Kertakirjautumiseen valmistautuminen
Julkaistu: kesäkuu 2012
Tuotteet: Office 365, Windows Intune
Huomautus
Tässä ohjeaiheessa on online-ohjesisältöä, joka liittyy useisiin Microsoftin pilvipalveluihin, kuten Windows Intune -palveluun ja Office 365:een.
Kun kertakirjautuminen on määritetty, yrityksesi käyttäjät voivat käyttää Microsoftin pilvipalvelu -portaalia yrityksen Active Directory -tunnistetiedoilla (käyttäjänimi ja salasana). Kertakirjautumisen käyttöönottoa varten on määritettävä vähintään yksi paikallinen palvelin, joka huolehtii suojaustunnuspalvelusta. Suojaustunnuspalvelu mahdollistaa tunnistetietojen yhdistämisen, mikä laajentaa keskitetyn todennuksen, valtuutuksen ja kertakirjautumisen verkkosovelluksiin ja -palveluihin, jotka voivat sijaita missä vain, kuten eteisverkoissa, kumppaniverkoissa ja pilvessä. Kun määrität suojaustunnuspalvelun sallimaan kertakirjautumisen Microsoftin pilvipalvelu -ympäristössä, luot liittoutuneen luottamuksen paikallisen suojaustunnuspalvelun ja Windows Azure Active Directory -palvelussa määritetyn liittoutuneen toimialueen välille.
Windows Azure AD tukee kertakirjautumista seuraavien suojaustunnuspalvelujen kanssa:
Active Directory -liittoutumispalvelut (AD FS) 2.0
Shibboleth-tunnistuspalvelu
Tämän artikkelin seuraavassa osiossa käsitellään kertakirjautumisen etuja, kokemuksia ja vaatimuksia. Lisäksi saat ohjeet, joiden avulla voit tarkistaa, että ActiveDirectory -määritykset vastaavat kertakirjautumisen vaatimuksia.
Tässä käsiteltävät aiheet
Kertakirjautumisen käytön edut.
Kertakirjautumisen käyttö eri sijainneista
Kertakirjautumisen vaatimukset
Active Directoryn valmisteleminen
Jatkotoimenpiteet
Kertakirjautumisen käytön edut.
Kun otat kertakirjautumisen käyttöön, käyttäjät saavat siitä selvän hyödyn: he voivat käyttää yrityksen tunnistetietoja yrityksen tilaamassa pilvipalvelu -palvelussa. Käyttäjien ei tarvitse kirjautua niihin sisään erikseen tai muistaa muistaa useita salasanoja.
Käyttäjien saamien etujen lisäksi myös järjestelmänvalvojille on huomattavia etuja:
Käytäntöjen hallinta: Järjestelmänvalvoja voi hallita tilikäytäntöjä Active Directory -hakemiston avulla, jolloin järjestelmänvalvoja voi hallita salasanakäytäntöjä, työasemarajoituksia, lukituksia ja paljon muuta tarvitsematta suorittaa lisätehtäviä pilvessä.
Käytön hallinta: Järjestelmänvalvoja voi rajoittaa pilvipalvelu -ympäristön käyttöä niin, että palveluita voi käyttää yritysympäristön tai verkkopalvelinten tai niiden molempien kautta.
Pienentynyt tukipuheluiden tarve: Unohtuneet salasanat ovat yleinen tukipuheluiden aihe kaikissa yrityksissä. Jos käyttäjillä on muistettavana entistä vähemmän salasanoja, todennäköisyys sille, että he unohtavat ne, pienenee.
Suojaus: Käyttäjien tunnistetiedot ja tiedot on suojattu, koska kaikkien kertakirjautumisessa käytettävien palvelinten ja palveluiden hallinta hoidetaan paikallisesti.
Vahvan todennuksen tuki: Voit käyttää vahvaa todennusta (jota kutsutaan myös kaksiosaiseksi todennukseksi) pilvipalvelu -ympäristössä. Jos käytät vahvaa todennusta, sinun on kuitenkin käytettävä kertakirjautumista. Vahvan todennuksen käytöllä on tiettyjä rajoituksia. Jos aiot käyttää AD FS 2.0 -palvelua suojaustunnuspalvelussa, katso lisätietoja täältä: Configuring Advanced Options for AD FS 2.0 (AD FS 2.0:n lisäasetusten määrittäminen).
Tässä käsiteltävät aiheet
Kertakirjautumisen käyttö eri sijainneista
Käyttäjän käyttökokemus kertakirjautumisesta vaihtelee sen mukaan, miten käyttäjän tietokone on yhdistetty yrityksen verkkoon, mikä käyttöjärjestelmä on asennettu käyttäjän tietokoneeseen ja miten järjestelmänvalvoja on määrittänyt suojaustunnuspalvelun infrastruktuurin.
Alla on kuvattu erilaisia kertakirjautumisen käyttötilanteita verkon sisällä:
- Työtietokone yrityksen verkossa: Kun käyttäjät ovat työpaikalla ja kirjautuneina yrityksen verkkoon, kertakirjautuminen antaa heidän käyttää pilvipalvelu -ympäristöä tarvitsematta kirjautua uudelleen sisään.
Jos käyttäjä muodostaa yhteyden yritysverkon ulkopuolelta tai käyttää palveluita tietyillä laitteilla tai sovelluksilla (kuten seuraavissa tilanteissa), sinun on otettava käyttöön suojaustunnuspalvelun välityspalvelin. Jos aiot käyttää AD FS 2.0 -palvelua suojaustunnuspalvelussa, katso lisätietoja AD FS 2.0 -välityspalvelimen käyttöönotosta täältä: Plan for and deploy AD FS 2.0 for use with single sign-on.
Verkkovierailu työtietokoneesta: Käyttäjät, jotka ovat kirjautuneet toimialueeseen liitettyihin tietokoneisiin yrityksen tunnistetiedoilla, mutta jotka eivät ole yhteydessä yritysverkkoon (esimerkiksi työtietokone kotona tai hotellissa), pääsevät pilvipalvelu -ympäristöön.
Kotitietokone tai julkinen tietokone: Kun käyttäjä käyttää tietokonetta, jota ei ole liitetty yrityksen toimialueeseen, hänen on kirjauduttava sisään yrityksen tunnistetiedoilla, jotta hän pääsee pilvipalvelu -ympäristöön.
Älypuhelin: Jotta käyttäjä voi käyttää älypuhelimella pilvipalvelu -ympäristössä olevia palveluja, kuten Microsoft Exchange Online -palvelua, Microsoft Exchange ActiveSync -toiminnolla, hänen täytyy kirjautua sisään yrityksen tunnistetiedoilla.
Microsoft Outlook tai muut sähköpostiohjelmat: Käyttäjän on kirjauduttava sisään yrityksen tunnistetiedoilla voidakseen käyttää Outlook -sähköpostia tai Office-tuoteperheeseen kuulumatonta sähköpostiohjelmaa, kuten IMAP- tai POP-asiakasta.
Jos käytät Shibboleth-palvelua suojaustunnuspalveluna, asenna Shibboleth-tunnistuspalvelun ECP-laajennus, jotta kertakirjautumista voi käyttää älypuhelimella, Microsoft Outlookilla ja muilla asiakasohjelmilla. Lisätietoja: Shibboleth-palvelun määrittäminen kertakirjautumista varten.
Lisätietoja kertakirjautumisesta AD FS 2.0 -ympäristössä: Kertakirjautumisen toiminta.
Tässä käsiteltävät aiheet
Kertakirjautumisen vaatimukset
Kertakirjautumisen käytöllä on seuraavat vaatimukset:
Sinulla on oltava Active Directory käytössä Windows Server 2003 R2-, Windows Server 2008- tai Windows Server 2008 R2 -ympäristössä siten, että se toimiin sekatilassa tai alkuperäisessä tilassa.
Jos aiot käyttää AD FS 2.0 -palvelua suojaustunnuspalveluna, lataa, asenna ja ota käyttöön AD FS 2.0 Windows Server 2008- tai Windows Server 2008 R2 -palvelimessa. Jos yhteyden muodostava käyttäjä on yritysverkon ulkopuolella, sinun on otettava käyttöön myös AD FS 2.0 -välityspalvelin.
Käytä suojaustunnuspalvelun tyypin mukaan määräytyvää Windows Azure Active Directoryn Windows PowerShell -moduulia, kun muodostat liittoutuneen luottamuksen paikallisen suojaustunnuspalvelun ja Windows Azure AD -palvelun välille.
Asenna tarvittavat Microsoftin pilvipalvelu -päivitykset pilvipalvelujen lataussivulta, jotta käyttäjillä on käytössään uusimmat Windows 7-, Windows Vista- tai Windows XP -päivitykset. Pääset pilvipalvelu -lataussivulle kirjautumalla pilvipalvelu -portaaliin ja valitsemalla sitten Resurssit-kohdasta Lataukset. pilvipalvelu -ominaisuudet eivät toimi kunnolla ilman oikeita käyttöjärjestelmä-, selain- ja ohjelmistoversioita. Lisätietoja: Ohjelmistovaatimukset.
Tässä käsiteltävät aiheet
Active Directoryn valmisteleminen
Active Directory -hakemistossa on oltava tietyt asetukset, jotta se toimii kertakirjautumisen kanssa oikein. Erityisesti kunkin käyttäjän täydellinen käyttäjätunnus, jota kutsutaan myös käyttäjän kirjautumisnimeksi, on määritettävä tietyllä tavalla.
Huomautus
On suositeltavaa tehdä Active Directory -ympäristön valmistelu kertakirjautumista varten suorittamalla Microsoftin käyttöönottovalmiustyökalu. Se tarkistaa Active Directory -ympäristösi ja luo raportin, jonka tiedoista näet, onko ympäristösi valmis kertakirjautumisen määrittämiseen. Jos ympäristö ei ole valmis, raportissa luetellaan muutokset, jotka sinun on tehtävä kertakirjautumiseen valmistautumiseksi. Työkalu tarkistaa esimerkiksi, onko käyttäjilläsi täydelliset käyttäjätunnukset ja ovatko ne oikeassa muodossa.
Sen mukaan, mikä toimialue on kyseessä, sinun on ehkä suoritettava seuraavat toimenpiteet:
Käyttäjän on määritettävä täydellinen käyttäjätunnus ja käyttäjän on tiedettävä se.
Täydellisen käyttäjätunnuksen toimialuejälkiliitteen on kuuluttava siihen toimialueeseen, johon määrität kertakirjautumisen.
Yhdistettävän toimialueen on oltava julkisesti rekisteröity toimialue toimialuerekisteröintipalvelussa tai omissa julkisissa DNS-palvelimissasi.
Seuraavassa Active Directory -ohjeaiheessa on lisätietoja täydellisten käyttäjätunnuksien luomisesta: Täydellisen käyttäjätunnuksen jälkiliitteiden lisääminen. Muista, että kertakirjautumiseen käytettävissä täydellisissä käyttäjätunnuksissa voi olla vain kirjaimia, numeroita, pisteitä, yhdysviivoja ja alaviivoja.
Jos Active Directory -toimialueesi ei ole julkinen Internet-toimialue (sen lopussa on esimerkiksi .local-jälkiliite), sinun on määritettävä täydellinen käyttäjätunnus siten, että siinä on toimialuejälkiliite, joka kuuluu julkisesti rekisteröitävään toimialueeseen. Suosittelemme, että käytät käyttäjälle tuttua toimialuenimeä, esimerkiksi sähköpostitoimialuetta.
Jos olet jo määrittänyt Active Directory -synkronoinnin, käyttäjän täydellinen käyttäjätunnus ei ehkä vastaa Active Directoryssa määritettyä käyttäjän paikallista täydellistä käyttäjätunnusta. Voit korjata tämän nimeämällä uudelleen käyttäjän täydellisen käyttäjätunnuksen Windows Azure Active Directoryn Windows PowerShell -moduulin cmdlet-komennolla Set-MsolUserPrincipalName.
Tässä käsiteltävät aiheet
Jatkotoimenpiteet
Valmisteltuasi kertakirjautumisen sinun tulee ottaa käyttöön suojaustunnuspalvelu. Saat vaiheittaisia ohjeita napsauttamalla sitä linkkiä alla, joka vastaa organisaatiosi käytössä olevaa suojaustunnuspalvelua.
Suojaustunnuspalvelu 1: Kertakirjautumisen toteutus ja hallinta AD FS 2.0:n avulla
Suojaustunnuspalvelu 2: Shibboleth-tunnistuspalvelun käyttäminen kertakirjautumisen toteutuksessa.
Huomautus
Edellä mainitut suojaustunnuspalvelulinkit sisältävät ohjeita, jotka opastavat vaihe vaiheelta kyseisen suojaustunnuspalvelun käyttöönotossa paikallisessa ympäristössä. Sinun täytyy noudattaa vain yhden suojaustunnuspalvelun ohjeita, jotta saat kertakirjautumisen määritettyä Windows Azure AD -palvelussa.
Tässä käsiteltävät aiheet