Klargjøre for enkel pålogging

  • Artikkel

Utgitt: juni 2012

Gjelder for: Office 365, Windows Intune

Obs!

Dette emnet inneholder hjelpeinformasjon som gjelder for flere Microsoft-skytjenester, inkludert Windows Intune og Office 365.

Med enkel pålogging kan brukerne få tilgang til en Microsoft-skytjeneste med sin eksisterende Active Directory-firmalegitimasjon (brukernavn og passord). Når du skal konfigurere enkel pålogging, må du konfigurere én eller flere lokale servere som sikkerhetstokentjeneste (STS). En STS gjør federering av identitet mulig, noe som utvider sentralisert godkjenning og SSO til webprogrammer og -tjenester som befinner seg nær sagt hvor som helst, inkludert perimeternettverk, partnernettverk og skyen. Når du konfigurerer en STS for å gi tilgang til enkel pålogging med en Microsoft-skytjeneste, oppretter du en forbundsklarering mellom lokal STS og forbundsdomenet du angav i Windows Azure Active Directory.

Windows Azure AD støtter enkel pålogging med én av følgende sikkerhetstokentjenester:

  • Active Directory Federation Services (AD FS) 2.0

  • Shibboleth Identity Provider

Det neste avsnittet i denne artikkelen omhandler fordeler ved, brukererfaring med og krav til enkel pålogging. Det viser også hvordan du kontrollerer at Active Directory-konfigurasjonen er kompatibel med kravene for enkel pålogging.

I denne artikkelen

  • Fordeler ved bruk av enkel pålogging

  • Brukeropplevelse ved enkel pålogging på forskjellige steder

  • Krav til enkel pålogging

  • Klargjøre Active Directory

  • Neste trinn

Fordeler ved bruk av enkel pålogging

Det er en klar fordel for brukere når du konfigurerer enkel pålogging: De kan bruke firmalegitimasjonen for å få tilgang til skytjenesten som firmaet har abonnert på. Brukere trenger ikke logge på på nytt og huske flere passord.

I tillegg til brukerfordeler er det mange fordeler for administratorer:

  • Policykontroll: Administratoren kan styre kontopolicyer via Active Directory, som gir administrator muligheten til å håndtere passordpolicyer, arbeidsstasjonsbegrensninger, utestengelseskontroller og mye mer, uten å måtte utføre tilleggsoppgaver i skyen.

  • Tilgangskontroll: Administratoren kan begrense tilgang til skytjenesten slik at tjenestene kan nås via firmamiljøet, via nettservere eller begge deler.

  • Redusert antall kundestøtteoppringinger: Glemte passord er en vanlig kilde til kundestøtteoppringing i alle firmaer. Hvis brukere har færre passord å huske på, er det mindre sannsynlig at de glemmer dem.

  • Sikkerhet: Bruker-IDer og informasjon blir beskyttet fordi alle serverne og tjenestene som brukes i enkel pålogging, håndteres og styres lokalt.

  • Støtte for sterk godkjenning: Du kan bruke sterk godkjenning (kalles også tofaktorgodkjenning) med skytjenesten. Hvis du bruker sterk godkjenning, må du imidlertid bruke enkel pålogging. Det er begrensninger for bruk av sterk godkjenning. Hvis du planlegger å bruke AD FS 2.0 for STS, kan du se Configuring Advanced Options for AD FS 2.0 (Konfigurere avanserte alternativer for AD FS 2.0) for mer informasjon.

I denne artikkelen

Brukeropplevelse ved enkel pålogging på forskjellige steder

En brukers opplevelse av enkel pålogging varierer basert på hvordan brukerens datamaskin er koblet til firmanettverket, hvilket operativsystem brukerens datamaskin kjører, og hvordan administrator har konfigurert STS-infrastrukturen.

Følgende beskriver brukeropplevelsene med enkel pålogging fra innsiden av nettverket:

  • Datamaskin på jobb i et firmanettverk: Når brukerne er på arbeid og logget på firmanettverket, gjør enkel pålogging det mulig for dem å få tilgang til skytjenesten uten å logge på igjen.

Hvis brukeren kobler til fra utsiden av firmanettverket eller bruker tjenester fra bestemte enheter eller programmer, for eksempel i følgende situasjoner, må du distribuere en STS-proxy. Hvis du planlegger å bruke AD FS 2.0 for STS, kan du se Plan for and deploy AD FS 2.0 for use with single sign-on for mer informasjon om hvordan du konfigurerer en AD FS 2.0-proxy.

  • Datamaskin på jobb, roaming: Brukere som er logget på domenetilknyttede datamaskiner med firmalegitimasjonen, men som ikke er koblet til firmanettverket (for eksempel en jobbdatamaskin hjemme eller på et hotell), får tilgang til skytjenesten.

  • Hjemmedatamaskin eller offentlig datamaskin: Når brukeren bruker en datamaskin som ikke er del av firmadomenet, må brukeren logge på med firmalegitimasjonen for å få tilgang til skytjenesten.

  • Smarttelefon: Hvis brukeren skal ha tilgang fra en smarttelefon til skytjenesten, for eksempel Microsoft Exchange Online, ved hjelp av Microsoft Exchange ActiveSync, må brukeren logge på med firmalegitimasjonen.

  • Microsoft Outlook eller andre e-postklienter: Brukeren må logge på med firmalegitimasjonen for å få tilgang til e-posten hvis de bruker Outlook eller en e-postklient som ikke er en del av Office-, for eksempel en IMAP- eller POP-klient.

    Hvis du bruker Shibboleth som STS, må du sørge for å installere ECP-tillegget for identitetsleverandøren for Shibbolet, for at enkel pålogging skal fungere med smarttelefoner, Microsoft Outlook eller andre klienter. Hvis du vil ha mer informasjon, kan du se Konfigurere Shibboleth for bruk med enkel pålogging.

Hvis du vil ha mer informasjon om enkel pålogging med AD FS 2.0, kan du se How single sign-on works (Hvordan enkel pålogging fungerer).

I denne artikkelen

Krav til enkel pålogging

Hvis du vil bruke enkel pålogging, må du:

  • Ha Active Directory distribuert og kjørende i Windows Server 2003 R2, Windows Server 2008 eller Windows Server 2008 R2, med funksjonsnivået blandet eller enhetlig modus.

  • Hvis du planlegger å bruke AD FS 2.0 som STS, må du laste ned, installere og distribuere AD FS 2.0 på en Windows Server 2008- eller Windows Server 2008 R2-server. Hvis brukerne kobler til fra utsiden av firmanettverket, må du i tillegg distribuere en AD FS 2.0-proxy.

  • Velge riktig Windows Azure Active Directory-modul for Windows PowerShell basert på STS-typen som skal konfigureres, når du skal opprette en forbundsklarering mellom lokal STS og Windows Azure AD.

  • Installere nødvendige oppdateringer for en Microsoft-skytjeneste fra nedlastingssiden for skytjenestene, for å sikre at brukerne kjører de nyeste oppdateringene for Windows 7, Windows Vista eller Windows XP. Hvis du vil ha tilgang til nedlastingssiden for skytjenesten, logger du på skytjenesten-portalen og klikker Nedlastinger under Ressurser. Funksjonene i skytjenesten fungerer ikke som de skal uten riktige versjoner av operativsystemer, weblesere og programvare. Hvis du vil ha mer informasjon, kan du se Programvarekrav.

I denne artikkelen

Klargjøre Active Directory

Active Directory må ha bestemte innstillinger konfigurert for å kunne fungere riktig med enkel pålogging. Spesielt må brukerhovednavn (UPN) for hver bruker, også kalt et brukerpåloggingsnavn, være konfigurert på en bestemt måte for hver bruker.

Obs!

Hvis du vil klargjøre Active Directory-miljøet for enkel pålogging, anbefaler vi at du kjører Microsoft-verktøyet for klargjøring av distribusjon. Dette verktøyet undersøker Active Directory-miljøet og oppretter en rapport som inneholder informasjon om du er klar til å konfigurere enkel pålogging. Hvis ikke, vises endringene du må utføre for å klargjøre for enkel pålogging. Det undersøker for eksempel om brukerne har UPN, og om de har riktig format.

Det kan hende du må gjøre ett av følgende, avhengig av hvert enkelt domene:

  • UPN må være angitt og kjent for brukeren.

  • Domenesuffikset for UPN må være under domenet du velger å konfigurere for enkel pålogging.

  • Domenet du velger å bruke i forbund, må være registrert som et offentlig domene hos en domeneregistrator eller på dine egne offentlige DNS-servere.

  • Hvis du vil opprette UPNer, følger du instruksjonene i Active Directory-emnet Add User Principal Name Suffixes (Legg til suffikser for sikkerhetsobjektnavn). Husk at UPNer som brukes til enkel pålogging, kan bare inneholde bokstaver, tall, punktum, bindestreker og understreking.

  • Hvis Active Directory-domenenavnet ikke er et offentlig Internett-domene (for eksempel avsluttes med suffikset .local), må du angi et UPN som har et domenesuffiks som er under et domenenavn som kan registreres offentlig. Vi anbefaler at du bruker noe brukeren kjenner til, for eksempel brukerens e-postdomene.

  • Hvis du allerede har konfigurert Active Directory-synkronisering, er det ikke sikkert at brukerens UPN samsvarer med brukerens lokale UPN som er definert i Active Directory. Dette løser du ved å gi nytt navn til brukerens UPN ved hjelp av cmdleten Set-MsolUserPrincipalName i Windows Azure Active Directory-modul for Windows PowerShell.

I denne artikkelen

Neste trinn

Nå når du har klargjort for enkel pålogging, må du konfigurere STS. Du finner trinnvise instruksjoner ved å klikke én av koblingene nedenfor, avhengig av hvilket STS-alternativ organisasjonen skal bruke.

Obs!

Alle emnene i koblingene for STS-alternativer ovenfor inneholder en fremgangsmåte for hvordan du konfigurerer den spesifikke STS-implementeringen i ditt lokale miljø. Du trenger bare å følge fremgangsmåten for ett av STS-alternativene når du skal konfigurere enkel pålogging med Windows Azure AD.

I denne artikkelen

Se også

Konsepter

Veikart for enkel pålogging
Veikart for Directory-synkronisering