Implementowanie bezproblemowego logowania jednokrotnego

  • 11 min

Zespół IT firmy Contoso chce umożliwić użytkownikom korzystanie z logowania jednokrotnego w celu uzyskania dostępu do zasobów lokalnych i zasobów na platformie Azure. Bezproblemowe logowanie jednokrotne firmy Microsoft to technologia, która współpracuje z synchronizacją skrótów haseł lub uwierzytelnianiem z przekazywaniem.

Ponadto po włączeniu bezproblemowego logowania jednokrotnego użytkownicy rzadko muszą wpisywać swoje nazwy użytkowników i nigdy nie logować się do identyfikatora Entra firmy Microsoft. Ta funkcja zapewnia użytkownikom firmy Contoso łatwy dostęp do aplikacji opartych na chmurze bez konieczności stosowania dodatkowych składników lokalnych.

Obsługiwane scenariusze uwierzytelniania przekazywanego

Uwierzytelnianie przekazywane przez firmę Microsoft Entra pomaga zapewnić, że usługi, które korzystają z identyfikatora Entra firmy Microsoft, zawsze weryfikują hasła względem lokalnego wystąpienia usług AD DS.

A screenshot of the Microsoft Entra Connect Configuration Wizard, User Sign-In page. The administrator has selected Pass-through authentication and also the Enable single sign-on check box.

Uwierzytelnianie przekazywane przez firmę Microsoft można skonfigurować przy użyciu usługi Microsoft Entra Połączenie, który korzysta z lokalnego agenta, który nasłuchuje żądań weryfikacji haseł zewnętrznych. Ten agent można wdrożyć na co najmniej jednym serwerze, aby zapewnić wysoką dostępność. Nie jest konieczne wdrożenie tego serwera w sieci obwodowej, ponieważ cała komunikacja jest tylko wychodząca.

Należy dołączyć serwer z uruchomionym agentem uwierzytelniania przekazywanego do domeny usług AD DS, w której znajdują się użytkownicy. Przed wdrożeniem uwierzytelniania przekazywanego firmy Microsoft należy wiedzieć, które scenariusze uwierzytelniania są obsługiwane i które nie są.

W następujących scenariuszach uwierzytelniania można użyć uwierzytelniania przekazywanego:

  • Logowania użytkowników do wszystkich aplikacji opartych na przeglądarce internetowej obsługiwanych przez identyfikator Entra firmy Microsoft.

  • Logowania użytkowników do aplikacja pakietu Office lications, które obsługują nowoczesne uwierzytelnianie.

    Uwaga

    Te aplikacja pakietu Office obejmują pakiet Office 2019, pakiet Office 2016 i pakiet Office 2013 z nowoczesnym uwierzytelnianiem.

  • Logowania użytkowników do klientów programu Microsoft Outlook przy użyciu starszych protokołów, takich jak Exchange ActiveSync, Simple Mail Transfer Protocol (SMTP), Post Office Protocol (POP) i Internet Message Access Protocol (IMAP).

  • Logowania użytkowników do aplikacji Skype dla firm obsługującej nowoczesne uwierzytelnianie, w tym topologie online i hybrydowe.

  • Przyłączania do domeny Microsoft Entra dla urządzeń z systemem Windows 10.

  • Hasła aplikacji do uwierzytelniania wieloskładnikowego.

Nieobsługiwane scenariusze uwierzytelniania przekazywanego

Mimo że uwierzytelnianie przekazywane obsługuje najbardziej typowe scenariusze uwierzytelniania, nadal istnieją pewne scenariusze, w których nie można użyć tej metody. Scenariusze obejmują:

  • Logowania użytkowników do starszych aplikacji klienckich pakietu Office z wyłączeniem programu Outlook.

    Uwaga

    Te starsze aplikacje klienckie obejmują pakiet Office 2010 i pakiet Office 2013 bez nowoczesnego uwierzytelniania.

  • Dostęp do udostępniania kalendarza i informacji wolny/zajęty tylko w środowiskach hybrydowych programu Exchange w pakiecie Office 2010.

  • Logowania użytkowników do Skype dla firm aplikacji klienckich bez nowoczesnego uwierzytelniania.

  • Logowania użytkownika do programu Windows PowerShell w wersji 1.0.

  • Wykrywanie użytkowników z wyciekiem poświadczeń.

  • Scenariusze wymagające usług Microsoft Entra Domain Services. Usługi Microsoft Entra Domain Services wymagają, aby dzierżawcy mieli włączoną synchronizację skrótów haseł, więc dzierżawy używające tylko uwierzytelniania przekazywanego nie będą działać w tych scenariuszach.

  • Scenariusze wymagające usługi Microsoft Entra Połączenie Health. Uwierzytelnianie przekazywane nie jest zintegrowane z usługą Microsoft Entra Połączenie Health.

  • Jeśli używasz programu Apple Device Enrollment Program (Apple DEP) korzystającego z Asystenta ustawień systemu iOS, nie można używać nowoczesnego uwierzytelniania, ponieważ nie jest obsługiwane. Nie będzie można zarejestrować urządzeń DEP firmy Apple w usłudze Intune dla domen zarządzanych korzystających z uwierzytelniania przekazywanego. Rozważ użycie aplikacji Intune — Portal firmy jako alternatywy.

Jak działa uwierzytelnianie przekazywane

Przed wdrożeniem uwierzytelniania przekazywanego należy zrozumieć, jak działa i jak ta metoda uwierzytelniania różni się od usług AD FS. Uwierzytelnianie przekazywane nie jest tylko prostszą formą uwierzytelniania usług AD FS. Obie metody używają infrastruktury lokalnej do uwierzytelniania użytkowników podczas uzyskiwania dostępu do zasobów, takich jak platforma Microsoft 365, ale nie w ten sam sposób.

A screenshot of the Microsoft Entra Connect Configuration Wizard, Configure page. The wizard is ready to configure the following settings: install the Microsoft Entra Connect Authentication Agent for pass-through authentication, enable pass-through authentication, enable managed authentication in Azure, enable SSO, and enable password hash synchronization. The administrator has selected the Start the synchronization process when configuration completes check box.

Uwierzytelnianie przekazywane używa składnika o nazwie Agent uwierzytelniania do uwierzytelniania użytkowników. Firma Microsoft Entra Połączenie instaluje agenta uwierzytelniania podczas konfiguracji.

Po zakończeniu instalacji agent uwierzytelniania rejestruje się w identyfikatorze Microsoft Entra id dzierżawy platformy Microsoft 365. Podczas rejestracji identyfikator Entra firmy Microsoft przypisuje agentowi uwierzytelniania unikatowy certyfikat tożsamości cyfrowej. Ten certyfikat (z parą kluczy) umożliwia bezpieczną komunikację z identyfikatorem Entra firmy Microsoft. Procedura rejestracji wiąże również agenta uwierzytelniania z dzierżawą firmy Microsoft Entra.

Uwaga

Żądania uwierzytelniania nie są wypychane do agenta uwierzytelniania. Zamiast tego podczas inicjowania agent uwierzytelniania łączy się z identyfikatorem Entra firmy Microsoft za pośrednictwem portu 443, kanałem HTTPS zabezpieczonym za pomocą wzajemnego uwierzytelniania. Po nawiązaniu połączenia identyfikator Entra firmy Microsoft zapewnia agentowi uwierzytelniania dostęp do kolejki usługi Azure Service Bus. Z tej kolejki agent uwierzytelniania pobiera żądania weryfikacji haseł i zarządza nimi. W związku z tym nie ma ruchu przychodzącego, więc nie jest konieczne zainstalowanie agenta uwierzytelniania w sieci obwodowej.

Przykład

Gdy pracownicy działu IT firmy Contoso włączają uwierzytelnianie przekazywane w dzierżawie platformy Microsoft 365, a użytkownik próbuje uwierzytelnić się w aplikacji Outlook Web App, są wykonywane następujące kroki:

  1. Jeśli jeszcze nie zalogowano się, użytkownik zostanie przekierowany do strony logowania użytkownika Firmy Microsoft Entra. Na tej stronie użytkownik loguje się przy użyciu nazwy użytkownika i hasła. Identyfikator entra firmy Microsoft odbiera żądanie logowania i umieszcza nazwę użytkownika i hasło w kolejce. Usługa tokenu zabezpieczającego firmy Microsoft (STS) używa klucza publicznego agenta uwierzytelniania do szyfrowania tych poświadczeń. Usługa STS pobiera ten klucz publiczny z certyfikatu odbieranego przez agenta uwierzytelniania podczas procesu rejestracji.

    Uwaga

    Mimo że identyfikator Entra firmy Microsoft tymczasowo umieszcza poświadczenia użytkownika w kolejce usługi Azure Service Bus, nigdy nie są przechowywane w chmurze.

  2. Agent uwierzytelniania, który jest trwale połączony z kolejką usługi Azure Service Bus, zauważa zmianę w kolejce i pobiera zaszyfrowane poświadczenia z kolejki. Ponieważ poświadczenia są szyfrowane przy użyciu klucza publicznego agenta uwierzytelniania, agent używa swojego klucza prywatnego do odszyfrowania danych.

  3. Agent uwierzytelniania weryfikuje nazwę użytkownika i hasło względem lokalnych usług AD DS przy użyciu standardowych interfejsów API systemu Windows. W tym momencie ten mechanizm jest podobny do używanego przez usługi AD FS. Nazwa użytkownika może być lokalną domyślną nazwą użytkownika, zazwyczaj userPrincipalName, lub innym atrybutem skonfigurowanym w usłudze Microsoft Entra Połączenie, znanym jako identyfikator alternatywny.

  4. Lokalna usługa AD DS ocenia żądanie i zwraca odpowiednią odpowiedź na agenta uwierzytelniania: powodzenie, niepowodzenie, wygaśnięcie hasła lub zablokowanie użytkownika.

  5. Po odebraniu odpowiedzi z usług AD DS agent uwierzytelniania zwraca tę odpowiedź na identyfikator Entra firmy Microsoft.

  6. Identyfikator entra firmy Microsoft ocenia odpowiedź i odpowiednio odpowiada na użytkownika. Na przykład identyfikator Entra firmy Microsoft loguje się natychmiast lub żąda uwierzytelniania MultiFactor. Jeśli logowanie użytkownika zakończy się pomyślnie, użytkownik będzie mógł uzyskać dostęp do aplikacji.

Uwaga

Możesz rozważyć wdrożenie bezproblemowego logowania jednokrotnego firmy Microsoft wraz z uwierzytelnianiem przekazywanym, aby środowisko użytkownika było jeszcze lepsze podczas uzyskiwania dostępu do zasobów opartych na chmurze z komputerów przyłączonych do domeny. Podczas wdrażania tej funkcji użytkownicy mogą uzyskiwać dostęp do zasobów w chmurze bez logowania się, jeśli są już zalogowani na komputerach przyłączonych do domeny firmowej przy użyciu poświadczeń domeny.

Materiały uzupełniające

Aby dowiedzieć się więcej, zapoznaj się z następującymi dokumentami.