Bagikan melalui

DirSync dengan Sign-On Tunggal

  • Artikel

Diperbarui: 25 Juni 2015

Berlaku Untuk: Azure, Office 365, Power BI, Windows Intune

Akses menyeluruh, juga disebut federasi identitas, adalah skenario integrasi direktori berbasis hibrid Dari Azure Active Directory yang dapat Anda terapkan ketika Anda ingin menyederhanakan kemampuan pengguna Anda untuk mengakses layanan cloud dengan lancar, seperti Office 365 atau Microsoft Intune, dengan kredensial perusahaan Direktori Aktif yang ada. Tanpa akses menyeluruh, pengguna Anda harus mempertahankan nama pengguna dan kata sandi terpisah untuk akun online dan lokal Anda.

STS memungkinkan federasi identitas, memperluas gagasan tentang autentikasi terpusat, otorisasi, dan SSO ke aplikasi dan layanan Web yang terletak hampir di mana saja, termasuk jaringan perimeter, jaringan mitra, dan cloud. Saat mengonfigurasi STS untuk menyediakan akses SSO dengan layanan cloud Microsoft, Anda akan membuat kepercayaan federasi antara STS lokal dan domain federasi yang telah ditentukan di tenant Azure AD Anda.

Azure AD mendukung skenario akses menyeluruh yang menggunakan salah satu layanan token keamanan berikut:

  • Active Directory Federation Services (AD FS)

  • Penyedia Identitas Shibboleth

  • Penyedia identitas pihak ketiga

Diagram berikut ini menggambarkan bagaimana Active Directory lokal dan farm server STS Anda berinteraksi dengan sistem autentikasi Microsoft Azure AD untuk menyediakan akses ke satu atau beberapa layanan cloud. Saat menyiapkan akses menyeluruh, Anda membuat kepercayaan federasi antara STS dan sistem autentikasi Microsoft Azure AD. Pengguna Active Directory lokal mendapatkan token autentikasi dari STS lokal Anda yang mengalihkan permintaan pengguna melalui kepercayaan federasi. Ini memungkinkan pengguna Anda untuk mengakses layanan cloud yang telah Anda berlangganan dengan lancar tanpa perlu masuk dengan kredensial yang berbeda.

Directory sync with single sign-on scenario

Manfaat menerapkan skenario ini

Ada manfaat yang jelas bagi pengguna ketika Anda menerapkan akses menyeluruh: memungkinkan mereka menggunakan kredensial perusahaan mereka untuk mengakses layanan cloud yang telah berlangganan perusahaan Anda. Pengguna tidak perlu masuk lagi dan mengingat beberapa kata sandi.

Selain manfaat pengguna, ada banyak manfaat bagi administrator:

  • Kontrol kebijakan: Administrator dapat mengontrol kebijakan akun melalui Direktori Aktif, yang memberi administrator kemampuan untuk mengelola kebijakan kata sandi, pembatasan stasiun kerja, kontrol penguncian, dan banyak lagi, tanpa harus melakukan tugas tambahan di cloud.

  • Kontrol akses: Administrator dapat membatasi akses ke layanan cloud sehingga layanan dapat diakses melalui lingkungan perusahaan, melalui server online, atau keduanya.

  • Mengurangi panggilan dukungan: Kata sandi yang terlupakan adalah sumber panggilan dukungan umum di semua perusahaan. Jika pengguna memiliki lebih sedikit kata sandi untuk diingat, mereka cenderung tidak melupakannya.

  • Keamanan: Identitas dan informasi pengguna dilindungi karena semua server dan layanan yang digunakan dalam akses menyeluruh dikuasai dan dikontrol secara lokal.

  • Dukungan untuk autentikasi yang kuat: Anda dapat menggunakan autentikasi yang kuat (juga disebut autentikasi dua faktor) dengan layanan cloud. Namun, jika menggunakan autentikasi yang ketat, Anda harus menggunakan akses menyeluruh. Ada batasan penggunaan autentikasi yang kuat. Jika Anda berencana menggunakan Layanan Federasi Direktori Aktif untuk STS Anda, lihat Mengonfigurasi Opsi Tingkat Lanjut untuk Layanan Federasi Direktori Aktif 2.0 untuk informasi selengkapnya.

Bagaimana skenario ini berdampak pada pengalaman masuk berbasis cloud pengguna Anda

Pengalaman pengguna dengan akses menyeluruh bervariasi berdasarkan bagaimana komputer pengguna terhubung ke jaringan perusahaan Anda, sistem operasi apa yang dijalankan komputer pengguna, dan bagaimana administrator telah mengonfigurasi infrastruktur STS mereka untuk berinteraksi dengan Azure AD.

Berikut ini menjelaskan pengalaman pengguna dengan akses menyeluruh dari dalam jaringan:

  • Komputer kerja di jaringan perusahaan: Ketika pengguna berada di tempat kerja dan masuk ke jaringan perusahaan, akses menyeluruh memungkinkan mereka untuk mengakses layanan cloud tanpa masuk lagi.

Jika pengguna terhubung dari luar jaringan perusahaan Anda atau mengakses layanan dari perangkat atau aplikasi tertentu, seperti dalam situasi berikut, Anda harus menyebarkan proksi STS. Jika Anda berencana menggunakan Layanan Federasi Direktori Aktif untuk STS Anda, lihat Daftar Periksa: Menggunakan Layanan Federasi Direktori Aktif untuk menerapkan dan mengelola akses menyeluruh untuk informasi selengkapnya tentang cara menyiapkan proksi Layanan Federasi Direktori Aktif.

  • Komputer kerja, roaming: Pengguna yang masuk ke komputer yang bergabung dengan domain dengan kredensial perusahaan mereka, tetapi yang tidak terhubung ke jaringan perusahaan (misalnya, komputer kerja di rumah atau di hotel), dapat mengakses layanan cloud.

  • Komputer rumah atau publik: Ketika pengguna menggunakan komputer yang tidak bergabung ke domain perusahaan, pengguna harus masuk dengan kredensial perusahaan mereka untuk mengakses layanan cloud.

  • Ponsel pintar: Di ponsel pintar, untuk mengakses layanan cloud seperti Microsoft Exchange Online menggunakan Microsoft Exchange ActiveSync, pengguna harus masuk dengan kredensial perusahaan mereka.

  • Microsoft Outlook atau klien email lainnya: Pengguna harus masuk dengan kredensial perusahaan mereka untuk mengakses email mereka jika mereka menggunakan Outlook atau klien email yang bukan bagian dari Office; misalnya, klien IMAP atau POP.

    Jika Anda menggunakan Shibboleth sebagai STS Anda, pastikan untuk menginstal ekstensi ECP Shibboleth Identity Provider agar akses menyeluruh berfungsi dengan ponsel pintar, Microsoft Outlook atau klien lainnya. Untuk informasi selengkapnya, lihat Mengonfigurasi Shibboleth untuk digunakan dengan akses menyeluruh.

Siap menerapkan skenario ini untuk organisasi Anda?

Jika demikian, kami sarankan Anda mulai dengan mengikuti langkah-langkah yang disediakan dalam Peta strategi akses menyeluruh.

Lihat juga

Konsep

Integrasi direktori
Menentukan skenario integrasi direktori mana yang akan digunakan