Eenmalige aanmelding voorbereiden

Gepubliceerd: juni 2012

Van toepassing op: Office 365, Windows Intune

Met eenmalige aanmelding kunnen gebruikers toegang krijgen tot een cloud service van Microsoft met hun bestaande bedrijfsreferenties van Active Directory (gebruikersnaam en wachtwoord). Als u eenmalige aanmelding wilt instellen, moet u een of meer lokale servers configureren als een STS (beveiligingstokenservice). Met een STS wordt identiteitsfederatie ingeschakeld, waarmee centraal uitgevoerde verificatie, autorisatie en eenmalige aanmelding bij webtoepassingen en -services die zich virtueel overal kunnen bevinden, wordt uitgebreid. Dit geldt onder meer voor perimeternetwerken, partnernetwerken en de cloud. Wanneer u een STS configureert voor toegang via eenmalige aanmelding met een cloud service van Microsoft , maakt u een federatieve vertrouwensrelatie tussen uw lokale STS en het federatieve domein dat u hebt opgegeven in Windows Azure Active Directory.

Windows Azure AD ondersteunt eenmalige aanmelding met een van de volgende beveiligingstokenservices:

• Active Directory Federation Services (AD FS) 2.0

• Identiteitsprovider Shibboleth

De volgende sectie van dit artikel bespreekt de voordelen van, de gebruikerservaringen met en vereisten voor eenmalige aanmelding. U kunt hier ook zien hoe u controleert of uw Active Directory-instellingen compatibel zijn met de vereisten voor eenmalige aanmelding.

In dit artikel

• Voordelen van eenmalige aanmelding

• Gebruikerservaring met eenmalige aanmelding op verschillende locaties

• Vereisten voor eenmalige aanmelding

• Active Directory voorbereiden

• Volgende stap

Voordelen van eenmalige aanmelding

Er is een duidelijk voordeel voor gebruikers wanneer u eenmalige aanmelding instelt: ze kunnen met hun bedrijfsreferenties toegang krijgen tot de cloud service, waar uw bedrijf op is geabonneerd. Gebruikers hoeven zich niet opnieuw aan te melden en hoeven niet meerdere wachtwoorden te onthouden.

Naast de voordelen voor de gebruiker zijn er veel voordelen voor beheerders:

• Beleidsbeheer: De beheerder kan accountbeleid beheren via Active Directory, waardoor de beheerder de mogelijkheid heeft wachtwoordbeleid, werkstationbeperkingen, vergrendelingen en nog veel meer te beheren, zonder dat hij aanvullende taken in de cloud hoeft uit te voeren.

• Toegangsbeheer: De beheerder kan de toegang beperken voor de cloud service, zodat de services via de bedrijfsomgeving, online servers of beide kunnen worden benaderd.

• Minder oproepen voor ondersteuning: Vergeten wachtwoorden zijn een veelvoorkomende bron van ondersteuningsoproepen in alle bedrijven. Als gebruikers minder wachtwoorden hoeven te onthouden, zijn ze minder geneigd ze te vergeten.

• Beveiliging: De identiteiten en gegevens van gebruikers zijn beveiligd omdat alle servers en services die bij eenmalige aanmelding worden gebruikt, lokaal worden beheerd.

• Ondersteuning voor sterke verificatie: U gebruikt sterke verificatie (ook wel verificatie met twee factoren genoemd) bij de cloud service. Echter, als u sterke verificatie gebruikt, moet u eenmalige aanmelding gebruiken. Er zijn beperkingen op het gebruik van sterke verificatie. Als u AD FS 2.0 wilt gebruiken voor uw STS, raadpleegt u Geavanceerde opties configureren voor AD FS 2.0 voor meer informatie

In dit artikel

Gebruikerservaring met eenmalige aanmelding op verschillende locaties

De gebruikerservaring met eenmalige aanmelding varieert afhankelijk van hoe de computer van de gebruiker op het bedrijfsnetwerk is aangesloten, welk besturingssysteem er wordt gebruikt en hoe de beheerder de STS-infrastructuur heeft geconfigureerd.

Hierna volgen gebruikerservaringen met eenmalige aanmelding vanuit het netwerk zelf:

• De werkcomputer op een bedrijfsnetwerk: Wanneer gebruikers aan het werk zijn en zich bij het bedrijfsnetwerk hebben aangemeld, kunnen ze met eenmalige aanmelding toegang krijgen tot de cloud service zonder dat ze zich opnieuw hoeven aan te melden.

Als de gebruiker van buiten verbinding maakt met het bedrijfsnetwerk of toegang zoekt tot services van bepaalde apparaten of toepassingen, zoals in de volgende situaties, moet u een STS-proxy implementeren. Als u van plan bent AD FS 2.0 voor uw STS te gebruiken, raadpleegt u Plan for and deploy AD FS 2.0 for use with single sign-on voor meer informatie over het instellen van een AD FS 2.0-proxy.

• Zwervende werkcomputer: Gebruikers die met hun bedrijfsreferenties zijn aangemeld bij computers die deel uitmaken van een domein maar niet verbonden zijn met het bedrijfsnetwerk (bijvoorbeeld een computer thuis, of in een hotel), kunnen toegang verkrijgen tot de cloud service.

• Een computer thuis of een openbare computer: Wanneer de gebruiker een computer gebruikt die geen deel uitmaakt van het bedrijfsdomein, moet de gebruiker zich aanmelden met de bedrijfsreferenties om toegang te verkrijgen tot de cloud service.

• Smartphone: Om vanaf een smartphone toegang te verkrijgen tot de cloud service, zoals Microsoft Exchange Online, met Microsoft Exchange ActiveSync, moet de gebruiker zich aanmelden met de bedrijfsreferenties.

• Microsoft Outlook of andere e-mailclients: De gebruiker moet zich aanmelden met zijn bedrijfsreferenties om toegang te krijgen tot zijn e-mail als hij gebruikmaakt van Outlook of een e-mailclient die geen deel uitmaakt van Office, bijvoorbeeld een IMAP- of POP-client.

  Als u Shibboleth als uw STS gebruikt, installeert u de ECP-extensie van de Shibboleth-identiteitsprovider om ervoor te zorgen dat eenmalige aanmelding correct werkt met smartphones, Microsoft Outlook of andere clients. Zie Shibboleth configureren voor gebruik met eenmalige aanmelding voor meer informatie.

Zie voor meer informatie over eenmalige aanmelding met AD FS 2.0 Hoe eenmalige aanmelding werkt.

In dit artikel

Vereisten voor eenmalige aanmelding

Als u wilt gebruikmaken van eenmalige aanmelding, is het volgende vereist:

• Active Directory moet geïmplementeerd zijn en uitgevoerd worden onder Windows Server 2003 R2, Windows Server 2008 of Windows Server 2008 R2 met functionaliteitsniveau ingesteld op native of gemengde modus.

• Als u AD FS 2.0 als uw STS wilt gebruiken, moet u AD FS 2.0 downloaden, installeren en implementeren op een Windows Server 2008- of Windows Server 2008 R2-server. Als gebruikers van buitenaf verbinding met het bedrijfsnetwerk willen maken, moet u een AD FS 2.0-proxy implementeren.

• Afhankelijk van het type STS dat wordt ingesteld, moet een passende Windows Azure Active Directory-module voor Windows PowerShell worden gebruikt om een federatieve vertrouwensrelatie vast te leggen tussen uw lokale STS en Windows Azure AD .

• Installeer de vereiste updates voor een cloud service van Microsoft van deze downloadpagina voor cloudservices om ervoor te zorgen dat uw gebruikers de laatste updates van Windows 7, Windows Vista of Windows XP gebruiken. Voor toegang tot de downloadpagina voor de cloud service meldt u zich aan bij de de cloud service-portal en klikt u onder Bronnen op Downloads. De functies in de cloud service werken niet correct zonder de juiste versie van het besturingssysteem, de browser en de software. Zie Softwarevereisten voor meer informatie.

In dit artikel

Active Directory voorbereiden

In Active Directory moeten bepaalde instellingen zijn geconfigureerd om op de juiste wijze met eenmalige aanmelding te kunnen werken. Met name de UPN (User Principal Name), ook bekend als de aanmeldingsnaam van de gebruiker, moet voor elke gebruiker op een specifieke manier worden ingesteld.

Afhankelijk van elk van de domeinen moet u mogelijk het volgende doen:

• De UPN moet worden ingesteld en bij de gebruiker bekend zijn.

• Het domeinachtervoegsel van de UPN moet tot het domein behoren dat u voor eenmalige aanmelding wilt instellen.

• Het domein dat u wilt federeren moet geregistreerd staan als een openbaar domein met een domeinregistrar of binnen uw eigen openbare DNS-servers.

• Volg de instructies in het Active Directory-onderwerp UPN-achtervoegsels toevoegen als u UPN's wilt maken. Houd er rekening mee dat UPN's die voor eenmalige aanmelding worden gebruikt alleen letters, cijfers, punten, verbindingsstreepjes en liggende streepjes mogen bevatten.

• Als de domeinnaam van uw Active Directory geen openbaar internetdomein is (als deze bijvoorbeeld eindigt op een 'lokaal' achtervoegsel), moet u een UPN instellen met een domeinachtervoegsel dat bij een internetdomein behoort dat openbaar kan worden geregistreerd. Wij raden u aan voor uw gebruikers iets bekends te gebruiken, bijvoorbeeld hun e-maildomein.

• Als u de synchronisatie van Active Directory al hebt ingesteld, komt de UPN van de gebruiker mogelijk niet overeen met de lokale UPN van de gebruiker zoals gedefinieerd in de Active Directory. Wijzig de UPN van de gebruiker met de cmdlet Set-MsolUserPrincipalName in Windows Azure Active Directory-module voor Windows PowerShell om dit te corrigeren.

In dit artikel

Volgende stap

Nu u bent voorbereid op eenmalige aanmelding, moet u de STS instellen. Klik voor stapsgewijze instructies op een van de volgende links, afhankelijk van welke STS-optie uw organisatie wil gebruiken.

• STS-optie 1: Eenmalige aanmelding implementeren en beheren met AD FS 2.0

• STS-optie 2: Eenmalige aanmelding implementeren met de Shibboleth-identiteitsprovider.

In dit artikel

Zie ook

Concepten

Routekaart voor eenmalige aanmelding
Routekaart voor adreslijstsynchronisatie