DirSync com logon único

  • Artigo

Atualizado: 25 de junho de 2015

Aplica-se a: Azure, Office 365, Power BI, Windows Intune

O logon único, também chamado de federação de identidade, é um cenário de integração de diretório baseado em híbrido de Azure Active Directory que você pode implementar quando deseja simplificar a capacidade do usuário de acessar diretamente serviços de nuvem, como Office 365 ou Microsoft Intune, com suas credenciais corporativas existentes do Active Directory. Sem um logon único, seus usuários necessitariam manter nomes de usuário e senhas separadas para suas contas online e locais.

Um STS ativa a federação de identidade, estendendo a noção de autenticações, autorizações, e aplicações e serviços SSO para Web centralizadas localizadas virtualmente em qualquer lugar, incluindo redes de perímetro, redes de parceiros e a nuvem. Quando você configura um STS para fornecer acesso de logon único com um serviço de nuvem da Microsoft, cria ao mesmo tempo uma relação de confiança federada entre o STS local e o domínio federado que você especificou no locatário do AD do Microsoft Azure.

O AD do Azure suporta cenários de logon únicos que usam quaisquer dos seguintes tokens de segurança:

  • Serviços de Federação do Active Directory (AD FS)

  • Provedor de Identidade Shibbileth

  • Provedores de identidade terceirizados

O diagrama a seguir ilustra como seu Active Directory local e seu farm de servidores de STS interagem com o sistema de autenticação do AD do Azure para prover acesso a um ou mais serviços em nuvem. Quando você configura o logon único, você estabelece uma confiança federada entre seu STS e o sistema de autenticação do AD do Azure. Os usuários do Active Directory locais obtêm tokens de autenticação dos seus STS locais que redirecionam os pedidos dos usuários através da confiança federada. Isto permite aos seus usuários acessar diretamente os serviços em nuvem que você assinou sem a necessidade de fazer o logon com diferentes credenciais.

Directory sync with single sign-on scenario

Benefícios de implementar este cenário

Há um benefício claro para os usuários ao implementar o logon único: ele permite que eles usem suas credenciais corporativas para acessar o serviço de nuvem ao qual sua empresa se inscreveu. Os usuários não precisam se inscrever de novo ou lembrar de várias senhas.

Além dos benefícios para o usuário, há muitos benefícios para os administradores:

  • Controle de política: O administrador pode controlar as políticas de conta por meio do Active Directory, o que fornece ao administrador a capacidade de gerenciar políticas de senha, restrições de estação de trabalho, controles de bloqueio e muito mais, sem precisar executar tarefas adicionais na nuvem.

  • Controle de acesso: O administrador pode restringir o acesso ao serviço de nuvem para que os serviços possam ser acessados por meio do ambiente corporativo, por meio de servidores online ou ambos.

  • Chamadas de suporte reduzidas: Senhas esquecidas são uma fonte comum de chamadas de suporte em todas as empresas. quando os usuários têm menos senhas para se lembrar, é menos provável que as esqueçam.

  • Segurança: As identidades e as informações do usuário são protegidas porque todos os servidores e serviços usados no logon único são dominados e controlados localmente.

  • Suporte para autenticação forte: Você pode usar autenticação forte (também chamada de autenticação de dois fatores) com o serviço de nuvem. No entanto, se usar esse recurso, você deve usar o logon único. Há restrições no uso da autenticação forte. Se você planeja usar o AD FS para seu STS, consulte Configurando opções avançadas para o AD FS 2.0 para obter mais informações.

Qual é o impacto desse cenário na experiência de logon baseada na nuvem dos seus usuários

A experiência do usuário com logon único varia com base na maneira como o computador do usuário está conectado na rede da sua empresa, no sistema operacional que o computador do usuário está executando e como o administrador configurou sua infraestrutura STS para interagir com o AD do Azure.

A seguir, estão descritas as experiências do usuário com logon único na rede:

  • Computador de trabalho em uma rede corporativa: quando os usuários estão no trabalho e conectados à rede corporativa, o logon único permite que eles acessem o serviço de nuvem sem entrar novamente.

Se o usuário esta-se conectando desde fora da rede da sua empresa ou acessando a serviços desde dispositivos ou aplicativos particulares, tais como nas situações seguintes, você deve implementar o proxy STS. Se você planeja usar o AD FS para seu STS, consulte Checklist: Use o AD FS para implementar e gerenciar o logon único para obter mais informações sobre como configurar um proxy do AD FS.

  • Computador de trabalho, roaming: Os usuários conectados a computadores ingressados no domínio com suas credenciais corporativas, mas que não estão conectados à rede corporativa (por exemplo, um computador de trabalho em casa ou em um hotel), podem acessar o serviço de nuvem.

  • Computador doméstico ou público: Quando o usuário está usando um computador que não está ingressado no domínio corporativo, o usuário deve entrar com suas credenciais corporativas para acessar o serviço de nuvem.

  • Telefone inteligente: Em um telefone inteligente, para acessar o serviço de nuvem, como Microsoft Exchange Online usando o Microsoft Exchange ActiveSync, o usuário deve entrar com suas credenciais corporativas.

  • Microsoft Outlook ou outros clientes de email: o usuário deve entrar com suas credenciais corporativas para acessar seu email se estiver usando Outlook ou um cliente de email que não faça parte do Office; por exemplo, um cliente IMAP ou POP.

    Se você está usando o Shibboleth como seu STS, assegure-se de instalar a extensão ECP do Provedor de Identidade Shibboleth para que o logon único funcione com um smart phone, Microsoft Outlook ou outros clientes. Para obter mais informações, consulte Configurar o Shibboleth para uso com logon único.

Pronto para implementar este cenário para a sua organização?

Nesse caso, recomendamos que você comece seguindo as etapas fornecidas no roteiro de logon único.

Consulte Também

Conceitos

Integração de diretório
Determinar qual cenário de integração de diretório usar