatele pro přístup k aplikacím a datům v cloudu. Pokud chcete zvolit správnou metodu ověřování, musíte zvážit čas, stávající infrastrukturu, složitost a náklady na implementaci vaší volby. Tyto faktory se u každé organizace liší a můžou se v průběhu času měnit.
Microsoft Entra ID podporuje následující metody ověřování:
- Cloudové ověřování – Když zvolíte tuto metodu ověřování, Zpracovává proces ověřování pro přihlášení uživatele Microsoft Entra ID. S cloudovým ověřováním si můžete vybrat ze dvou možností:
- Synchronizace hodnot hash hesel (PHS) – Synchronizace hodnot hash hesel umožňuje uživatelům používat stejné uživatelské jméno a heslo, které používají místně, aniž by museli nasazovat další infrastrukturu kromě Microsoft Entra Připojení.
- Předávací ověřování (PTA) – Tato možnost se podobá synchronizaci hodnot hash hesel, ale poskytuje jednoduché ověření hesla pomocí místních softwarových agentů pro organizace se silnými zásadami zabezpečení a dodržování předpisů.
- Federované ověřování – Když zvolíte tuto metodu ověřování, Microsoft Entra ID předá proces ověřování samostatnému důvěryhodnému systému ověřování, jako je AD FS nebo federační systém třetí strany, a ověří přihlášení uživatele.
Pro většinu organizací, které chtějí povolit přihlašování uživatelů k Microsoftu 365, aplikacím SaaS a dalším prostředkům založeným na ID Microsoftu, doporučujeme použít výchozí možnost synchronizace hodnot hash hesel.
Podrobné informace o výběru metody ověřování najdete v tématu Volba správné metody ověřování pro řešení hybridní identity Microsoft Entra.
Synchronizace hodnot hash hesel
Při synchronizaci hodnot hash hesel se hodnoty hash uživatelských hesel synchronizují z místní Active Directory do Microsoft Entra ID. Když se hesla změní nebo resetují místně, nové hodnoty hash hesel se okamžitě synchronizují s ID Microsoft Entra, aby uživatelé mohli vždy používat stejné heslo pro cloudové prostředky a místní prostředky. Hesla se nikdy neodesílají na ID Microsoft Entra nebo nejsou uložena v Microsoft Entra ID ve formátu prostého textu. Synchronizaci hodnot hash hesel můžete použít společně se zpětným zápisem hesla k povolení samoobslužného resetování hesla v Microsoft Entra ID.
Kromě toho můžete povolit bezproblémové jednotné přihlašování pro uživatele na počítačích připojených k doméně, které jsou v podnikové síti. S jednotným přihlašováním musí uživatelé s povoleným přihlašováním zadávat uživatelské jméno, aby jim pomohli bezpečně přistupovat ke cloudovým prostředkům.
Další informace najdete v článku synchronizace hodnot hash hesel.
Předávací ověřování
Při předávacím ověřování se heslo uživatele ověřuje vůči kontroleru místní Active Directory. Heslo nemusí být v Microsoft Entra ID v žádném formuláři. To umožňuje vyhodnotit místní zásady, jako jsou omezení hodin přihlášení, během ověřování ke cloudovým službám.
Předávací ověřování používá jednoduchého agenta na počítači připojeném k doméně s Windows Serverem 2012 R2 v místním prostředí. Tento agent naslouchá žádostem o ověření hesla. Nevyžaduje, aby byly otevřené žádné příchozí porty pro internet.
Kromě toho můžete také povolit jednotné přihlašování pro uživatele na počítačích připojených k doméně, které jsou v podnikové síti. S jednotným přihlašováním musí uživatelé s povoleným přihlašováním zadávat uživatelské jméno, aby jim pomohli bezpečně přistupovat ke cloudovým prostředkům.
Další informace naleznete v tématu:
Federace, která používá novou nebo existující farmu se službou AD FS ve Windows Serveru 2012 R2
S federovaným přihlašováním se uživatelé můžou přihlásit ke službám založeným na Id Microsoftu pomocí místních hesel. I když jsou v podnikové síti, nemusí ani zadávat svá hesla. Pomocí možnosti federace se službou AD FS můžete nasadit novou nebo existující farmu se službou AD FS ve Windows Serveru 2012 R2. Pokud se rozhodnete zadat existující farmu, Microsoft Entra Připojení nakonfiguruje vztah důvěryhodnosti mezi vaší farmou a ID Microsoft Entra, aby se vaši uživatelé mohli přihlásit.
Nasazení federace se službou AD FS ve Windows Serveru 2012 R2
Pokud nasazujete novou farmu, potřebujete:
- Server Windows Server 2012 R2 pro federační server.
- Server Windows Server 2012 R2 pro webovou proxy aplikací.
- Soubor .pfx s jedním certifikátem TLS/SSL pro zamýšlený název federační služby. Příklad: fs.contoso.com.
Pokud nasazujete novou farmu nebo používáte existující farmu, potřebujete:
- Přihlašovací údaje místního správce na federačních serverech.
- Přihlašovací údaje místního správce na všech serverech pracovní skupiny (nejsou připojené k doméně), na kterých chcete nasadit roli webového proxy aplikací.
- Počítač, na který spustíte průvodce, aby se mohl připojit k jiným počítačům, na které chcete nainstalovat službu AD FS nebo webovou proxy aplikací pomocí vzdálené správy systému Windows.
Další informace najdete v tématu Konfigurace jednotného přihlašování se službou AD FS.
Federace s PingFederate
S federovaným přihlašováním se uživatelé můžou přihlásit ke službám založeným na Id Microsoftu pomocí místních hesel. I když jsou v podnikové síti, nemusí ani zadávat svá hesla.
Další informace o konfiguraci PingFederate pro použití s Microsoft Entra ID naleznete v tématu PingFederate integrace s Microsoft Entra ID a Microsoft 365.
Informace o nastavení Připojení Microsoft Entra pomocí PingFederate naleznete v tématu Microsoft Entra Připojení vlastní instalace
Přihlášení pomocí starší verze služby AD FS nebo řešení třetí strany
Pokud jste už nakonfigurovali cloudové přihlašování pomocí starší verze služby AD FS (například AD FS 2.0) nebo jiného poskytovatele federace, můžete přeskočit konfiguraci přihlašování uživatelů prostřednictvím služby Microsoft Entra Připojení. To vám umožní získat nejnovější synchronizaci a další možnosti microsoft Entra Připojení, i když stále používáte stávající řešení pro přihlášení.
Další informace naleznete v seznamu kompatibility federace třetích stran společnosti Microsoft Entra.
Přihlášení uživatele a hlavní název uživatele
Principy hlavního názvu uživatele
Ve službě Active Directory je výchozí přípona hlavního názvu uživatele (UPN) název DNS domény, ve které byl uživatelský účet vytvořen. Ve většině případů se jedná o název domény zaregistrovaný jako podniková doména na internetu. Další přípony UPN ale můžete přidat pomocí Doména služby Active Directory a vztahů důvěryhodnosti.
Hlavní název uživatele (UPN) má formát username@domain. Například pro doménu služby Active Directory s názvem "contoso.com" může mít uživatel s názvem John hlavní název uživatele (UPN).john@contoso.com Hlavní název uživatele je založený na dokumentu RFC 822. I když hlavní název uživatele (UPN) a e-maily sdílejí stejný formát, může nebo nemusí být hodnota hlavního názvu uživatele (UPN) stejná jako e-mailová adresa uživatele.
Hlavní název uživatele v Microsoft Entra ID
Průvodce Microsoft Entra Připojení používá atribut userPrincipalName nebo umožňuje zadat atribut (ve vlastní instalaci), který se má použít z místního prostředí jako hlavní název uživatele v Microsoft Entra ID. Toto je hodnota, která se používá pro přihlášení k MICROSOFT Entra ID. Pokud hodnota atributu userPrincipalName neodpovídá ověřené doméně v MICROSOFT Entra ID, microsoft Entra ID ji nahradí výchozí hodnotou .onmicrosoft.com.
Každý adresář v Microsoft Entra ID má předdefinovaný název domény s formátem contoso.onmicrosoft.com, který vám umožní začít používat Azure nebo jiné služby Microsoft. Možnosti přihlašování můžete vylepšit a zjednodušit pomocí vlastních domén. Informace o vlastních názvech domén v MICROSOFT Entra ID a o tom, jak ověřit doménu, naleznete v tématu Přidání vlastního názvu domény do Microsoft Entra ID.
Konfigurace přihlášení Microsoft Entra
Konfigurace přihlášení Microsoft Entra pomocí microsoft Entra Připojení
Přihlašovací prostředí Microsoft Entra závisí na tom, jestli id Microsoft Entra odpovídá příponě hlavního názvu uživatele synchronizovaného s jednou z vlastních domén, které jsou ověřeny v adresáři Microsoft Entra. Microsoft Entra Připojení poskytuje pomoc při konfiguraci nastavení přihlášení Microsoft Entra, aby se prostředí přihlašování uživatelů v cloudu podobnou místnímu prostředí.
Microsoft Entra Připojení zobrazí seznam přípon UPN definovaných pro domény a pokusí se je spárovat s vlastní doménou v Microsoft Entra ID. Pak vám pomůže s příslušnou akcí, kterou je potřeba provést. Přihlašovací stránka Microsoft Entra obsahuje přípony UPN definované pro místní Active Directory a zobrazí odpovídající stav pro každou příponu. Hodnoty stavu můžou být následující:
| Stát | Popis | Je potřeba provést akci |
|---|---|---|
| Ověřeno | Microsoft Entra Připojení našla odpovídající ověřenou doménu v MICROSOFT Entra ID. Všichni uživatelé pro tuto doménu se můžou přihlásit pomocí svých místních přihlašovacích údajů. | Nevyžaduje se žádná akce. |
| Neověřená | Microsoft Entra Připojení našla odpovídající vlastní doménu v ID Microsoft Entra, ale není ověřená. Přípona hlavního názvu uživatele této domény se po synchronizaci změní na výchozí příponu .onmicrosoft.com, pokud není doména ověřená. | Ověřte vlastní doménu v MICROSOFT Entra ID. |
| Nepřidá se | Microsoft Entra Připojení nenašla vlastní doménu, která odpovídá příponě hlavního názvu uživatele (UPN). Přípona hlavního názvu uživatele této domény se změní na výchozí příponu .onmicrosoft.com, pokud doména není přidaná a ověřená v Azure. | Přidejte a ověřte vlastní doménu, která odpovídá příponě hlavního názvu uživatele (UPN). |
Přihlašovací stránka Microsoft Entra uvádí přípony UPN definované pro místní Active Directory a odpovídající vlastní doménu v Microsoft Entra ID s aktuálním stavem ověření. Ve vlastní instalaci teď můžete vybrat atribut hlavního názvu uživatele na přihlašovací stránce Microsoft Entra.
Kliknutím na tlačítko Aktualizovat můžete znovu načíst nejnovější stav vlastních domén z ID Microsoft Entra.
Výběr atributu pro hlavní název uživatele v MICROSOFT Entra ID
Atribut userPrincipalName je atribut, který uživatelé používají při přihlášení k ID Microsoft Entra a Microsoftu 365. Před synchronizací uživatelů byste měli ověřit domény (označované také jako přípony UPN), které se používají v Microsoft Entra ID.
Důrazně doporučujeme zachovat výchozí atribut userPrincipalName. Pokud je tento atribut nesměrovatelný a nedá se ověřit, je možné jako atribut, který obsahuje PŘIHLAŠOVACÍ ID, vybrat jiný atribut (například e-mail). To se označuje jako alternativní ID. Hodnota atributu Alternativní ID musí odpovídat standardu RFC 822. Jako řešení přihlašování můžete použít alternativní ID s jednotným přihlašováním pomocí hesla i federačním jednotným přihlašováním.
Poznámka:
Použití alternativního ID není kompatibilní se všemi úlohami Microsoftu 365. Další informace najdete v článku Konfigurace alternativního přihlašovacího ID.
Různé stavy vlastní domény a jejich vliv na přihlašovací prostředí Azure
Je velmi důležité pochopit vztah mezi stavy vlastní domény v adresáři Microsoft Entra a příponami hlavního názvu uživatele (UPN), které jsou definované místně. Pojďme si projít různá možná přihlašovací prostředí Azure při nastavování synchronizace pomocí microsoft Entra Připojení.
Pro následující informace předpokládejme, že se zabýváme příponou UPN contoso.com, která se používá v místním adresáři jako součást hlavního názvu uživatele (UPN), například user@contoso.com.
Expresní nastavení / Synchronizace hodnot hash hesel
| State | Vliv na přihlašovací prostředí Azure uživatele |
|---|---|
| Nepřidá se | V tomto případě nebyla v adresáři Microsoft Entra přidána žádná vlastní doména pro contoso.com. Uživatelé, kteří mají místní hlavní název uživatele (UPN) s příponou @contoso.com , nebudou moct k přihlášení k Azure používat místní hlavní název uživatele (UPN). Místo toho budou muset použít nový hlavní název uživatele (UPN), který jim poskytne MICROSOFT Entra ID přidáním přípony pro výchozí adresář Microsoft Entra. Pokud například synchronizujete uživatele do adresáře Microsoft Entra azurecontoso.onmicrosoft.com, dostane místní uživatel user@contoso.com hlavní název user@azurecontoso.onmicrosoft.comuživatele ( UPN). |
| Neověřená | V tomto případě máme vlastní doménu contoso.com, která je přidána do adresáře Microsoft Entra. Zatím se ale neověřuje. Pokud provedete synchronizaci uživatelů bez ověření domény, přiřadí se uživatelům nový hlavní název uživatele (UPN) id Microsoft Entra, stejně jako ve scénáři Nepřidaných. |
| Ověřeno | V tomto případě máme vlastní doménu contoso.com, která je už přidaná a ověřená v Microsoft Entra ID pro příponu UPN. Uživatelé budou moct použít například místní hlavní název uživatele, user@contoso.comaby se po synchronizaci s ID Microsoft Entra přihlásili k Azure. |
Federace služby AD FS
Federaci s výchozí doménou .onmicrosoft.com v MICROSOFT Entra ID nebo neověřenou vlastní doménou v Microsoft Entra ID nemůžete vytvořit. Pokud při spuštění průvodce Microsoft Entra Připojení vyberete neověřenou doménu pro vytvoření federace, microsoft Entra Připojení zobrazí výzvu k vytvoření potřebného záznamu, ve kterém je váš DNS hostovaný pro doménu. Další informace naleznete v tématu Ověření domény Microsoft Entra vybrané pro federaci.
Pokud jste vybrali federaci přihlašování uživatelů se službou AD FS, musíte mít vlastní doménu, abyste mohli pokračovat ve vytváření federace v Microsoft Entra ID. Pro naši diskuzi to znamená, že bychom měli mít vlastní doménu, contoso.com přidána do adresáře Microsoft Entra.
| State | Vliv na přihlašovací prostředí Azure uživatele |
|---|---|
| Nepřidá se | V tomto případě Microsoft Entra Připojení nenašla odpovídající vlastní doménu pro příponu hlavního názvu uživatele (UPN) contoso.com v adresáři Microsoft Entra. Pokud potřebujete, aby se uživatelé přihlásili pomocí služby AD FS s místním hlavním názvem uživatele (například user@contoso.com), musíte přidat vlastní doménu contoso.com. |
| Neověřená | V tomto případě vás Microsoft Entra Připojení vyzve s příslušnými podrobnostmi o tom, jak můžete ověřit svoji doménu v pozdější fázi. |
| Ověřeno | V tomto případě můžete pokračovat s konfigurací bez jakékoli další akce. |
Změna metody přihlašování uživatelů
Přihlašovací metodu uživatele můžete změnit z federace, synchronizace hodnot hash hesel nebo předávacího ověřování pomocí úloh dostupných v Microsoft Entra Připojení po počáteční konfiguraci microsoft Entra Připojení pomocí průvodce. Znovu spusťte průvodce Microsoft Entra Připojení a zobrazí se seznam úkolů, které můžete provést. V seznamu úkolů vyberte Změnit přihlášení uživatele.
Na další stránce se zobrazí výzva k zadání přihlašovacích údajů pro ID Microsoft Entra.
Na přihlašovací stránce uživatele vyberte požadované přihlášení uživatele.
Poznámka:
Pokud provádíte pouze dočasný přepínač na synchronizaci hodnot hash hesel, zaškrtněte políčko Nepřevést uživatelské účty . Zaškrtnutím této možnosti se každý uživatel převede na federovaný a může to trvat několik hodin.
Další kroky
- Přečtěte si další informace o integraci místních identit s Microsoft Entra ID.
- Přečtěte si další informace o konceptech návrhu Microsoft Entra Připojení.