Izvozi (0) Natisni
Razširi vse

Priprave na enotno prijavo

Objava: junij 2012

Posodobitev: februar 2013

Velja za: Office 365, Windows Intune

noteOpomba
Ta tema vsebuje pomoč, ki velja za več Microsoftovih storitev v oblaku, vključno s storitvama Windows Intune in Office 365.

Z enotno prijavo lahko vaši uporabniki dostopajo do storitev Microsoftova storitev v oblaku z obstoječimi poverilnicami podjetja iz imenika Active Directory (uporabniško ime in geslo). Če želite nastaviti enotno prijavo, morate kot storitev varnostnih žetonov (STS) konfigurirati najmanj en strežnik v podjetju. STS omogoča povezovanje identitet, tako pa se razširi uporaba centraliziranega preverjanja pristnosti, pooblastil ter enotnih prijav za spletne programe in storitve kjer koli, tudi v nadziranih in partnerskih omrežjih ter v oblaku. Ko konfigurirate storitev varnostnih žetonov za dostop z enotno prijavo s storitvijo Microsoftova storitev v oblaku, ustvarite tudi povezano zaupanje med storitvijo varnostnih žetonov v podjetju ter povezano domeno, ki ste jo določili v storitvi Windows Azure Active Directory.

Storitev Windows Azure AD podpira enotno prijavo z eno od naslednjih storitev varnostnih žetonov:

  • Active Directory Federation Services (AD FS) 2.0

  • Shibboleth Identity Provider

Naslednji razdelek tega članka vključuje prednosti, izkušnje uporabnikov ter zahteve, povezane z enotno prijavo. Opisuje tudi, kako preverite, da namestitev imenika Active Directory izpolnjuje zahteve za enotno prijavo.

V tem članku

Prednosti uporabe enotne prijave

Enotna prijava ima za uporabnike jasno prednost: omogoča jim uporabo poverilnic podjetja za dostop do storitev v oblaku, na katero je naročeno vaše podjetje. Ni se jim treba posebej vpisati in si zapomniti več gesel.

Enotna prijava ne prinaša le prednosti za uporabnike, temveč tudi za skrbnike:

  • Nadzor pravilnikov: Skrbnik lahko nadzira pravilnike za račune prek imenika Active Directory, kar mu omogoča, da upravlja pravilnike za gesla, omejitve za delovne postaje, kontrolnikov za zaklep računov in še več, ne da bi moral izvesti dodatna opravila v oblaku.

  • Nadzor dostopa: Skrbnik lahko omeji dostop do storitev v oblaku, tako da je mogoče do nje dostopati prek okolja podjetja, prek spletnih strežnikov ali obojega.

  • Manjše število zahtev za podporo: Pozabljena gesla so pogost razlog za zahteve za podporo v vseh podjetjih. Če si morajo uporabniki zapomniti manj gesel, je tudi manj možnosti, da jih pozabijo.

  • Varnost: Identitete uporabnikov in podatki o njih so zaščiteni, ker so vsi strežniki in storitve, ki se uporabljajo z enotno prijavo, vodeni in nadzorovani v podjetju.

  • Podpora za strogo preverjanje pristnosti: Če želite, lahko za storitev v oblaku uporabite strogo preverjanje pristnosti (tudi dvojno preverjanje pristnosti). V tem primeru morate vzpostaviti enotno prijavo. Uporaba strogega preverjanja pristnosti je omejena. Če želite kot storitev varnostnih žetonov uporabiti AD FS 2.0, za več informacij glejte razdelek Konfiguracija dodatnih možnosti za AD FS 2.0.

V tem članku

Izkušnje uporabnikov z enotno prijavo na različnih lokacijah

Uporabniška izkušnja z enotno prijavo je odvisna od tega, kako je računalnik uporabnika povezan v omrežje podjetja, kakšen operacijski sistem je nameščen v njem in kako je skrbnik konfiguriral infrastrukturo storitve varnostnih žetonov.

V nadaljevanju so opisane izkušnje uporabnikov z enotno prijavo iz omrežja:

  • Službeni računalnik v omrežju podjetja: Ko so uporabniki v pisarni in prijavljeni v omrežje podjetja, jim enotna prijava omogoča dostop do storitev v oblaku, ne da bi se morali znova prijaviti.

Če se uporabnik ne povezuje iz omrežja podjetja ali do storitev dostopa s posebnimi napravami ali programi, kot je opisano v nadaljevanju, morate uvesti proxy za storitev varnostnih žetonov. Če želite kot storitev varnostnih žetonov uporabiti AD FS 2.0, boste v razdelku Plan for and deploy AD FS 2.0 for use with single sign-on našli več informacij o nastavitvi proxyja AD FS 2.0.

  • Službeni računalnik, gostovanje: Uporabniki, ki so v računalnike, pridružene domeni, prijavljeni s poverilnicami podjetja, niso pa povezani v omrežje podjetja (uporabljajo na primer službeni računalnik doma ali v hotelu), lahko uporabljajo storitev v oblaku.

  • Domači ali javni računalnik: Ko uporabnik uporablja računalnik, ki ni pridružen domeni podjetja, se mora vpisati s poverilnicami podjetja, da lahko dostopa do storitev v oblaku.

  • Pametni telefon: Če želi uporabnik dostopati do storitev v oblaku, kot je Microsoft Exchange Online, s storitvijo Microsoft Exchange ActiveSync, se mora prijaviti s svojimi poverilnicami podjetja.

  • Microsoft Outlook ali drugi e-poštni odjemalci: Uporabnik se mora vpisati s poverilnicami podjetja, da lahko dostopa do e-pošte, če uporablja Outlook ali e-poštni odjemalec, ki ni del paketa Office, na primer odjemalec IMAP ali POP.

    Če kot storitev varnostnega žetona uporabljate Shibboleth in želite enotno prijavo uporabljati v pametnem telefonu, s programom Microsoft Outlook ali drugimi odjemalci, morate namestiti razširitev Shibboleth Identity Provider ECP. Če želite izvedeti več, glejte razdelek Konfiguracija programa Shibboleth za uporabo pri enotni prijavi.

Če želite več informacij o enotni prijavi s storitvijo AD FS 2.0, glejte razdelek How single sign-on works (Kako deluje enotna prijava).

V tem članku

Zahteve za enotno prijavo

Če želite uporabljati enotno prijavo, morate:

  • uvesti in uporabljati imenik Active Directory v strežniku Windows Server 2003 R2, Windows Server 2008 ali Windows Server 2008 R2 z delujočo ravnjo mešanega ali izvirnega načina.

  • Če želite kot storitev varnostnih žetonov uporabljati AD FS 2.0, morate v strežniku Windows Server 2008 ali Windows Server 2008 R2 prenesti, namestiti in uvesti storitve AD FS 2.0. Če se uporabniki ne bodo prijavljali iz omrežja podjetja, morate uvesti tudi proxy AD FS 2.0.

  • Na podlagi storitve varnostnih žetonov, ki jo nastavite, z ustreznim orodjem Modul Windows Azure Active Directory za Windows PowerShell vzpostavite povezano zaupanje med storitvijo varnostnih žetonov v podjetju in storitvijo Windows Azure AD.

  • Namestiti zahtevane posodobitve za Microsoftova storitev v oblaku na strani za prenose storitev v oblaku, ter tako zagotovite, da bodo imeli uporabniki nameščene najnovejše posodobitve za Windows 7, Windows Vista ali Windows XP. Stran za prenose storitev v oblaku odprete tako, da se prijavite v portal storitev v oblaku in v razdelku Viri kliknete Prenosi. Funkcije storitve storitev v oblaku ne bodo delovale pravilno, če ne boste imeli ustrezne različice operacijskega sistema, brskalnika in druge programske opreme. Če želite izvedeti več, glejte razdelek Programske zahteve.

V tem članku

Priprava imenika Active Directory

V imeniku Active Directory morate konfigurirati določene nastavitve, da bo pravilno deloval z enotno prijavo. Predvsem morate za vsakega uporabnika na določen način nastaviti glavno ime uporabnika (UPN), ki ga imenujemo tudi uporabniško ime za prijavo.

noteOpomba
Če želite imenik Active Directory pripraviti za enotno prijavo, vam priporočamo, da zaženete Microsoftovo orodje za pripravljenost na uvedbo. To orodje pregleda okolje Active Directory in ustvari poročilo z informacijami o tem, ali ste pripravljeni za vzpostavitev enotne prijave. Če niste, navede, kaj morate spremeniti, da boste pripravljeni. Pregleda na primer, ali imajo vaši uporabniki glavna imena uporabnika in ali so ta imena v pravilni obliki.

Odvisno od domen, ki jih imate, boste morda morali narediti naslednje:

  • Glavno ime uporabnika mora biti določeno in uporabnik ga mora poznati.

  • Pripona glavnega imena uporabnika mora biti del domene, ki ste jo izbrali za enotno prijavo.

  • Domena, ki jo boste povezali, mora biti registrirana kot javna domena pri registratorju domen ali v vaših javnih strežnikih DNS.

  • Če želite ustvariti glavna imena uporabnika, upoštevajte navodila v temi imenika Active Directory – Dodajanje pripon glavnega imena uporabnika. Ne pozabite, da smejo glavna imena uporabnikov, ki se uporabljajo za enotno prijavo, vsebovati samo črke, številke, pike, vezaje in podčrtaje.

  • Če domena imenika Active Directory ni javna domena (na primer če se konča s pripono ».local«), morate nastaviti glavno ime uporabnika s pripono domene, ki jo je mogoče registrirati kot javno. Priporočamo, da uporabite domeno, ki jo uporabniki že poznajo, na primer domeno iz njihovega poštnega naslova.

  • Če ste že nastavili sinhronizacijo imenika Active Directory, se morda glavno ime uporabnika ne bo ujemalo z glavnim imenom na kraju uporabe, določenem v imeniku Active Directory. Če želite to težavo odpraviti, spremenite glavno ime uporabnika z ukazom »cmdlet« Set-MsolUserPrincipalName v orodju Modul Windows Azure Active Directory za Windows PowerShell.

V tem članku

Naslednji korak

Ko ste pripravljeni na enotno prijavo, morate nastaviti svojo storitev varnostnih žetonov. Podrobna navodila si ogledate tako, da kliknete eno od spodnjih povezav, odvisno od možnosti storitve varnostnih žetonov, ki jo bo uporabljala vaša organizacija.

noteOpomba
V posameznih temah na povezavah do možnosti storitev varnostnih žetonov so opisani koraki za nastavitev uvedbe določene storitve varnostnih žetonov v podjetju. Upoštevajte korake samo za eno od možnosti storitve varnostnih žetonov ter z njimi konfigurirajte enotno prijavo s storitvijo Windows Azure AD.

V tem članku

Glejte tudi

Ali vam je bilo to v pomoč?
(Preostali znaki: 1500)
Zahvaljujemo se vam za povratne informacije

Vsebina skupnosti

Dodaj
Pokaži:
© 2014 Microsoft