DirSync 與單一登入
更新日期:2015 年 6 月 25 日
適用于:Azure、Office 365、Power BI、Windows Intune
單一登入也稱為身分識別同盟,是混合式目錄整合案例,Azure Active Directory可讓您在想要簡化使用者順暢地存取雲端服務的能力時實作,例如Office 365或Microsoft Intune,以及其現有的 Active Directory 公司認證。 若沒有單一登入,您的使用者將需要為您的線上和內部部署帳戶維護個別的使用者名稱和密碼。
STS 會啟用身分識別同盟,可將集中的驗證、授權和 SSO 延伸至幾乎是位於任何位置的 Web 應用程式和服務,包括周邊網路、夥伴網路和雲端。 當您設定 STS 以提供 Microsoft 雲端服務的單一登入存取時,您會在內部部署 STS 與您在 Azure AD 租用戶中指定的同盟網域之間建立同盟信任。
Azure AD 支援使用以下任一安全性權杖服務的單一登入案例:
Active Directory Federation Services (AD FS)
Shibboleth 身分識別提供者
協力廠商身分識別提供者
下圖說明內部部署 Active Directory 和 STS 伺服器陣列如何與 Azure AD 驗證系統互動,以提供一或多個雲端服務的存取。 在設定單一登入時,您將在 STS 與 Azure AD 驗證系統之間建立同盟信任。 本機 Active Directory 使用者可從內部部署 STS 取得驗證權杖,透過同盟信任重新導向使用者的要求。 這允許您的使用者順暢地存取您已訂閱的雲端服務,無需利用不同認證來登入。
案例實作的優點
當您實作單一登入時,使用者會有清楚的好處:它可讓他們使用其公司認證來存取貴公司已訂閱的雲端服務。 使用者不必再次登入,也不需要記住多個密碼。
除了使用者方面的優點以外,系統管理員方面的優點也不少:
原則控制: 系統管理員可以透過 Active Directory 控制帳戶原則,讓系統管理員能夠管理密碼原則、工作站限制、鎖定控制等等,而不需要在雲端中執行其他工作。
存取控制: 系統管理員可以限制雲端服務的存取權,讓服務可以透過公司環境、線上伺服器或兩者存取。
減少支援呼叫: 忘記密碼是所有公司中支援通話的常見來源。 使用者要記住的密碼越少,就越不可能忘記密碼。
安全: 使用者身分識別和資訊受到保護,因為單一登入中使用的所有伺服器和服務都會受到主控和控制內部部署。
支援增強式驗證: 您可以搭配雲端服務使用強式驗證 (也稱為雙因素) 驗證。 不過,如果使用增強式驗證,則必須使用單一登入。 增強式驗證的使用有一些限制。 如果您打算針對 STS 使用 AD FS,請參閱設定 AD FS 2.0 的進階選項 以取得詳細資訊。
這個案例如何影響您使用者的雲端型登入體驗
使用者的單一登入體驗取決於使用者的電腦如何連接到您公司的網路、使用者的電腦正在執行哪個作業系統,以及管理員如何設定其 STS 基礎結構來與 Azure AD 互動。
以下描述使用者從網路內使用單一登入的經驗:
- 公司網路上的工作電腦:當使用者在工作並登入公司網路時,單一登入可讓他們存取雲端服務,而不需要再次登入。
如果使用者從外部連接您公司的網路,或從特定裝置或應用程式存取服務,例如在下列倩況中,則您必須部署 STS Proxy。 如果您打算針對 STS 使用 AD FS,請參閱檢查清單:使用 AD FS 來實作和管理單一登入 ,以取得如何設定 AD FS Proxy 的詳細資訊。
工作電腦,漫遊: 使用公司認證登入已加入網域的電腦,但未連線到公司網路的使用者 (例如,在家工作電腦或旅館) 可以存取雲端服務。
家用或公用電腦: 當使用者使用未加入公司網域的電腦時,使用者必須使用其公司認證登入,才能存取雲端服務。
智慧型手機:在智慧型手機上,若要使用 Microsoft Exchange ActiveSync 存取雲端服務,例如Microsoft Exchange Online,使用者必須使用其公司認證登入。
Microsoft Outlook或其他電子郵件用戶端:如果使用者使用Outlook或不屬於Office的電子郵件用戶端,則使用者必須使用其公司認證登入,才能存取其電子郵件;例如 IMAP 或 POP 用戶端。
如果您是使用 Shibboleth 作為 STS,請確定安裝 Shibboleth Identity Provider ECP 延伸模組,以便透過智慧型手機、Microsoft Outlook 或其他用戶端進行單一登入。 如需詳細資訊,請參閱 設定 Shibboleth 以搭配單一登入使用。
準備好為組織實作本案例了嗎?
如果是,建議您先遵循 單一登入藍圖中提供的步驟。