使用单一登录的目录同步
更新时间:2015 年 6 月 25 日
适用于:Azure、Office 365、Power BI、Windows Intune
单一登录(也称为标识联合身份验证)是一种基于混合的目录集成方案,Azure Active Directory,当你希望简化用户无缝访问云服务(如 Office 365 或 Microsoft Intune)的能力时,可以使用其现有的 Active Directory 公司凭据来实现。 如果不设置单一登录,你的用户需要单独为联机帐户和本地帐户保留用户名与密码。
STS 可以实现联合身份验证,将集中式身份验证、授权和 SSO 的模式几乎扩展到任意位置(包括外围网络、合作伙伴网络和云)的 Web 应用程序和服务。 使用 Microsoft 云服务配置 STS 以提供单一登录访问权限时,会在本地 STS和在 Azure AD 租户中指定的联合域之间创建联合信任。
Azure AD 支持使用下列任一安全令牌服务的单一登录方案:
Active Directory 联合身份验证服务 (AD FS)
Shibboleth 标识提供程序
第三方标识提供程序
下图演示了本地 Active Directory 和 STS 服务器场如何与 Azure AD 身份验证系统交互,以提供对一个或多个云服务的访问。 设置单一登录时,将在 STS 与 Azure AD 身份验证系统之间建立联合信任。 本地 Active Directory 用户从你的本地 STS 获取身份验证令牌,这些令牌将通过联合信任重定向用户的请求。 这样,用户便可以无缝访问你订阅的云服务,而无需使用不同的凭据登录。
.jpg "Directory sync with single sign-on scenario")
实施此方案的好处
实现单一登录时,用户有一个明显的好处:它允许用户使用其公司凭据访问公司订阅的云服务。 用户无需重新登录并记住多个密码。
除了给用户带来好处以外,这还能为管理员带来诸多好处:
策略控制: 管理员可以通过 Active Directory 控制帐户策略,这使管理员能够管理密码策略、工作站限制、锁定控制等,而无需在云中执行其他任务。
访问控制: 管理员可以限制对云服务的访问,以便可以通过企业环境、联机服务器或两者访问服务。
减少了支持呼叫: 忘记的密码是所有公司的常见支持呼叫来源。 用户需要记住的密码数量越少,就越不容易忘记它们。
安全: 用户标识和信息受到保护,因为单一登录中使用的所有服务器和服务都在本地进行主控和控制。
支持强身份验证: 可以在云服务中使用强身份验证 (也称为双重身份验证) 。 但是,如果使用强身份验证,必须使用单一登录。 强身份验证的使用存在限制。 如果计划对 STS 使用 AD FS,请参阅 “为 AD FS 2.0 配置高级选项 ”了解详细信息。
此方案对用户基于云的登录体验产生的影响
用户的单一登录体验根据用户计算机与公司网络的连接方式、用户计算机运行的操作系统,以及管理员配置 STS 基础结构与 Azure AD 之间的交互方式的不同而异。
下面介绍了从网络内部进行单一登录的用户体验:
- 企业网络上的工作计算机:当用户工作并登录到企业网络时,单一登录使用户能够访问云服务,而无需再次登录。
例如,在以下情况下,如果用户从公司网络外部建立连接,或者从特定的设备或应用程序访问服务,则你必须部署 STS 代理。 如果计划对 STS 使用 AD FS,请参阅 清单:使用 AD FS 实现和管理单一登录 ,详细了解如何设置 AD FS 代理。
工作计算机,漫游: 使用其公司凭据登录到已加入域的计算机但未连接到企业网络的用户 (例如,在家或酒店) 工作计算机可以访问云服务。
家庭或公共计算机: 当用户使用未加入公司域的计算机时,用户必须使用其公司凭据登录才能访问云服务。
智能手机:在智能手机上,若要使用 Microsoft Exchange ActiveSync 访问云服务(例如Microsoft Exchange Online),用户必须使用其公司凭据登录。
Microsoft Outlook或其他电子邮件客户端:如果用户使用的是Outlook或不属于Office的电子邮件客户端,则用户必须使用其公司凭据登录才能访问其电子邮件;例如 IMAP 或 POP 客户端。
如果使用 Shibboleth 作为 STS,请确保安装 Shibboleth 标识提供程序 ECP 扩展,以便将单一登录用于智能手机、Microsoft Outlook 或其他客户端。 有关详细信息,请参阅 配置 Shibboleth 以用于单一登录。
是否已准备好为你的组织实施此方案?
如果是这样,我们建议你首先按照 单一登录路线图中提供的步骤操作。