Delen via

DirSync met enkele Sign-On

  • Artikel

Bijgewerkt: 25 juni 2015

Van toepassing op: Azure, Office 365, Power BI, Windows Intune

Eenmalige aanmelding, ook wel identiteitsfederatie genoemd, is een hybride scenario voor adreslijstintegratie van Azure Active Directory dat u kunt implementeren wanneer u de mogelijkheid van uw gebruiker wilt vereenvoudigen om naadloos toegang te krijgen tot cloudservices, zoals Office 365 of Microsoft Intune, met hun bestaande Active Directory-bedrijfsreferenties. Zonder eenmalige aanmelding moeten uw gebruikers afzonderlijke gebruikersnamen en wachtwoorden onderhouden voor uw online- en on-premises accounts.

Een STS maakt identiteitsfederatie mogelijk, waarbij het begrip gecentraliseerde verificatie, autorisatie en SSO wordt uitgebreid naar webtoepassingen en -services die zich vrijwel overal bevinden, waaronder perimeternetwerken, partnernetwerken en de cloud. Wanneer u een STS configureert voor toegang tot eenmalige aanmelding met een Microsoft-cloudservice, maakt u een federatieve vertrouwensrelatie tussen uw on-premises STS en het federatieve domein dat u hebt opgegeven in uw Azure AD-tenant.

Azure AD ondersteunt scenario's voor eenmalige aanmelding die gebruikmaken van een van de volgende beveiligingstokenservices:

  • Active Directory Federation Services (AD FS)

  • Shibboleth Identity Provider

  • Id-providers van derden

In het volgende diagram ziet u hoe uw on-premises Active Directory en uw STS-serverfarm communiceren met het Azure AD-verificatiesysteem om toegang te bieden tot een of meer cloudservices. Wanneer u eenmalige aanmelding instelt, stelt u een federatieve vertrouwensrelatie tot stand tussen uw STS en het Azure AD-verificatiesysteem. Lokale Active Directory-gebruikers verkrijgen verificatietokens van uw on-premises STS die de aanvragen van de gebruikers omleiden via de federatieve vertrouwensrelatie. Hierdoor kunnen uw gebruikers naadloos toegang krijgen tot de cloudservices waarop u zich hebt geabonneerd zonder dat ze zich hoeven aan te melden met verschillende referenties.

Directory sync with single sign-on scenario

Voordelen van het implementeren van dit scenario

Er is een duidelijk voordeel voor gebruikers wanneer u eenmalige aanmelding implementeert: hiermee kunnen ze hun bedrijfsreferenties gebruiken om toegang te krijgen tot de cloudservice waarop uw bedrijf zich heeft geabonneerd. Gebruikers hoeven zich niet opnieuw aan te melden en meerdere wachtwoorden te onthouden.

Naast de gebruikersvoordelen zijn er veel voordelen voor beheerders:

  • Beleidsbeheer: De beheerder kan accountbeleid beheren via Active Directory, waardoor de beheerder wachtwoordbeleid, werkstationbeperkingen, vergrendelingsopties en meer kan beheren zonder dat ze extra taken in de cloud hoeven uit te voeren.

  • Toegangsbeheer: De beheerder kan de toegang tot de cloudservice beperken, zodat de services toegankelijk zijn via de bedrijfsomgeving, via onlineservers of beide.

  • Minder ondersteuningsoproepen: Vergeten wachtwoorden zijn een veelvoorkomende bron van ondersteuningsoproepen in alle bedrijven. Als gebruikers minder wachtwoorden hebben om te onthouden, zijn ze minder geneigd ze te vergeten.

  • Veiligheid: Gebruikersidentiteiten en -gegevens worden beveiligd omdat alle servers en services die in eenmalige aanmelding worden gebruikt, on-premises worden beheerd en beheerd.

  • Ondersteuning voor sterke verificatie: U kunt sterke verificatie (ook wel tweeledige verificatie genoemd) gebruiken met de cloudservice. Als u echter sterke verificatie gebruikt, moet u eenmalige aanmelding gebruiken. Er gelden beperkingen voor het gebruik van sterke verificatie. Zie Geavanceerde opties configureren voor AD FS 2.0 voor meer informatie als u van plan bent AD FS te gebruiken voor uw STS.

Hoe dit scenario van invloed is op de cloudgebaseerde aanmeldingservaring van uw gebruiker

De ervaring van een gebruiker met eenmalige aanmelding varieert afhankelijk van hoe de computer van de gebruiker is verbonden met het netwerk van uw bedrijf, welk besturingssysteem de computer van de gebruiker wordt uitgevoerd en hoe de beheerder de STS-infrastructuur heeft geconfigureerd voor interactie met Azure AD.

Hieronder worden gebruikerservaringen met eenmalige aanmelding vanuit het netwerk beschreven:

  • Computer op een bedrijfsnetwerk: wanneer gebruikers op het werk zijn en zijn aangemeld bij het bedrijfsnetwerk, kunnen ze met eenmalige aanmelding toegang krijgen tot de cloudservice zonder zich opnieuw aan te melden.

Als de gebruiker verbinding maakt van buiten het netwerk van uw bedrijf of services opent vanaf bepaalde apparaten of toepassingen, zoals in de volgende situaties, moet u een STS-proxy implementeren. Als u van plan bent AD FS te gebruiken voor uw STS, raadpleegt u Controlelijst: AD FS gebruiken voor het implementeren en beheren van eenmalige aanmelding voor meer informatie over het instellen van een AD FS-proxy.

  • Werkcomputer, roaming: Gebruikers die zijn aangemeld bij computers die lid zijn van een domein met hun bedrijfsreferenties, maar die niet zijn verbonden met het bedrijfsnetwerk (bijvoorbeeld een werkcomputer thuis of in een hotel), hebben toegang tot de cloudservice.

  • Thuis- of openbare computer: Wanneer de gebruiker een computer gebruikt die niet is gekoppeld aan het bedrijfsdomein, moet de gebruiker zich aanmelden met de bedrijfsreferenties om toegang te krijgen tot de cloudservice.

  • Smartphone: Op een smartphone moet de gebruiker zich aanmelden met de bedrijfsreferenties om toegang te krijgen tot de cloudservice, zoals Microsoft Exchange Online met Behulp van Microsoft Exchange ActiveSync.

  • Microsoft Outlook of andere e-mailclients: de gebruiker moet zich aanmelden met hun bedrijfsreferenties om toegang te krijgen tot hun e-mail als ze Outlook of een e-mailclient gebruiken die geen deel uitmaakt van Office, bijvoorbeeld een IMAP- of POP-client.

    Als u Shibboleth als sts gebruikt, moet u de ECP-extensie Shibboleth Identity Provider ECP installeren om eenmalige aanmelding te laten werken met een smartphone, Microsoft Outlook of andere clients. Zie Shibboleth configureren voor gebruik met eenmalige aanmelding voor meer informatie.

Bent u klaar om dit scenario voor uw organisatie te implementeren?

Zo ja, dan raden we u aan om eerst de stappen in de roadmap voor eenmalige aanmelding te volgen.

Zie ook

Concepten

Adreslijstintegratie
Bepalen welk directory-integratiescenario moet worden gebruikt