单一登录路线图
更新时间:2015 年 6 月 25 日
适用于:Azure、Office 365、Power BI、Windows Intune
单一登录 (SSO) 可让你和你的用户使用 Active Directory 企业凭据访问 Microsoft 云服务。 SSO 要求同时使用安全令牌服务 (STS) 基础结构和 Active Directory 同步。
只有完成了以下步骤才能实施 SSO:
步骤 1:准备单一登录
步骤 2:设置本地安全令牌服务
步骤 3:设置目录同步
步骤 4:验证单一登录
步骤 1:准备单一登录
若要准备,必须确保环境满足 SSO 的要求,并验证 Active Directory 和 Azure Active Directory 租户是否已设置与单一登录要求兼容的方式。 有关详细信息,请参阅 准备单一登录。
步骤 2:设置本地安全令牌服务
在为单一登录准备好环境后,需要设置一个新的本地 STS 基础结构,以便为本地和远程 Active Directory 用户提供对云服务的单一登录访问权限。 如果生产环境中当前有 STS,则可以将其用于单一登录部署,而不是设置新基础结构(只要 Azure AD 支持)。
Azure AD 目前支持下列任一安全令牌服务:
Active Directory 联合身份验证服务 (AD FS)
有关如何开始设置 AD FS STS 的详细信息,请按照清单中提供的步骤操作 :使用 AD FS 实现和管理单一登录。
Shibboleth 标识提供程序
有关如何开始设置 Shibboleth STS 的详细信息,请按照 使用 Shibboleth 标识提供者中提供的步骤实现单一登录。
其他第三方标识提供程序
有关如何开始为单一登录设置第三方标识提供者的详细信息,请参阅Azure Active Directory联合兼容性列表:可用于实现单一登录的第三方标识提供者。
步骤 3:设置目录同步
若要使单一登录正常工作,还必须设置 Active Directory 同步。 这包括准备、激活和安装工具,以及对目录同步进行验证。 在你验证了目录同步后,你将激活同步的用户。 结合使用单一登录和目录同步可确保在云服务中正确表示用户标识。
有关如何开始设置目录同步的详细信息,请按照 目录同步路线图中提供的步骤进行操作。
步骤 4:验证单一登录
在完成设置 Active Directory 同步环境后,需要验证 STS 是否按预期方式工作,以及是否为云服务正确设置了单一登录。
有关详细信息,请参阅验证 和管理 AD FS 的单一登录 ,或验证 使用 Shibboleth 的单一登录,具体取决于要设置的 STS 类型。