DirSync s jedním Sign-On

  • Článek

Aktualizováno: 25. června 2015

Platí pro: Azure, Office 365, Power BI, Windows Intune

Jednotné přihlašování, označované také jako federace identit, je hybridní scénář integrace adresářů Azure Active Directory, který můžete implementovat, když chcete zjednodušit schopnost uživatele bezproblémově přistupovat ke cloudovým službám, jako jsou Office 365 nebo Microsoft Intune, s jejich stávajícími podnikovými přihlašovacími údaji služby Active Directory. Bez jednotného přihlašování by uživatelé museli udržovat samostatná uživatelská jména a hesla pro vaše online a místní účty.

Služba ZABEZPEČENÍ umožňuje federaci identit, rozšíření koncepce centralizovaného ověřování, autorizace a jednotného přihlašování k webovým aplikacím a službám umístěným prakticky kdekoli, včetně hraničních sítí, partnerských sítí a cloudu. Když nakonfigurujete službu ZABEZPEČENÍ tak, aby poskytovala přístup jednotného přihlašování ke cloudové službě Microsoftu, vytvoříte federovaný vztah důvěryhodnosti mezi místním stS a federovanou doménou, kterou jste zadali ve svém Azure AD tenantovi.

Azure AD podporuje scénáře jednotného přihlašování, které používají některou z následujících služeb tokenů zabezpečení:

  • Active Directory Federation Services (AD FS)

  • Zprostředkovatel identity Shibboleth

  • Zprostředkovatelé identity třetích stran

Následující diagram znázorňuje, jak vaše místní Active Directory a serverová farma služby STS komunikují s ověřovacím systémem Azure AD a poskytují přístup k jedné nebo více cloudovým službám. Při nastavování jednotného přihlašování vytvoříte federovaný vztah důvěryhodnosti mezi službou STS a systémem ověřování Azure AD. Místní uživatelé služby Active Directory získávají ověřovací tokeny z místní služby ZABEZPEČENÍ, které přesměrují požadavky uživatelů prostřednictvím federovaného vztahu důvěryhodnosti. To uživatelům umožňuje bezproblémový přístup ke cloudovým službám, ke kterým jste se přihlásili, aniž byste se museli přihlásit pomocí různých přihlašovacích údajů.

Directory sync with single sign-on scenario

Výhody implementace tohoto scénáře

Uživatelé při implementaci jednotného přihlašování mají jasnou výhodu: umožňuje jim používat firemní přihlašovací údaje pro přístup ke cloudové službě, ke které se vaše společnost přihlásila k odběru. Uživatelé se nemusí znovu přihlásit a pamatovat si více hesel.

Kromě výhod uživatelů existují pro správce mnoho výhod:

  • Řízení zásad: Správce může řídit zásady účtů prostřednictvím služby Active Directory, což správci umožňuje spravovat zásady hesel, omezení pracovních stanic, uzamčení ovládacích prvků a další, aniž by musel provádět další úlohy v cloudu.

  • Řízení přístupu: Správce může omezit přístup ke cloudové službě, aby ke službám bylo možné přistupovat prostřednictvím podnikového prostředí, přes online servery nebo obojí.

  • Omezená volání podpory: Zapomenutá hesla jsou běžným zdrojem volání podpory ve všech společnostech. Pokud si uživatelé budou pamatovat méně hesel, budou je méně pravděpodobné, že je zapomenou.

  • Zabezpečení: Identity a informace uživatele jsou chráněné, protože všechny servery a služby používané v jednotném přihlašování jsou zvládnuty a řízeny místně.

  • Podpora silného ověřování: U cloudové služby můžete použít silné ověřování (označované také jako dvojúrovňové ověřování). Pokud ale používáte silné ověřování, musíte použít jednotné přihlašování. Použití silného ověřování má omezení. Pokud máte v úmyslu používat službu AD FS pro službu STS, další informace najdete v tématu Konfigurace rozšířených možností pro službu AD FS 2.0 .

Dopad tohoto scénáře na cloudové přihlašování uživatele

Uživatelské prostředí s jednotným přihlašováním se liší podle toho, jak je počítač uživatele připojený k síti vaší společnosti, jaký operační systém je spuštěný, a jak správce nakonfiguroval infrastrukturu služby STS pro interakci s Azure AD.

Následující článek popisuje uživatelské prostředí s jednotným přihlašováním ze sítě:

  • Pracovní počítač v podnikové síti: Když jsou uživatelé v práci a přihlášení k podnikové síti, jednotné přihlašování jim umožní přístup ke cloudové službě bez opětovného přihlášení.

Pokud se uživatel připojuje mimo síť vaší společnosti nebo přistupuje ke službám z konkrétních zařízení nebo aplikací, jako je například v následujících situacích, musíte nasadit proxy serveru služby stS. Pokud máte v úmyslu používat službu AD FS pro službu STS, podívejte se na kontrolní seznam: Použití služby AD FS k implementaci a správě jednotného přihlašování , kde najdete další informace o nastavení proxy serveru služby AD FS.

  • Pracovní počítač, roaming: Uživatelé, kteří jsou přihlášeni k počítačům připojeným k doméně pomocí firemních přihlašovacích údajů, ale kteří nejsou připojení k podnikové síti (například k pracovnímu počítači doma nebo v hotelu), mají přístup ke cloudové službě.

  • Domácí nebo veřejný počítač: Pokud uživatel používá počítač, který není připojený k podnikové doméně, musí se uživatel přihlásit pomocí svých podnikových přihlašovacích údajů pro přístup ke cloudové službě.

  • Chytrý telefon: Pokud chcete získat přístup ke cloudové službě, jako je Microsoft Exchange Online pomocí Microsoftu protokol Exchange ActiveSync, musí se uživatel přihlásit pomocí firemních přihlašovacích údajů.

  • Microsoft Outlook nebo jiné e-mailové klienty: Uživatel se musí přihlásit pomocí svých podnikových přihlašovacích údajů, pokud používá Outlook nebo e-mailový klient, který není součástí Office; například klient IMAP nebo POP.

    Pokud jako stS používáte Shibboleth, nezapomeňte nainstalovat rozšíření ECP zprostředkovatele identity Shibboleth, aby jednotné přihlašování fungovalo s inteligentním telefonem, Microsoft Outlook nebo jinými klienty. Další informace najdete v tématu Konfigurace Shibboleth pro použití s jednotným přihlašováním.

Jste připravení implementovat tento scénář pro vaši organizaci?

Pokud ano, doporučujeme začít podle kroků uvedených v plánu jednotného přihlašování.

Viz také

Koncepty

Integrace adresáře
Určení scénáře integrace adresáře, který se má použít