Ühekordse sisselogimise ettevalmistamine
Avaldatud: juuni 2012. a.
Uuendatud: veebruar 2013. a.
Kehtib järgmise programmi kohta:: Office 365, Windows Intune
.gif "note") Märkus. |
|---|
| Käesolev teema sisaldab veebispikri sisu, mis on kohaldatud mitmele Microsofti pilvteenusele (sh Windows Intune ja Office 365). |
Ühekordne sisselogimine võimaldab kasutajale juurdepääsu teenusepaketile Microsofti pilvteenus olemasoleva Active Directory ettevõttemandaadi (kasutajanimi ja parool) abil. Ühekordse sisselogimise häälestamiseks peate konfigureerima vähemalt ühe kohapealse serveri turbelubade teenuseks (STS). STS võimaldab isikute seostamist, mis võimaldab kasutada tsentraalse autentimise, autoriseerimise ja SSO võimalusi veebirakendustel ja -teenustel, mis võivad paikneda peaaegu igal pool, sh piirrvõrgus, partnervõrkudes ja pilves. Kui konfigureerite STS-i pakkuma koos teenusepaketiga Microsofti pilvteenus ühekordse sisselogimisega juurdepääsu, loote oma kohapealse STS-i ja teenuses Windows Azure Active Directory määratletud liitdomeeni vahel seostatud usalduse.
Windows Azure AD toetab ühekordset sisselogimist järgmiste turbelubade teenustega:
Active Directory Federation Services (AD FS) 2.0
Shibboleth Identity Provider
Artikli järgmises jaotises käsitletakse ühekordse sisselogimise eeliseid, kasutuskogemusi ja nõudeid. Samuti näidatakse, kuidas kontrollida, kas teie Active Directory häälestus vastab ühekordse sisselogimise nõuetele.
Selle artikli teemad
Ühekordse sisselogimise kasutamise eelised
Ühekordse sisselogimise kasutuskogemus erinevates asukohtades
Ühekordse sisselogimise nõuded
Active Directory ettevalmistamine
Edasine tegevus
Ühekordse sisselogimise kasutamise eelised
Ühekordse sisselogimise häälestamine pakub kasutajatele väga selget eelist: see võimaldab neil kasutada oma ettevõttemandaate, et saada juurdepääs pilvteenus teenustele, mis teie ettevõte on tellinud. Kasutajad ei pea mitu korda sisse logima ega mitut parooli meeles pidama.
Lisaks eelistele kasutajate jaoks on ka administraatorite jaoks palju eeliseid.
**Poliitikate reguleerimine:**administraator saab juhtida kontopoliitikaid Active Directory kaudu, mis võimaldab administraatoril hallata paroolipoliitikaid, tööjaamapiiranguid, lukustuse reguleerimist ja muud ilma, et peaks pilves täiendavaid toiminguid tegema.
Juurdepääsu reguleerimine: administraator saab piirata juurdepääsu teenusekomplektile pilvteenus nii, et teenustele pääseks juurde ettevõtte IT-keskkonna, veebiserverite või mõlema kaudu.
Vähem tugiteenusekõnesid: kõigis ettevõtetes on levinud tugiteenusekõnede põhjus unustatud paroolid. Kui kasutajatel tuleb meeles pidada vähem paroole, siis suudavad nad neid suurema tõenäosusega meeles pidada.
Turvalisus: kasutajate identiteet ja andmed on kaitstud, kuna kõiki ühekordsel sisselogimisel kasutatavaid servereid ja teenuseid hallatakse ja juhitakse asutusesiseselt.
Tugeva autentimise tugi: teenusekomplektiga pilvteenus saate kasutada tugevat autentimist (mida nimetatakse ka kahekordseks autentimiseks). Kui kasutate tugevat autentimist, peate kasutama ühekordset sisselogimist. Tugeva autentimise kasutamisel on teatud piirangud. Kui plaanite kasutada oma STS-iga AD FS 2.0 serverit, vt lisateavet teemast AD FS 2.0 täpsemate suvandite konfigureerimine.
Selle artikli teemad
Ühekordse sisselogimise kasutuskogemus erinevates asukohtades
Ühekordse sisselogimise kasutuskogemus erineb selle põhjal, kuidas on kasutaja arvuti teie ettevõtte võrguga ühendatud, milline opsüsteem kasutaja arvutis töötab ja kuidas on administraator konfigureerinud STS-i infrastruktuuri.
Järgmisena kirjeldame võrgu kaudu ühekordse sisselogimise kasutuskogemust.
- Tööarvuti ettevõtte võrgus: kui kasutajad on tööl ja logitud ettevõtte võrku, võimaldab ühekordne sisselogimine neil pilvteenus teenustele juurde pääseda ilma korduva sisselogimiseta.
Kui kasutaja loob ühenduse väljastpoolt teie ettevõtte võrku või loob juurdepääsu teenustele kindlate seadmete või rakenduste kaudu (nt järgmistes olukordades), peate juurutama STS-i puhverserveri. Kui plaanite kasutada oma STS-iga AD FS 2.0 serverit, vt lisateavet AD FS 2.0 puhverserveri häälestamise kohta teemast Plan for and deploy AD FS 2.0 for use with single sign-on.
Tööarvuti, rändlus: kasutajad, kes on ettevõttemandaadiga sisse logitud domeeni kuuluvasse arvutisse, kuid pole ühendatud ettevõtte võrku (nt kodus asuv tööarvuti või hotellis), pääsevad pilvteenus teenustele juurde.
Kodu- või avalik arvuti: kui kasutaja kasutab arvutit, mis ei kuulu ettevõtte domeeni, peab kasutaja pilvteenus teenustele juurdepääsuks sisse logima oma ettevõttemandaadiga.
Nutitelefon: kui kasutaja kasutab nutitelefoni ja Microsoft Exchange ActiveSynci pilvteenus teenusele (nt Microsoft Exchange Online) juurdepääsuks, siis peab ta logima sisse oma ettevõttemandaadiga.
Microsoft Outlook Muud meilikliendid: kasutaja peab oma meilile juurdepääsuks sisse logima ettevõttemandaadiga, kui ta kasutab Outlooki või mõnda sellist meiliklienti, mis ei kuulu Office'i rakenduste hulka (nt IMAP- või POP-klienti).
Kui kasutate Shibbolethi turbelubade teenusena, installige kindlasti Shibboleth Identity Provideri ECP-laiendus, et kasutada ühekordset sisselogimist nutitelefoni, Microsoft Outlooki või muude klientidega. Lisateavet leiate artiklist Shibbolethi konfigureerimine ühekordse sisselogimise kasutamiseks.
Lisateavet ühekordse sisselogimise ja AD FS 2.0 kohate leiate teemast Ühekordse sisselogimise toimimine.
Selle artikli teemad
Ühekordse sisselogimise nõuded
Ühekordse sisselogimise kasutamiseks peate tegema järgmist.
Teil peab olema opsüsteemis Windows Server 2003 R2, Windows Server 2008 või Windows Server 2008 R2 juurutatud ja töötama sega- või omarežiimi funktsionaalsel tasemel Active Directory.
Kui plaanite kasutada STS-ina AD FS 2.0 serverit, peate opsüsteemiga Windows Server 2008 või Windows Server 2008 R2 serveris alla laadima, installima ja juurutama teenuse AD FS 2.0. Kui kasutajad ühenduvad väljastpoolt teie ettevõtte võrku, peate juurutama teenuse AD FS 2.0 puhverserveri.
Olenevalt teie häälestatud STS-i tüübist, kasutage sobivat Windows Azure Active Directory moodul Windows PowerShellilei, et luua kohapealse STS-i ja teenuse Windows Azure AD vahel seostatud usaldus.
Installige Microsofti pilvteenus nõutavad värskendused pilvteenuste allalaadimislehelt, tagamaks, et teie kasutajad kasutavad opsüsteemi Windows 8, Windows Vista või Windows XP uusimaid värskendusi. pilvteenus allalaadimislehele juurdepääsemiseks logige pilvteenus portaali ja klõpsake jaotises Ressursid nuppu Allalaaditavad failid. pilvteenus funktsioonid ei tööta opsüsteemide, brauserite ja tarkvara asjakohaste versioonideta õigesti. Lisateavet leiate artiklist Tarkvaranõuded.
Selle artikli teemad
Active Directory ettevalmistamine
Active Directory kataloogil peavad olema ühekordse sisselogimise õigeks töötamiseks konfigureeritud teatud sätted. Eriti peab iga kasutaja jaoks olema kindlal viisil häälestatud kasutaja turvasubjektinimi (UPN).
| Märkus. |
|---|
| Active Directory keskkonna ettevalmistamiseks ühekordse sisselogimise jaoks on soovitatav käivitada Microsofti juurutusvalmiduse tööriist. See tööriist uurib teie Active Directory keskkonda ja koostab aruande selle kohta, kas olete valmis ühekordse sisselogimise häälestamiseks või mitte. Kui mitte, loetletakse muudatused, mida peate ühekordse sisselogimise ettevalmistamiseks tegema. Näiteks kontrollib see tööriist, kas teie kasutajatel on UPN-id ja kas need on õiges vormingus. |
Olenevalt igast teie domeenist peate võib-olla tegema järgmist.
Kasutaja jaoks peab olema seatud UPN ja ta peab seda teadma.
UPN-i domeenisufiks peab kuuluma domeeni, mille soovite ühekordse sisselogimise jaoks häälestada.
Domeen, mille soovite liita, peab olema registreeritud avaliku domeenina mõne domeeniregistraatori juures või teie enda avalikes DNS-serverites.
UPN-ide loomiseks järgige Active Directory teema Kasutajate turvasubjektinimede sufiksite lisamine juhiseid. Arvestage, et ühekordseks sisselogimiseks kasutatavad UPN-id tohivad sisaldada ainult tähti, numbreid, punkte, mõttekriipse ja allkriipse.
Kui teie Active Directory domeeninimi pole avalik Interneti domeen (nt see lõpeb sufiksiga “.kohalik”), peate seadma UPN-i, et saada sellise Interneti domeeninime alla kuuluv domeenisufiks, mida saab avalikult registreerida. Soovitatav on kasutada midagi kasutajatele tuttavat (nt nende e-posti domeeni).
Kui olete juba häälestanud Active Directory sünkroonimise, ei pruugi kasutaja UPN kattuda kasutaja kohapealse Active Directory kataloogis määratletud UPN-iga. Selle parandamiseks nimetage kasutaja UPN Set-MsolUserPrincipalName cmdleti abil moodulis Windows Azure Active Directory moodul Windows PowerShellile ümber.
Selle artikli teemad
Edasine tegevus
Nüüd, kui olete ühekordse sisselogimise ette valmistanud, peate häälestama oma STS-i. Üksikasjalike juhiste lugemiseks klõpsake ühte järgmistest linkidest (olenevalt sellest, millist STS-i suvandit teie ettevõte kasutab).
STS-i suvand 1: Kasutage AD FS 2.0, et juurutada ja hallata ühekordset sisselogimist
STS-i suvand 2: Shibboleth Identity Provideri kasutamine ühekordse sisselogimise rakendamiseks.
| Märkus. |
|---|
| Iga eelnevalt toodud STS-i suvandite linkide teema sisaldab üksikasjalikke juhiseid, mis selgitavad vastava STS-i suvandi juurutamist kohapealses keskkonnas. Selleks, et teenusega Windows Azure AD ühekordne sisselogimine edukalt konfigureerida, peate järgima ainult ühe STS-i suvandi juhiseid. |
Selle artikli teemad
Vt ka
Mõisted
Ühekordse sisselogimise teejuht
Kataloogisünkroonimise teekaart