Routekaart voor eenmalige aanmelding

Gepubliceerd: april 2012

Van toepassing op: Office 365, Windows Intune

Met eenmalige aanmelding, ook identiteitsfederatie genoemd, hebben u en uw gebruikers toegang tot Microsoft-cloudservices met de bedrijfsreferenties van Active Directory. Zonder eenmalige aanmelding moeten u, de beheerder, en uw gebruikers afzonderlijke gebruikersnamen en wachtwoorden blijven gebruiken voor uw online en lokale accounts. Eenmalige aanmelding vereist zowel een infrastructuur voor de beveiligingstokenservice (STS) en Active Directory-synchronisatie.

Het volgende diagram toont hoe uw lokale Active Directory en uw STS-serverfarm interactie aangaan met het Windows Azure Active Directory-identiteitsplatform om toegang mogelijk te maken voor een of meer Microsoft-cloudservices. Wanneer u eenmalige aanmelding instelt, stelt u een federatieve vertrouwensrelatie vast tussen uw STS en het Windows Azure AD -verificatiesysteem. Lokale Active Directory-gebruikers krijgen verificatietokens van uw lokale STS waarmee de gebruikersaanvragen via de federatieve vertrouwensrelatie worden omgeleid. Op die manier kunnen gebruikers naadloos toegang krijgen tot de Microsoft-cloudservices waarop u zich hebt geabonneerd. Ze hoeven zich dus niet meer met verschillende referenties aan te melden.

Stap 1: Eenmalige aanmelding voorbereiden

Om u voor te bereiden op eenmalige aanmelding kunt u alvast informatie inwinnen over de voordelen van eenmalige aanmelding en wat uw gebruikers ervaren wanneer ze vanaf verschillende locaties verbinding maken. U dient u er ook van te vergewissen dat uw omgeving aan de vereisten voor eenmalige aanmelding voldoet en te controleren of uw Active Directory is ingesteld op een wijze die compatibel is met de vereisten voor eenmalige aanmelding. Zie Eenmalige aanmelding voorbereiden voor meer informatie.

Stap 2: Uw lokale beveiligingstokenservice instellen

Nadat u uw omgeving hebt voorbereid op eenmalige aanmelding, moet u een nieuwe lokale STS-infrastructuur instellen om uw lokale en externe Active Directory-gebruikers van eenmalige aanmelding op de nieuwe cloudservice te voorzien. Als uw productieomgeving momenteel beschikt over een STS, kunt u deze gebruiken voor de implementatie van eenmalige aanmelding. U hoeft dan geen nieuwe infrastructuur in te stellen zolang deze door Windows Azure AD wordt ondersteund.

Windows Azure AD ondersteunt momenteel een van de volgende beveiligingstokenservices:

• Active Directory Federation Services (AD FS) 2.0

  Voor meer informatie over hoe u aan de slag kunt met het instellen van een AD FS 2.0 STS volgt u de stappen in Eenmalige aanmelding implementeren en beheren met AD FS 2.0.

• Identiteitsprovider Shibboleth

  Voor meer informatie over hoe u aan de slag kunt met het instellen van een Shibboleth STS volgt u de stappen in Eenmalige aanmelding implementeren met de Shibboleth-identiteitsprovider.

Stap 3: Adreslijstsynchronisatie instellen

U moet ook Active Directory-synchronisatie instellen om eenmalige aanmelding correct te laten werken. Dit omvat het voorbereiden op en het activeren en installeren van een hulpprogramma en het controleren van adreslijstsynchronisatie. Nadat u adreslijstsynchronisatie hebt gecontroleerd, kunt u uw gesynchroniseerde gebruikers activeren. Door eenmalige aanmelding en adreslijstsynchronisatie in combinatie te gebruiken, worden gebruikers-id's correct weergegeven in de cloud service.

Voor meer informatie over hoe u aan de slag kunt met het instellen van adreslijstsynchronisatie, volgt u de stappen in Routekaart voor adreslijstsynchronisatie.

Stap 4: Eenmalige aanmelding controleren

Nadat u de omgeving voor Active Directory-synchronisatie hebt ingesteld, moet u vervolgens controleren dat uw STS naar behoren functioneert en dat eenmalige aanmelding correct is ingesteld voor uw cloudservice.

Zie voor meer informatie Eenmalige aanmelding verifiëren en beheren met AD FS 2.0 of Eenmalige aanmelding verifiëren met Shibboleth, afhankelijk van het STS-type dat u wilt instellen.