Dela via

DirSync med enkel Sign-On

  • Artikel

Uppdaterad: 25 juni 2015

Gäller för: Azure, Office 365, Power BI, Windows Intune

Enkel inloggning, även kallat identitetsfederation, är ett hybridbaserat katalogintegreringsscenario med Azure Active Directory som du kan implementera när du vill förenkla användarens möjlighet att sömlöst komma åt molntjänster, till exempel Office 365 eller Microsoft Intune, med sina befintliga Active Directory-företagsautentiseringsuppgifter. Utan enkel inloggning skulle användarna behöva underhålla separata användarnamn och lösenord för dina onlinekonton och lokala konton.

En STS möjliggör identitetsfederation och utökar begreppet centraliserad autentisering, auktorisering och enkel inloggning till webbprogram och tjänster som finns praktiskt taget var som helst, inklusive perimeternätverk, partnernätverk och molnet. När du konfigurerar en STS för att ge åtkomst med enkel inloggning med en Microsoft-molntjänst skapar du ett federerat förtroende mellan din lokala STS och den federerade domän som du har angett i din Azure AD klientorganisation.

Azure AD stöder scenarier med enkel inloggning som använder någon av följande tjänster för säkerhetstoken:

  • Active Directory Federation Services (AD FS)

  • Shibboleth Identity Provider

  • Identitetsprovidrar från tredje part

Följande diagram illustrerar hur din lokal Active Directory och DIN STS-servergrupp interagerar med Azure AD autentiseringssystem för att ge åtkomst till en eller flera molntjänster. När du konfigurerar enkel inloggning upprättar du ett federerat förtroende mellan din STS och Azure AD-autentiseringssystemet. Lokala Active Directory-användare får autentiseringstoken från din lokala STS som omdirigerar användarnas begäranden via det federerade förtroendet. På så sätt kan användarna smidigt komma åt de molntjänster som du prenumererar på utan att behöva logga in med andra autentiseringsuppgifter.

Directory sync with single sign-on scenario

Fördelar med att implementera det här scenariot

Det finns en tydlig fördel för användarna när du implementerar enkel inloggning: det gör att de kan använda sina företagsautentiseringsuppgifter för att få åtkomst till den molntjänst som ditt företag prenumererar på. Användarna behöver inte logga in igen och komma ihåg flera lösenord.

Utöver användarförmånerna finns det många fördelar för administratörer:

  • Principkontroll: Administratören kan styra kontoprinciper via Active Directory, vilket ger administratören möjlighet att hantera lösenordsprinciper, arbetsstationsbegränsningar, utelåsningskontroller med mera, utan att behöva utföra ytterligare uppgifter i molnet.

  • Åtkomstkontroll: Administratören kan begränsa åtkomsten till molntjänsten så att tjänsterna kan nås via företagsmiljön, via onlineservrar eller både och.

  • Färre supportsamtal: Bortglömda lösenord är en vanlig källa till supportsamtal i alla företag. Om användarna har färre lösenord att komma ihåg är det mindre troligt att de glömmer dem.

  • Säkerhet: Användaridentiteter och information skyddas eftersom alla servrar och tjänster som används vid enkel inloggning hanteras och kontrolleras lokalt.

  • Stöd för stark autentisering: Du kan använda stark autentisering (kallas även tvåfaktorautentisering) med molntjänsten. Men om du använder stark autentisering måste du använda enkel inloggning. Det finns begränsningar för användningen av stark autentisering. Mer information finns i Konfigurera avancerade alternativ för AD FS 2.0 om du planerar att använda AD FS för din STS.

Hur det här scenariot påverkar användarens molnbaserade inloggningsupplevelse

En användares upplevelse av enkel inloggning varierar beroende på hur användarens dator är ansluten till företagets nätverk, vilket operativsystem användarens dator kör och hur administratören har konfigurerat sin STS-infrastruktur för att interagera med Azure AD.

Följande beskriver användarupplevelser med enkel inloggning inifrån nätverket:

  • Arbetsdator i ett företagsnätverk: När användarna är på jobbet och inloggade i företagsnätverket gör enkel inloggning att de kan komma åt molntjänsten utan att logga in igen.

Om användaren ansluter utanför företagets nätverk eller har åtkomst till tjänster från vissa enheter eller program, till exempel i följande situationer, måste du distribuera en STS-proxy. Om du planerar att använda AD FS för din STS kan du läsa Checklista: Använda AD FS för att implementera och hantera enkel inloggning för mer information om hur du konfigurerar en AD FS-proxy.

  • Arbetsdator, nätverksväxling: Användare som är inloggade på domänanslutna datorer med sina företagsautentiseringsuppgifter, men som inte är anslutna till företagsnätverket (till exempel en arbetsdator hemma eller på ett hotell), kan komma åt molntjänsten.

  • Hemdator eller offentlig dator: När användaren använder en dator som inte är ansluten till företagsdomänen måste användaren logga in med sina företagsautentiseringsuppgifter för att få åtkomst till molntjänsten.

  • Smart telefon: För att få åtkomst till molntjänsten, till exempel Microsoft Exchange Online med Microsoft Exchange ActiveSync, måste användaren logga in med sina företagsautentiseringsuppgifter på en smart telefon.

  • Microsoft Outlook eller andra e-postklienter: Användaren måste logga in med sina företagsautentiseringsuppgifter för att få åtkomst till sin e-post om de använder Outlook eller en e-postklient som inte ingår i Office, till exempel en IMAP- eller POP-klient.

    Om du använder Shibboleth som din STS måste du installera ECP-tillägget shibboleth Identity Provider för att enkel inloggning ska fungera med en smart telefon, Microsoft Outlook eller andra klienter. Mer information finns i Konfigurera Shibboleth för användning med enkel inloggning.

Är du redo att implementera det här scenariot för din organisation?

I så fall rekommenderar vi att du börjar med att följa stegen i översikten för enkel inloggning.

Se även

Begrepp

Katalogintegrering
Avgöra vilket katalogintegreringsscenario som ska användas