DirSync с единым входом

  • Статья

Обновлено: 25 июня 2015 г.

Область применения: Azure, Office 365, Power BI, Windows Intune

Единый вход, который также называется федерацией удостоверений, — это сценарий интеграции с каталогом на основе гибридной среды Azure Active Directory, который можно реализовать, если вы хотите упростить возможность пользователей легко получать доступ к облачным службам, таким как Office 365 или Microsoft Intune, с помощью имеющихся корпоративных учетных данных Active Directory. Без единого входа ваши пользователи должны будут хранить различные имена пользователя и пароли для сетевых и локальных учетных записей.

Служба STS обеспечивает федерацию удостоверений, расширяя область действия централизованной проверки подлинности, авторизации и единого входа на веб-приложения и службы, расположенные практически в любой точке мира, включая пограничные сети, партнерские сети и облака. Если вы настроите STS для единого входа с помощью облачной службы Майкрософт, вы создадите федеративные отношения доверия между локальной службой STS и федеративным доменом, который указан в клиенте Azure AD.

Azure AD поддерживает сценарии единого входа, использующие какие-либо одни из следующих служб токенов безопасности:

  • Службы федерации Active Directory (AD FS)

  • Поставщик удостоверений Shibboleth

  • Сторонние поставщики удостоверений.

На следующей схеме показано, как локальная Active Directory и ферма серверов STS взаимодействуют с системой проверки подлинности Azure AD, чтобы предоставить доступ к одной или нескольким облачным службам. Настраивая единый вход, вы создадите федеративные отношения доверия между службой STS и системой проверки подлинности Azure AD. Пользователи локального каталога Active Directory получат токены проверки подлинности от локальной службы STS, которая будет перенаправлять запросы пользователей через федеративные отношения доверия. Это позволит пользователям беспроблемно получать доступ к облачным службам, на которые вы подписаны, без необходимости входить под отличающимися учетными данными.

Directory sync with single sign-on scenario

Преимущества реализации этого сценария

При реализации единого входа пользователи могут использовать свои корпоративные учетные данные для доступа к облачной службе, на которую подписана ваша компания. Пользователям не придется входить в систему несколько раз и запоминать разные пароли.

Помимо преимуществ для пользователей единый вход также предоставляет и новые возможности для администраторов.

  • Элемент управления политикой: Администратор может управлять политиками учетных записей с помощью Active Directory, что позволяет администратору управлять политиками паролей, ограничениями рабочих станций, элементами управления блокировкой и т. д. без необходимости выполнять дополнительные задачи в облаке.

  • Управление доступом: Администратор может ограничить доступ к облачной службе, чтобы доступ к службам можно было получить через корпоративную среду, через веб-серверы или оба.

  • Сокращенные звонки в службу поддержки: Забытые пароли являются общим источником звонков в службу поддержки во всех компаниях. Если у пользователей будет меньше паролей, которые нужно помнить, они будут реже их забывать.

  • Безопасности: Удостоверения пользователей и сведения защищены, так как все серверы и службы, используемые в едином входе, управляются локально и управляются.

  • Поддержка строгой проверки подлинности: С облачной службой можно использовать надежную проверку подлинности (также называемую двухфакторной проверкой подлинности). Однако в таком случае необходимо использовать единый вход. Существуют ограничения на использование строгой проверки подлинности. Если вы планируете использовать AD FS для службы маркеров безопасности, дополнительные сведения см. в разделе "Настройка дополнительных параметров для AD FS 2.0 ".

Как этот сценарий воздействует на вход ваших пользователей в облачные приложения и службы

Использование пользователями единого входа отличается в зависимости от того, подключен ли компьютер пользователя к сети компании, какая операционная система на нем стоит и как администратор настроил инфраструктуру службы STS для взаимодействия с Azure AD.

Ниже описываются возможности пользователей при применении единого входа в сети.

  • Рабочий компьютер в корпоративной сети: когда пользователи работают и вошли в корпоративную сеть, единый вход позволяет им получить доступ к облачной службе без повторного входа.

Если пользователь подключается к сети компании снаружи или подключается к службам с определенных устройств или через определенные приложения, как в рассмотренных ниже ситуациях, нужно развернуть прокси службы STS. Если вы планируете использовать AD FS для службы маркеров безопасности, см. контрольный список. Использование AD FS для реализации единого входа и управления ими для получения дополнительных сведений о настройке прокси-сервера AD FS.

  • Рабочий компьютер, перемещаемый: Пользователи, которые вошли на присоединенные к домену компьютеры с корпоративными учетными данными, но которые не подключены к корпоративной сети (например, рабочий компьютер дома или в отеле), могут получить доступ к облачной службе.

  • Домашний или общедоступный компьютер: Если пользователь использует компьютер, который не присоединен к корпоративному домену, пользователь должен войти с помощью корпоративных учетных данных для доступа к облачной службе.

  • Смартфон: Чтобы получить доступ к облачной службе, например Microsoft Exchange Online с помощью Microsoft Exchange ActiveSync, пользователь должен войти с помощью корпоративных учетных данных.

  • Microsoft Outlook или другие почтовые клиенты: пользователь должен войти с корпоративными учетными данными для доступа к электронной почте, если они используют Outlook или почтовый клиент, который не является частью Office; например, IMAP или POP-клиент.

    При использовании Shibboleth в качестве службы токенов безопасности (STS) рекомендуется установить расширение ECP поставщика удостоверений Shibboleth, чтобы единый вход работал со смартфонами, Microsoft Outlook или другими клиентами. Дополнительные сведения см. в статье "Настройка Shibboleth для использования с единым вхоротом".

Готовы реализовать этот сценарий в своей организации?

В этом случае рекомендуется выполнить действия, описанные в стратегии единого входа.

См. также:

Основные понятия

Интеграция каталогов
Выбор сценария интеграции служб для использования