Megosztás a következőn keresztül:

DirSync egyetlen Sign-On

  • Cikk

Frissítve: 2015. június 25.

Érintett kiadások: Azure, Office 365, Power BI, Windows Intune

Az egyszeri bejelentkezés( más néven identitás-összevonás) a Azure Active Directory hibrid alapú címtárintegrációs forgatókönyve, amelyet akkor valósíthat meg, ha egyszerűsíteni szeretné a felhasználók azon képességét, hogy zökkenőmentesen hozzáférjenek a meglévő Active Directory-beli vállalati hitelesítő adataikkal rendelkező felhőszolgáltatásokhoz, például Office 365 vagy Microsoft Intune. Egyszeri bejelentkezés nélkül a felhasználóknak külön felhasználóneveket és jelszavakat kell fenntartaniuk az online és a helyszíni fiókokhoz.

Az STS lehetővé teszi az identitások összevonását, kiterjesztve a központosított hitelesítés, engedélyezés és egyszeri bejelentkezés fogalmát a gyakorlatilag bárhol található webalkalmazásokra és szolgáltatásokra, beleértve a szegélyhálózatokat, a partnerhálózatokat és a felhőt. Amikor egy STS-t úgy konfigurál, hogy egyszeri bejelentkezéses hozzáférést biztosítson egy Microsoft-felhőszolgáltatáshoz, összevont megbízhatósági kapcsolatot fog létrehozni a helyszíni STS és a Azure AD-bérlőben megadott összevont tartomány között.

Azure AD az alábbi biztonságijogkivonat-szolgáltatásokat használó egyszeri bejelentkezési forgatókönyveket támogatja:

  • Active Directory összevonási szolgáltatások (AD FS)

  • Shibboleth identitásszolgáltató

  • Külső identitásszolgáltatók

Az alábbi ábra azt szemlélteti, hogy a helyi Active Directory és az STS-kiszolgálófarm hogyan működik együtt a Azure AD hitelesítési rendszerrel, hogy hozzáférést biztosítson egy vagy több felhőszolgáltatáshoz. Az egyszeri bejelentkezés beállításakor összevont megbízhatósági kapcsolatot hoz létre az STS és a Azure AD hitelesítési rendszer között. A helyi Active Directory-felhasználók hitelesítési jogkivonatokat szereznek be a helyszíni STS-ből, amelyek átirányítják a felhasználók kéréseit az összevont megbízhatósági kapcsolaton keresztül. Ez lehetővé teszi, hogy a felhasználók zökkenőmentesen elérhessék azokat a felhőszolgáltatásokat, amelyekre előfizetett, anélkül, hogy különböző hitelesítő adatokkal kellene bejelentkeznie.

Directory sync with single sign-on scenario

A forgatókönyv megvalósításának előnyei

Az egyszeri bejelentkezés megvalósításakor a felhasználók számára egyértelmű előny érhető el: lehetővé teszi számukra, hogy a vállalati hitelesítő adataikkal hozzáférjenek ahhoz a felhőszolgáltatáshoz, amelyre a vállalat előfizetett. A felhasználóknak nem kell újra bejelentkezni, és több jelszót megjegyezniük.

A felhasználói előnyök mellett számos előnnyel jár a rendszergazdák számára:

  • Szabályzatvezérlő: A rendszergazda az Active Directoryn keresztül szabályozhatja a fiókszabályzatokat, így a rendszergazda anélkül kezelheti a jelszószabályzatokat, a munkaállomás-korlátozásokat, a zárolási vezérlőket és egyebeket, hogy további feladatokat kellene elvégeznie a felhőben.

  • Hozzáférés-vezérlés: A rendszergazda korlátozhatja a felhőszolgáltatáshoz való hozzáférést, hogy a szolgáltatások elérhetők legyenek a vállalati környezetben, online kiszolgálókon vagy mindkettőn keresztül.

  • Csökkentett támogatási hívások: Az elfelejtett jelszavak a támogatási hívások gyakori forrásai minden vállalatnál. Ha a felhasználóknak kevesebb jelszót kell megjegyezniük, kevésbé valószínű, hogy elfelejtik őket.

  • Biztonsági: A felhasználói identitások és az információk azért védettek, mert az egyszeri bejelentkezéshez használt összes kiszolgáló és szolgáltatás a helyszínen van kezelve és felügyelve.

  • Erős hitelesítés támogatása: A felhőszolgáltatással erős hitelesítést (más néven kétfaktoros hitelesítést) is használhat. Ha azonban erős hitelesítést használ, egyszeri bejelentkezést kell használnia. Az erős hitelesítés használatára korlátozások vonatkoznak. Ha az AD FS-t szeretné használni az STS-hez, további információt az AD FS 2.0 speciális beállításainak konfigurálása című témakörben talál.

Hogyan befolyásolja ez a forgatókönyv a felhasználó felhőalapú bejelentkezési élményét?

Az egyszeri bejelentkezés felhasználói élménye attól függ, hogy a felhasználó számítógépe hogyan csatlakozik a vállalati hálózathoz, milyen operációs rendszert futtat a felhasználó számítógépe, és hogyan konfigurálta a rendszergazda az STS-infrastruktúrát a Azure AD való kommunikációra.

A következők a hálózaton belüli egyszeri bejelentkezés felhasználói élményét ismertetik:

  • Munkahelyi számítógép vállalati hálózaton: Amikor a felhasználók a munkahelyen vannak, és bejelentkeznek a vállalati hálózatba, az egyszeri bejelentkezés lehetővé teszi számukra a felhőszolgáltatás újbóli bejelentkezés nélküli elérését.

Ha a felhasználó a vállalati hálózaton kívülről csatlakozik, vagy bizonyos eszközökről vagy alkalmazásokból fér hozzá a szolgáltatásokhoz, például az alábbi helyzetekben, telepítenie kell egy STS-proxyt. Ha az AD FS-t szeretné használni az STS-hez, tekintse meg a következő ellenőrzőlistát: Az AD FS használata egyszeri bejelentkezés implementálásához és kezeléséhez az AD FS-proxy beállításáról.

  • Munkahelyi számítógép, roaming: Azok a felhasználók, akik vállalati hitelesítő adataikkal jelentkeztek be a tartományhoz csatlakoztatott számítógépekre, de nem csatlakoznak a vállalati hálózathoz (például egy munkahelyi számítógép otthon vagy egy szállodában), hozzáférhetnek a felhőszolgáltatáshoz.

  • Otthoni vagy nyilvános számítógép: Ha a felhasználó olyan számítógépet használ, amely nincs csatlakoztatva a vállalati tartományhoz, a felhőszolgáltatás eléréséhez a felhasználónak a vállalati hitelesítő adataival kell bejelentkeznie.

  • Okostelefon: Okostelefonon a felhasználónak be kell jelentkeznie a vállalati hitelesítő adataival ahhoz, hogy hozzáférjen a felhőszolgáltatáshoz, például Microsoft Exchange Online a Microsoft Exchange ActiveSync protokoll használatával.

  • Microsoft Outlook vagy más levelezőprogram: A felhasználónak be kell jelentkeznie a vállalati hitelesítő adataival az e-mailjei eléréséhez, ha Outlook vagy olyan levelezőprogramot használ, amely nem része Office, például egy IMAP- vagy POP-ügyfélprogramnak.

    Ha a Shibboleth-et használja STS-ként, mindenképpen telepítse a Shibboleth identitásszolgáltató ECP-bővítményt, hogy az egyszeri bejelentkezés működjön okostelefonon, a Microsoft Outlook vagy más ügyfeleken. További információ: A Shibboleth konfigurálása egyszeri bejelentkezéshez.

Készen áll arra, hogy megvalósítsa ezt a forgatókönyvet a szervezetében?

Ha igen, javasoljuk, hogy először kövesse az egyszeri bejelentkezés ütemtervében szereplő lépéseket.

Lásd még:

Alapelvek

Címtár-integráció
A használandó címtár-integrációs forgatókönyv meghatározása