Veikart for enkel pålogging
Utgitt: april 2012
Gjelder for: Office 365, Windows Intune
Obs!
Dette emnet inneholder hjelpeinformasjon som gjelder for flere Microsoft-skytjenester, inkludert Windows Intune og Office 365.
Enkel pålogging, også kalt federering av identitet, gjør det mulig for deg og brukerne dine å få tilgang til tjenester i Microsoft-nettskyen med firmalegitimasjonen for Active Directory. Uten enkel pålogging må du, administratoren og brukerne beholde separate brukernavn og passord for Internett-kontoen og den lokale kontoen. Enkel pålogging krever både en infrastruktur for sikkerhetstokentjeneste (STS) og Active Directory-synkronisering.
I følgende diagram illustreres det hvordan den lokale Active Directory og STS-serverfarmen fungerer med Windows Azure Active Directory-identitetsplattformen for å gi tilgang til én eller flere Microsoft-nettskytjenester. Når du konfigurerer enkel pålogging, oppretter du en forbundsklarering mellom STS og Windows Azure AD-godkjenningssystemet. Lokale Active Directory-brukere får godkjenningstoken fra den lokal STSen, som omdirigerer brukerens forespørsler gjennom forbundsklareringen. På den måten kan brukerne dine bruke Microsoft-nettskytjenestene du abonnerer på, uten å måtte logge med annen legitimasjon.
.jpg "Forent klarering mellom STS og Windows Azure AD")
Trinn 1: Klargjøre for enkel pålogging
For å klargjøre for enkel pålogging, kan du lære mer om fordeler med enkel pålogging og hva brukerne vil se når de kobler til fra ulike plasseringer. Du bør også passe på at miljøene tilfredsstiller kravene for enkel pålogging og kontrollere at Active Directory er konfigurert på en slik måte at den er kompatibel med kravene for enkel pålogging. Hvis du vil ha mer informasjon, kan du se Klargjøre for enkel pålogging.
Trinn 2: Konfigurere en sikkerhetstokentjeneste
Når du har klargjort miljøet for enkel pålogging, må du konfigurere en ny lokal STS-infrastruktur for å gi lokale og eksterne Active Directory-brukere tilgang til nettskytjenesten via enkel pålogging. Hvis du har en STS i produksjonsmiljøet, kan du bruke den til enkel pålogging i stedet for å konfigurere en ny infrastruktur, så sant den støttes av Windows Azure AD.
Windows Azure AD har foreløpig støtte for disse sikkerhetstokentjenestene:
Active Directory Federation Services (AD FS) 2.0
Du finner mer informasjon om hvordan du kommer i gang med å konfigurere en AD FS 2.0 STS ved å følge trinnene i Bruke AD FS 2.0 for å implementere og administrere enkel pålogging.
Shibboleth Identity Provider
Du finner mer informasjon om hvordan du kommer i gang med å konfigurere en Shibboleth STS ved å følge trinnene i Bruke Shibboleth Identity Provider for å implementere enkel pålogging.
Trinn 3: Konfigurere katalogsynkronisering
Du må konfigurere Active Directory-synkronisering også for at enkel pålogging skal fungere riktig. Dette omfatter klargjøring, aktivering, verktøyinstallasjon og kontroll av katalogsynkronisering. Når du har kontrollert katalogsynkroniseringen, aktiverer du synkroniserte brukere. Hvis du bruker enkel pålogging og katalogsynkronisering sammen, sikrer du at brukeridentiteter blir vist riktig i skytjenesten.
Du finner mer informasjon om hvordan du kommer i gang med å konfigurere katalogsynkronisering ved å følge trinnene i Veikart for Directory-synkronisering.
Trinn 4: Kontrollere enkel pålogging
Når du har konfigurert Active Directory-synkroniseringsmiljøet, må du kontrollere at STSen fungerer som forventet, og at enkel pålogging er konfigurert på riktig måte for nettskytjenesten.
Hvis du vil ha mer informasjon, kan du se Kontrollere og behandle enkel pålogging med AD FS 2.0 eller Kontrollere enkel pålogging med Shibboleth, avhengig av STS-typen du konfigurerer.