Narzędzie DirSync z pojedynczą Sign-On

  • Artykuł

Zaktualizowano: 25 czerwca 2015 r.

Dotyczy: Azure, Office 365, Power BI, Windows Intune

Logowanie jednokrotne, nazywane również federacją tożsamości, to hybrydowy scenariusz integracji katalogów Azure Active Directory, który można zaimplementować, gdy chcesz uprościć możliwość bezproblemowego uzyskiwania dostępu do usług w chmurze, takich jak Office 365 lub Microsoft Intune, przy użyciu istniejących poświadczeń firmowych usługi Active Directory. Bez logowania jednokrotnego użytkownicy muszą zachować oddzielne nazwy użytkowników i hasła dla kont online i lokalnych.

Usługa STS umożliwia federację tożsamości, rozszerzając pojęcie scentralizowanego uwierzytelniania, autoryzacji i logowania jednokrotnego do aplikacji internetowych i usług znajdujących się praktycznie w dowolnym miejscu, w tym sieci obwodowych, sieci partnerskich i chmury. Podczas konfigurowania usługi STS w celu zapewnienia dostępu do logowania jednokrotnego w usłudze w chmurze firmy Microsoft utworzysz federacyjną relację zaufania między lokalnymi usługami STS i domeną federacyjną określoną w dzierżawie Azure AD.

Azure AD obsługuje scenariusze logowania jednokrotnego, które korzystają z jednej z następujących usług tokenów zabezpieczających:

  • Active Directory Federation Services (AD FS)

  • Shibboleth Identity Provider

  • Dostawcy tożsamości innych firm

Na poniższym diagramie przedstawiono sposób interakcji lokalna usługa Active Directory i farmy serwerów STS z systemem uwierzytelniania Azure AD w celu zapewnienia dostępu do co najmniej jednej usługi w chmurze. Podczas konfigurowania logowania jednokrotnego należy ustanowić federacyjną relację zaufania między usługą STS a systemem uwierzytelniania Azure AD. Lokalni użytkownicy usługi Active Directory uzyskują tokeny uwierzytelniania z lokalnej usługi STS, która przekierowuje żądania użytkowników za pośrednictwem federacyjnej relacji zaufania. Dzięki temu użytkownicy mogą bezproblemowo uzyskiwać dostęp do subskrybowanych usług w chmurze bez konieczności logowania się przy użyciu różnych poświadczeń.

Directory sync with single sign-on scenario

Zalety implementacji tego scenariusza

Istnieje wyraźna korzyść dla użytkowników podczas implementowania logowania jednokrotnego: umożliwia użytkownikom korzystanie z poświadczeń firmowych w celu uzyskania dostępu do usługi w chmurze, do której twoja firma zasubskrybowała. Użytkownicy nie muszą się ponownie logować i zapamiętywać wielu haseł.

Oprócz korzyści związanych z użytkownikiem istnieje wiele korzyści dla administratorów:

  • Kontrola zasad: Administrator może kontrolować zasady konta za pośrednictwem usługi Active Directory, co zapewnia administratorowi możliwość zarządzania zasadami haseł, ograniczeniami stacji roboczej, kontrolkami blokady i nie tylko bez konieczności wykonywania dodatkowych zadań w chmurze.

  • Kontrola dostępu: Administrator może ograniczyć dostęp do usługi w chmurze, aby można było uzyskiwać dostęp do usług za pośrednictwem środowiska firmowego, za pośrednictwem serwerów online lub obu tych usług.

  • Ograniczone połączenia pomocy technicznej: Zapomniane hasła są typowym źródłem połączeń pomocy technicznej we wszystkich firmach. Jeśli użytkownicy mają mniej haseł do zapamiętania, są one mniej prawdopodobne, aby je zapomnieć.

  • Zabezpieczeń: Tożsamości użytkowników i informacje są chronione, ponieważ wszystkie serwery i usługi używane w logowaniu jednokrotnym są opanowane i kontrolowane lokalnie.

  • Obsługa silnego uwierzytelniania: Możesz użyć silnego uwierzytelniania (nazywanego również uwierzytelnianiem dwuskładnikowym) w usłudze w chmurze. Jeśli jednak używasz silnego uwierzytelniania, musisz użyć logowania jednokrotnego. Istnieją ograniczenia dotyczące używania silnego uwierzytelniania. Jeśli planujesz używać usług AD FS dla usługi STS, zobacz Konfigurowanie opcji zaawansowanych dla usług AD FS 2.0 , aby uzyskać więcej informacji.

Jak ten scenariusz ma wpływ na środowisko logowania opartego na chmurze użytkownika

Środowisko użytkownika z logowaniem jednokrotnym zależy od tego, jak komputer użytkownika jest połączony z siecią firmową, z jakim systemem operacyjnym jest uruchomiony komputer użytkownika oraz jak administrator skonfigurował infrastrukturę stS do interakcji z Azure AD.

Poniżej opisano środowiska użytkownika z logowaniem jednokrotnym z sieci:

  • Komputer służbowy w sieci firmowej: gdy użytkownicy pracują i logują się do sieci firmowej, logowanie jednokrotne umożliwia im dostęp do usługi w chmurze bez ponownego logowania.

Jeśli użytkownik łączy się spoza sieci firmowej lub uzyskuje dostęp do usług z określonych urządzeń lub aplikacji, takich jak w następujących sytuacjach, musisz wdrożyć serwer proxy usługi STS. Jeśli planujesz używać usług AD FS dla usług STS, zobacz Lista kontrolna: Używanie usług AD FS do implementowania logowania jednokrotnego i zarządzania nim , aby uzyskać więcej informacji na temat konfigurowania serwera proxy usług AD FS.

  • Komputer służbowy, roaming: Użytkownicy zalogowani do komputerów przyłączonych do domeny przy użyciu poświadczeń firmowych, ale którzy nie są połączeni z siecią firmową (na przykład komputer służbowy w domu lub w hotelu), mogą uzyskać dostęp do usługi w chmurze.

  • Komputer domowy lub publiczny: Gdy użytkownik korzysta z komputera, który nie jest przyłączony do domeny firmowej, użytkownik musi zalogować się przy użyciu poświadczeń firmowych, aby uzyskać dostęp do usługi w chmurze.

  • Telefon inteligentny: Aby uzyskać dostęp do usługi w chmurze, takiej jak Microsoft Exchange Online przy użyciu usługi Microsoft Exchange ActiveSync, użytkownik musi zalogować się przy użyciu poświadczeń firmowych.

  • Microsoft Outlook lub innych klientów poczty e-mail: użytkownik musi zalogować się przy użyciu poświadczeń firmowych, aby uzyskać dostęp do poczty e-mail, jeśli używa Outlook lub klienta poczty e-mail, który nie jest częścią Office, na przykład klienta IMAP lub POP.

    Jeśli używasz programu Shibboleth jako usługi STS, pamiętaj o zainstalowaniu rozszerzenia ECP dostawcy tożsamości Shibboleth, aby logowanie jednokrotne działało z telefonem inteligentnym, firmą Microsoft Outlook lub innymi klientami. Aby uzyskać więcej informacji, zobacz Konfigurowanie shibboleth do użycia z logowaniem jednokrotnym.

Chcesz zaimplementować ten scenariusz dla twojej organizacji?

Jeśli tak, zalecamy rozpoczęcie od wykonania kroków podanych w harmonogramie logowania jednokrotnego.

Zobacz też

Pojęcia

Integracja katalogu
Określanie scenariusza integracji katalogów do użycia