Felkészülés az egyszeri bejelentkezésre
Közzétéve: 2012. június
Hatókör: Office 365, Windows Intune
Megjegyzés
A témakör online súgótartalmat biztosít, mely több felhőalapú Microsoft-szolgáltatáshoz, például a Windows Intune és az Office 365 szolgáltatáshoz is használható.
Az egyszeri bejelentkezéssel a felhasználók az Active Directory címtárban tárolt vállalati hitelesítő adataikkal (felhasználónévvel és jelszóval) érhetik el a felhőalapú Microsoft-szolgáltatás szolgáltatásait. Az egyszeri bejelentkezés beállításához egy vagy több helyszíni kiszolgálót biztonsági jegykiadó szolgáltatásként (STS) kell konfigurálni. Az STS lehetővé teszi az identitás-összevonást, így kiterjeszti a központosított hitelesítést, engedélykezelést és egypontos bejelentkezést gyakorlatilag minden webalkalmazásra és szolgáltatásra, függetlenül attól, hogy azok szegélyhálózatokon, partnerhálózatokon vagy éppen a felhőben futnak. Ha úgy konfigurál egy STS rendszert, hogy az egyszeri bejelentkezést biztosítson a felhőalapú Microsoft-szolgáltatás szolgáltatással, akkor összevont megbízhatósági kapcsolatot hoz létre helyszíni STS rendszere és a Windows Azure Active Directory szolgáltatásban megadott összevont tartomány között.
Az Windows Azure AD az egyszeri bejelentkezést a következő biztonsági jegykiadó szolgáltatásokkal támogatja:
Active Directory összevonási szolgáltatások (AD FS) 2.0
Shibboleth identitásszolgáltató
A cikk következő része a gördülékeny egyszeri bejelentkezés előnyeivel és követelményeivel foglalkozik. Emellett annak ellenőrzését is megismerheti, hogy az Active Directory beállításai megfelelnek-e az egyszeri bejelentkezés követelményeinek.
A cikk tartalma
Az egyszeri bejelentkezés használatának előnyei
Az egyszeri bejelentkezéssel kapcsolatos felhasználói élmény különböző helyeken
Az egyszeri bejelentkezés követelményei
Az Active Directory előkészítése
Következő lépés
Az egyszeri bejelentkezés használatának előnyei
A felhasználók egyértelműen profitálnak az egyszeri bejelentkezés beállításából: a funkció használatával vállalati hitelesítő adataikkal érheti el a vállalat által előfizetett a felhőalapú szolgáltatás szolgáltatást. A felhasználóknak nem kell ismételten bejelentkezniük és több jelszót megjegyezniük.
A felhasználói előnyökön túl számos előnyt nyújt a rendszergazdák számára is:
**Házirend-vezérlés:**A rendszergazda az Active Directory szolgáltatáson keresztül vezérelheti a fiókházirendeket, ami anélkül teszi lehetővé számára a jelszóházirendek, a munkaállomásokra vonatkozó korlátozások, a zárolási szabályok és még sok egyéb beállítás kezelését, hogy további feladatokat kellene végeznie a felhőben.
**Hozzáférés-vezérlés:**A rendszergazda korlátozhatja a hozzáférést az a felhőalapú szolgáltatás szolgáltatáshoz úgy, hogy az csak a vállalati környezetből, csak online kiszolgálókról, vagy mindkét helyről elérhető legyen.
Kevesebb támogatási hívás: Minden vállalatnál gyakran hívják a támogatási szolgálatot az elfelejtett jelszavak miatt. Ha a felhasználóknak kevesebb jelszóra kell emlékezniük, kevésbé valószínű, hogy elfelejtik őket.
Biztonság: A felhasználói azonosítók és adatok védettek, mivel az egyszeri bejelentkezésben részt vevő összes kiszolgáló és szolgáltatás helyszíni irányítás és ellenőrzés alatt áll.
Az erős hitelesítés támogatása: Az a felhőalapú szolgáltatás szolgáltatással használhat erős hitelesítést (másként kétfaktoros hitelesítést). Azonban, ha a szigorú hitelesítést használja, akkor használnia kell az egyszeri bejelentkezést. A szigorú hitelesítés használatának vannak korlátozásai. Ha az STS rendszerrel AD FS 2.0 használatát tervezi, további információkért tekintse meg a Configuring Advanced Options for AD FS 2.0 (Az AD FS 2.0 speciális beállításainak konfigurálása) című cikket.
A cikk tartalma
Az egyszeri bejelentkezéssel kapcsolatos felhasználói élmény különböző helyeken
Az egyszeri, gördülékeny bejelentkezés attól függően változik, hogy miként csatlakozik a felhasználó számítógépe a vállalati hálózatra, milyen operációs rendszer fut a felhasználó számítógépén, és miként konfigurálta a rendszergazda az STS-infrastruktúrát.
Az alábbiakban a hálózaton belüli egyszeri bejelentkezéssel kapcsolatos felhasználói élmény leírása olvasható:
- Munkahelyi számítógép a vállalati hálózaton: Ha a felhasználók a munkahelyen tartózkodnak, és be vannak jelentkezve a vállalati hálózatra, az egyszeri bejelentkezés lehetővé teszi számukra az a felhőalapú szolgáltatás szolgáltatásainak ismételt bejelentkezés nélküli elérését.
Ha a felhasználó a vállalati hálózaton kívülről kapcsolódik, vagy meghatározott eszközökkel, illetve alkalmazásokkal fér hozzá a szolgáltatásokhoz, például az alábbi helyzetekben, akkor STS-proxyt kell üzembe helyeznie. Ha az STS rendszerrel AD FS 2.0 használatát tervezi, az AD FS 2.0 proxy beállításával kapcsolatos további információkért tekintse meg Plan for and deploy AD FS 2.0 for use with single sign-on című cikket.
Munkahelyi számítógép, barangolás: A vállalati hitelesítő adataikkal tartományhoz csatlakozó számítógépekre bejelentkezett, de a vállalati hálózatra nem csatalakozó (például a munkahelyi számítógépet otthon vagy szállodában használó) felhasználók hozzáférhetnek az a felhőalapú szolgáltatás szolgáltatásaihoz.
Otthoni vagy nyilvános számítógép: Ha a felhasználó olyan számítógépet használ, amely nem csatlakozik a vállalati tartományhoz, vállalati hitelesítő adataival kell bejelentkeznie az a felhőalapú szolgáltatás eléréséhez.
Okostelefon: Okostelefonon a felhasználónak vállalati hitelesítő adataikkal kell bejelentkezniük az a felhőalapú szolgáltatás-szolgáltatások, például az Microsoft Exchange Online Microsoft Exchange ActiveSync használatával történő eléréséhez.
Microsoft Outlook Más e-mail ügyfélprogramok: A felhasználóknak vállalati hitelesítő adataikkal kell bejelentkezniük e-mailjeik eléréséhez, ha az Outlook szolgáltatást vagy nem az Office csomag részét képező, például IMAP- vagy POP-ügyfelet használnak.
Ha biztonsági jegykiadó szolgáltatásként (STS) a Shibboleth szolgáltatót használja, feltétlenül telepítse a Shibboleth identitásszolgáltató ECP bővítményét, hogy az egyszeri bejelentkezés működjön okostelefonokkal, a Microsoft Outlook ügyféllel és más ügyfelekkel. További információkért lásd: Shibboleth konfigurálása az egyszeri bejelentkezéshez.
Az AD FS 2.0 szolgáltatással használt egyszeri bejelentkezéssel kapcsolatos további információkért tekintse meg a How single sign-on works (Az egyszeri bejelentkezés működése) című cikket.
A cikk tartalma
Az egyszeri bejelentkezés követelményei
Az egyszeri bejelentkezés használatához el kell végeznie a következőket:
Telepítenie és futtatnia kell az Active Directory szolgáltatást kevert vagy natív működési módú Windows Server 2003 R2, Windows Server 2008 vagy Windows Server 2008 R2 operációs rendszeren.
Ha STS rendszerként az AD FS 2.0 használatát tervezi, az AD FS 2.0 letöltésére, telepítésére és üzembe helyezésére van szükség egy Windows Server 2008 vagy Windows Server 2008 R2 kiszolgálón. Továbbá, ha a felhasználók a vállalati hálózaton kívülről csatlakoznak, üzembe kell helyeznie egy AD FS 2.0-proxyt.
A beállított STS típusától függően használja a megfelelő Windows Azure Active Directory modul Windows PowerShell környezethez programot az összevont bizalmi kapcsolat kialakításához helyszíni STS rendszere és az Windows Azure AD között.
Telepítse az felhőalapú Microsoft-szolgáltatás szolgáltatáshoz szükséges frissítéseket a felhőalapú szolgáltatások letöltési oldaláról annak érdekében, hogy a felhasználók a Windows 7, a Windows Vista vagy a Windows XP operációs rendszer legújabb frissítéseit használják. Az a felhőalapú szolgáltatás letöltési oldalának eléréséhez jelentkezzen be az a felhőalapú szolgáltatás portálra, majd az Erőforrások területen kattintson a Letöltések lehetőségre. Az a felhőalapú szolgáltatás funkciói nem fognak helyesen működni az operációs rendszerek, böngészők és szoftverek megfelelő verziói nélkül. További információkért lásd: Szoftverekre vonatkozó követelmények.
A cikk tartalma
Az Active Directory előkészítése
Az Active Directory szolgáltatásban bizonyos beállításokat meg kell adni ahhoz, hogy megfelelően működjön az egyszeri bejelentkezéssel. Elsősorban az egyszerű felhasználónevet (UPN) – amely felhasználói bejelentkezési névként is ismert – kell adott módon beállítani minden egyes felhasználóhoz.
Megjegyzés
Az Active Directory-környezet egyszeri bejelentkezés használatára való előkészítéséhez a Microsoft Deployment Readiness Tool (Microsoft telepítés-előkészítő eszköz) futtatását javasoljuk. Ez az eszköz megvizsgálja az Active Directory-környezetet, és olyan jelentést készít, amely információkat tartalmaz azzal kapcsolatban, hogy felkészült-e az egyszeri bejelentkezés beállítására. Amennyiben nem, felsorolja az egyszeri bejelentkezés előkészítéséhez szükséges módosításokat. Megvizsgálja például, hogy a felhasználók rendelkeznek-e egyszerű felhasználónévvel, és hogy ezek az egyszerű felhasználónevek megfelelő formátumúak-e.
Az egyes tartományoktól függően lehet, hogy el kell végeznie az alábbiakat:
Be kell állítani az egyszerű felhasználónevet, és azt meg kell adni a felhasználónak.
Az UPN tartományutótagjának az alá a tartomány alá kell tartoznia, amelyet az egyszeri bejelentkezés beállításához választ.
Az összevonáshoz kiválasztott tartománynak nyilvános tartományként kell regisztrálva lennie egy tartományregisztrálónál vagy az Ön nyilvános DNS-kiszolgálóin.
Az egyszerű felhasználónevek létrehozásához kövesse az Egyszerű felhasználónévi utótagok felvétele című Active Directory-témakör utasításait: Ne feledje, hogy az egyszeri bejelentkezéshez használt egyszerű felhasználónevek csak betűket, számokat, pontokat, kötőjeleket és aláhúzásokat tartalmazhatnak.
Ha az Active Directory-tartománynév nem nyilvános internetes tartomány (például „.local” utótagra végződik), olyan egyszerű felhasználónevet kell beállítania, amelynek tartományutótagja nyilvánosan regisztrálható internetes tartománynév alá tartozik. Javasolt a felhasználók számára ismert nevet használni: például az e-mail tartományukat.
Ha már telepítette az Active Directory-szinkronizálást, lehet, hogy a felhasználó egyszerű felhasználóneve nem egyezik a felhasználó Active Directory szolgáltatásban meghatározott helyszíni egyszerű felhasználónevével. Ennek javításához nevezze át a felhasználó Windows Azure Active Directory modul Windows PowerShell környezethez rendszerbeli egyszerű felhasználónevét a Set-MsolUserPrincipalName parancsmag használatával.
A cikk tartalma
Következő lépés
Az egyszeri bejelentkezés előkészítése után be kell állítania az STS rendszert. Részletes utasításokért kattintson alább a szervezete által használt STS rendszernek megfelelő hivatkozásra.
1. STS-beállítás: Használja az AD FS 2.0-át az egyszeri bejelentkezés megvalósítása és kezelése
2. STS-beállítás: a Shibboleth identitásszolgáltató használata az egyszeri bejelentkezés megvalósításához.
Megjegyzés
A fenti hivatkozásokkal elérhető STS-beállításokkal foglalkozó témakörök lépésenként végigvezetik az adott STS-megvalósítás helyszíni környezetben történő beállításán. Csak az egyik STS-beállítás lépéseit kell követnie az egyszeri bejelentkezés sikeres beállításához az Windows Azure AD számára.
A cikk tartalma
Lásd még
Fogalmak
Egyszeri bejelentkezés menetrendje
Címtár-szinkronizálási menetrend