Förbereda för enkel inloggning
Utgivet: juni 2012
Gäller för: Office 365, Windows Intune
Anteckning
Det här avsnittet innehåller onlinehjälp som gäller flera Microsoft-molntjänster, däribland Windows Intune och Office 365.
Med enkel inloggning kan användarna komma åt en Microsoft-molntjänst med sina befintliga Active Directory-autentiseringsuppgifter för företaget (användarnamn och lösenord). Om du vill konfigurera enkel inloggning måste du konfigurera minst en lokal server som en STS (Security Token Service). En STS möjliggör identitetsfederation, utökar centraliserad autentisering, auktorisering och SSO till webbprogram och -tjänster oavsett var de finns, inklusive perimeternätverk, partnernätverk och molnet. När du konfigurerar en STS för åtkomst via enkel inloggning med en Microsoft-molntjänst, skapar du ett federerat förtroende mellan lokala STS och den federerade domän du har angett i Windows Azure Active Directory.
Windows Azure AD stöder enkel inloggning med någon av följande STS (Security Token Service):
Active Directory Federation Services (AD FS) 2.0
Shibboleth Identity Provider
I nästa avsnitt av den här artikeln diskuteras fördelarna med, användarupplevelsen av och krav för, enkel inloggning. Här visas även hur du verifierar att Active Directory-konfigurationen är kompatibel med kraven på enkel inloggning.
I den här artikeln
Fördelar med enkel inloggning
Användarupplevelse av enkel inloggning på olika platser
Krav för enkel inloggning
Förbereda Active Directory
Nästa steg
Fördelar med enkel inloggning
Det finns klara fördelar för användarna när du konfigurerar enkel inloggning: de kan använda sina autentiseringsuppgifter för företaget för att komma åt molntjänsten som företaget prenumererar på. Användarna behöver inte logga in igen eller lägga flera lösenord på minnet.
Förutom användarfördelarna finns det även flera fördelar för administratörer.
Principkontroll: Administratören kan kontrollera kontoprinciper genom Active Directory, vilket ger administratörer möjlighet att hantera lösenordsprinciper, datorbegränsningar, spärrkontroller med mera, utan att behöva utföra ytterligare uppgifter i molnet.
Åtkomstkontroll: Administratören kan begränsa åtkomsten till molntjänsten så att tjänsterna kan kommas åt via företagsmiljön, via onlineservrar eller båda.
Färre supportsamtal: Bortglömda lösenord är en vanlig orsak till supportsamtal på alla företag. Om användare har färre lösenord att komma ihåg är det mindre risk för att de glömmer bort dem.
Säkerhet: Användaridentiteter och användarinformation skyddas eftersom alla servrar och tjänster som används inom enkel inloggning hanteras och kontrolleras på plats.
Support för stark autentisering: Du kan använda start autentisering (även kallad tvåfaktorsautentisering) med molntjänsten. Om du använder stark autentisering måste du dock använda enkel inloggning. Det finns begränsningar vad gäller bruket av stark autentisering. Information om hur du använder AD FS 2.0 för din STS finns i Configuring Advanced Options for AD FS 2.0 (Konfigurera avancerade alternativ för AD FS 2.0).
I den här artikeln
Användarupplevelse av enkel inloggning på olika platser
En användares upplevelse av enkel inloggning varierar beroende på hur användarens dator är ansluten till ditt företags nätverk, vilket operativsystem som körs på datorn och hur administratören har konfigurerat STS-infrastrukturen.
I det följande beskrivs användarens upplevelse med enkel inloggning inifrån nätverket:
- Jobbdator i ett företagsnätverk: När användarna är på jobbet och inloggade på företagsnätverket gör enkel inloggning att de har åtkomst till tjänsterna i molntjänsten utan att logga in igen.
Om användaren ansluter någonstans utifrån företagets nätverk, eller använder tjänsterna från vissa enheter eller program, som i de följande situationerna, måste du driftsätta en STS-proxy. Mer information om hur du använder AD FS 2.0 för din STS och konfigurerar en AD FS 2.0-proxy finns i Plan for and deploy AD FS 2.0 for use with single sign-on.
Arbetsdator, nätverksväxling: Användare som är inloggade på en domänansluten dator med sina företagsautentiseringsuppgifter, men inte anslutna till företagsnätverket (t.ex. när det gäller en arbetsdator hemma eller på ett hotell), kan komma åt molntjänsten.
Hemdator eller offentlig dator: När en användare använder en dator som inte är ansluten till företagsdomänen måste användaren logga in med sina företagsautentiseringsuppgifter för att få åtkomst till molntjänsten.
Smartphone: För att få åtkomst till molntjänsten från en smart phone, t.ex. till Microsoft Exchange Online med Microsoft Exchange ActiveSync, måste användaren logga in med företagets autentiseringsuppgifter.
Microsoft Outlook eller andra e-postklienter: Användaren måste logga in med företagets autentiseringsuppgifter för att få åtkomst till sin e-post om de använder Outlook eller en e-postklient som inte ingår i Office, t.ex. en IMAP- eller POP-klient.
Om du använder Shibboleth som STS måste du installera ECP-tillägget Shibboleth Identity Provider så att enkel inloggning fungerar med en Smartphone, Microsoft Outlook och andra klienter. Mer information finns i Konfigurera Shibboleth för enkel inloggning.
Mer information om enkel inloggning med AD FS 2.0 finns i How single sign-on works (Så här fungerar enkel inloggning).
I den här artikeln
Krav för enkel inloggning
För att kunna använda enkel inloggning måste du:
Ha driftsatt Active Directory och köra det i Windows Server 2003 R2, Windows Server 2008 eller Windows Server 2008 R2 med en funktionell nivå i blandat eller enhetligt läge.
Om du planerar att använda AD FS 2.0 som STS måste du hämta, installera och distribuera AD FS 2.0 på en Windows Server 2008- eller Windows Server 2008 R2-server. Om användarna ansluter utifrån företagets nätverk måste du dessutom driftsätta en AD FS 2.0-proxy.
Beroende på vilken typ av STS du kommer att konfigurera använder du rätt Windows Azure Active Directory-modulen för Windows PowerShell för att skapa ett federerat förtroende mellan din lokala STS och Windows Azure AD.
Installera nödvändiga uppdateringar för en Microsoft-molntjänst från hämtningssidan för molntjänster för att garantera att dina användare kör de senaste uppdateringarna av antingen Windows 7, Windows Vista eller Windows XP. För att få åtkomst till hämtningssidan för molntjänsten loggar du in på molntjänsten-portalen och klickar på Hämtningsbara filer under Resurser. Funktionerna i molntjänsten fungerar inte ordentligt utan rätt version av operativsystem, webbläsare och program. Mer information finns i Programvarukrav.
I den här artikeln
Förbereda Active Directory
Active Directory måste ha vissa inställningar konfigurerade för att fungera korrekt med enkel inloggning. I synnerhet måste UPN (User Principal Name), även kallat inloggningsnamn, konfigureras på ett visst sätt för varje användare.
Anteckning
För att förbereda din Active Directory-miljö för enkel inloggning rekommenderar vi att du kör Microsoft Deployment Readiness Tool (Distributionsförberedelseverktyget för Microsoft). Det här verktyget undersöker din Active Directory-miljö och tar fram en rapport som innehåller information om du är redo eller inte för att konfigurera enkel inloggning. Om inte, så listar programmet de ändringar du behöver genomföra för att förbereda för enkel inloggning. Det kontrollerar t.ex. om dina användare har UPN-namn eller inte, och om UPN-namne i så fall har korrekt format.
Beroende på hur dina olika domäner ser ut kan du behöva göra något av följande:
UPN måste konfigureras och vara känt för användaren.
UPN-domänsuffixet måste ligga under den domän som du valde att konfigurera för enkel inloggning.
Dem domän som du valde som federerad domän måste vara registrerad som en offentlig domän hos en domänregistrator eller på någon av dina offentliga DNS-servrar.
Information om hur du skapar UPN finns i Active Directory-hjälpavsnittet Lägg till UPN-suffix (User Principal Name). Tänk på att UPN:er som används för enkel inloggning bara får innehålla bokstäver, siffror, punkter, bindestreck och understreck.
Om ditt Active Directory-domännamn inte tillhör en offentlig domän på Internet (om det t.ex. slutar med ett ".local"-suffix) måste du skapa en UPN som har ett domänsuffix som ligger under ett Internetdomännamn som kan registreras offentligt. Vi rekommenderar att du använder något som är bekant för dina användare, t.ex. deras e-postdomän.
Om du redan har konfigurerat Active Directory-synkronisering kanske användarens UPN inte är associerat med användarens lokala UPN som definierats i Active Directory. Åtgärda detta genom att byta namn på användarens UPN med cmdlet:en Set-MsolUserPrincipalName i Windows Azure Active Directory-modulen för Windows PowerShell.
I den här artikeln
Nästa steg
Nu när du har förberett för enkel inloggning behöver du konfigurera din STS. Klicka på en av länkarna nedan för att visa stegvisa instruktioner, baserat på vilket STS-alternativ organisationen kommer att använda.
STS-alternativ 1: Använda AD FS 2.0 för att implementera och hanterar enkel inloggning
STS-alternativ 2: Använda Shibboleth Identity Provider för att implementera enkel inloggning.
Anteckning
Vart och ett av avsnitten i STS-alternativlänkarna ovan innehåller stegvisa instruktioner för hur du konfigurerar den specifika STS-implementeringen i den lokala miljön. Du behöver bara följa stegen för ett av STS-alternativen när du konfigurerar enkel inloggning med Windows Azure AD.
I den här artikeln
Se även
Koncept
Översikt över enkel inloggning
Översikt över katalogsynkronisering