Příprava jednotného přihlašování

Publikováno: červen 2012

Platí pro: Office 365, Windows Intune

Jednotné přihlašování umožňuje uživatelům přistupovat ke cloudové službě společnosti pomocí stávajících podnikových pověření (uživatelské jméno a heslo) služby Active Directory. Pokud budete chtít nastavit jednotné přihlašování, bude nutné nakonfigurovat minimálně jeden místní server jako službu tokenů zabezpečení (STS). Služba STS umožňuje federaci identit, čímž rozšiřuje centralizované ověřování, autorizaci a jednotné přihlašování na webové aplikace a služby nacházející se téměř kdekoli, včetně hraničních sítí, partnerských sítí a cloudu. Když nakonfigurujete službu STS tak, aby poskytovala přístup prostřednictvím jednotného přihlašování pomocí cloudové služby společnosti Microsoft, vytvoříte federovanou důvěryhodnost mezi vašimi místními službami STS a federovanou doménu, kterou jste určili v rámci služby Windows Azure Active Directory.

Služba Windows Azure AD podporuje jednotné přihlašování s jednou z následujících služeb tokenů zabezpečení:

• Active Directory Federation Services (AD FS) 2.0

• Poskytovatel identit Shibboleth

V další části tohoto článku se podíváme na výhody, uživatelské prostředí a požadavky jednotného přihlašování. Ukážeme si také, jak ověřit, že je služba Active Directory nastavena způsobem kompatibilním s požadavky na jednotné přihlašování.

Části tohoto článku

• Výhody používání jednotného přihlašování

• Možnosti uživatelů jednotného přihlašování na různých místech

• Požadavky na jednotné přihlašování

• Příprava služby Active Directory

• Další krok

Výhody používání jednotného přihlašování

Nastavení jednotného přihlašování bude pro uživatele jasným přínosem: umožňuje získat pomocí podnikových pověření přístup ke cloudové službě, kterou si společnost předplatila. Uživatelé se nemusí znovu přihlašovat a pamatovat si několik hesel.

Kromě přínosů pro uživatele získají mnoho výhod i správci.

• Řízení zásad: Správce může řídit zásady účtu pomocí služby Active Directory, která mu propůjčuje možnost spravovat zásady hesel, omezení pracovních stanic, řízení uzamykání apod. bez nutnosti provádět další úlohy v cloudu.

• Řízení přístupu: Správce může omezit přístup ke cloudové službě tak, aby se k ní dalo přistupovat pomocí podnikového prostředí, pomocí online serverů nebo pomocí obou možností.

• Méně telefonátů na oddělení podpory: Ve všech společnostech je obvyklé volat podporu kvůli zapomenutým heslům. Budou-li uživatelé nuceni zapamatovat si méně hesel, nebudou je tolik zapomínat.

• Zabezpečení: Identity uživatelů a informace o nich jsou chráněné, protože všechny servery a služby používané v jednotném přihlašování jsou pod místní kontrolou a řízením.

• Podpora silného ověřování: S cloudovou službou lze používat silné ověřování (také nazývané dvojúrovňové ověřování). Pokud však silné ověřování použijete, musíte použít jednotné přihlašování. Použití silného ověřování podléhá omezením. Pokud pro svou službu STS plánujete používat službu AD FS 2.0, naleznete další informace v tématu Configuring Advanced Options for AD FS 2.0 (Konfigurace pokročilých možností pro službu AD FS 2.0).

Části tohoto článku

Možnosti uživatelů jednotného přihlašování na různých místech

Možnosti jednotlivých uživatelů se u jednotného přihlašování liší podle způsobu připojení počítače uživatele k podnikové síti, podle operačního systému spuštěného v počítači uživatele a podle toho, jak správce nakonfiguroval příslušnou infrastrukturu služeb STS.

Následující část popisuje možnosti uživatele s jednotným přihlašováním z místa uvnitř sítě:

• Pracovní počítač v podnikové síti: Jakmile jsou uživatelé v práci a přihlášeni v podnikové síti, jednotné přihlašování jim umožňuje přistupovat ke cloudové službě bez nutnosti opětovného přihlášení.

Pokud se uživatel připojuje z místa mimo síť společnosti nebo využívá služby z konkrétních zařízení nebo aplikací, například v následujících situacích, je třeba nasadit proxy server služeb STS. Pokud pro svoje služby STS plánujete používat službu AD FS 2.0, naleznete další informace o tom, jak nastavit proxy server služby AD FS 2.0, v tématu Plan for and deploy AD FS 2.0 for use with single sign-on.

• Pracovní počítač, roaming: Uživatelé, kteří jsou pomocí podnikových pověření přihlášeni k počítačům připojeným k doméně, avšak nejsou připojeni k podnikové síti (např. pracovní počítač doma či v hotelu), mají ke cloudové službě přístup.

• Domácí nebo veřejný počítač: Používají-li uživatelé počítač, který není připojen k podnikové doméně, je nutné, aby se přihlásili pomocí podnikových pověření a mohli tak přistupovat k jednotlivým cloudovým službám.

• Smartphone: Chce-li uživatel na svém smartphonu získat přístup ke cloudové službě (například ke službě Microsoft Exchange Online) prostřednictvím protokolu Microsoft Exchange ActiveSync, je nutné, aby se přihlásil prostřednictvím podnikových pověření.

• Microsoft Outlook a další e-mailoví klienti: Pokud uživatelé používají pro přístup k e-mailu aplikaci Outlook nebo e-mailového klienta, který není součástí Office (např. klienta IMAP nebo POP), je nutné, aby se přihlásili pomocí podnikových pověření.

  Pokud jako svoje služby STS používáte poskytovatele identit Shibboleth, nezapomeňte nainstalovat rozšíření ECP poskytovatele identit Shibboleth, aby jednotné přihlašování fungovalo se smartphonem, aplikací Microsoft Outlook a dalšími klienty. Další informace naleznete v tématu Konfigurace poskytovatele identit Shibboleth pro použití s jednotným přihlašováním.

Další podrobnosti o jednotném přihlašování se službou AD FS 2.0 naleznete v tématu How single sign-on works (Jak funguje jednotné přihlašování).

Části tohoto článku

Požadavky na jednotné přihlašování

Chcete-li používat jednotné přihlašování, je nutné:

• Nasadit a spustit službu Active Directory v systému Windows Server 2003 R2, Windows Server 2008 nebo Windows Server 2008 R2 s úrovní funkčnosti ve smíšeném nebo nativním režimu.

• Pokud se svými službami STS plánujete používat službu AD FS 2.0, bude nutné, abyste stáhli, nainstalovali a nasadili službu AD FS 2.0 na serveru se systémem Windows Server 2008 nebo Windows Server 2008 R2. Pokud se bude uživatel přihlašovat z místa mimo podnikovou síť, je dále nezbytné nasadit proxy server služby AD FS 2.0.

• Na základě typu služeb STS, který budete nastavovat, použijte odpovídající Modul Windows Azure Active Directory pro prostředí Windows PowerShell k navázání federované důvěryhodnosti mezi vašimi místními službami a službou Windows Azure AD.

• Nainstalujte potřebné aktualizace cloudové služby společnosti Microsoft ze stránky položek ke stažení pro cloudové služby, a tím zajistěte, aby uživatelé používali nejnovější aktualizace systémů Windows 7, Windows Vista nebo Windows XP. Chcete-li získat přístup ke stránce souborů ke stažení pro cloudovou službu, přihlaste se k portálu cloudové služby a pod položkou Zdroje klikněte na možnost Položky ke stažení. Funkce služeb cloudová služba nebudou bez odpovídající verze operačního systému, prohlížeče a softwaru fungovat správně. Další informace naleznete v tématu Požadavky na software.

Části tohoto článku

Příprava služby Active Directory

Služba Active Directory musí mít nakonfigurována určitá nastavení, jinak nemusí s jednotným přihlašováním pracovat správně. Zejména je nutné pro každého uživatele speciálně nastavit hlavní název uživatele (UPN) neboli přihlašovací jméno.

Možná bude zapotřebí, abyste v závislosti na jednotlivých doménách provedli následující:

• Hlavní název uživatele (UPN) musí být nastaven uživatelem a uživatel jej musí znát.

• Přípona domény hlavního názvu uživatele (UPN) musí spadat pod doménu, kterou se rozhodnete nastavit pro jednotné přihlašování.

• Doména, kterou se rozhodnete federovat, musí být zaregistrována jako veřejná doména u doménového registrátora nebo v rámci vašich vlastních veřejných serverů DNS.

• Chcete-li vytvořit hlavní názvy uživatele (UPN), postupujte podle pokynů v tématu Přidání koncovek hlavního názvu uživatele v části věnované službě Active Directory. Nezapomeňte, že hlavní názvy uživatele (UPN), které se používají pro jednotné přihlašování, mohou obsahovat pouze písmena, číslice, tečky, pomlčky a podtržítka.

• Není-li název domény služby Active Directory veřejnou internetovou doménou (například končí-li příponou „.local“), bude nutné nastavit hlavní název uživatele (UPN) tak, aby měl příponu názvu domény, která spadá pod název internetové domény, který je možné veřejně registrovat. Doporučuje se použít řetězec, který je uživatelům známý, například jejich e-mailovou doménu.

• Jestliže jste již nastavili synchronizaci služby Active Directory, nemusí hlavní název uživatele (UPN) ve službách odpovídat místnímu hlavnímu názvu uživatele (UPN) definovanému ve službě Active Directory. Chcete-li tento problém vyřešit, změňte hlavní název uživatele (UPN) pomocí rutiny Set-MsolUserPrincipalName v nástroji Modul Windows Azure Active Directory pro prostředí Windows PowerShell.

Části tohoto článku

Další krok

Nyní jste připraveni na jednotné přihlašování a je třeba nastavit službu STS. Podrobné pokyny získáte tak, že kliknete na jeden následujících odkazů níže, v závislosti na tom, kterou možnost STS bude vaše organizace používat.

• Možnost STS 1: Implementace a správa jednotného přihlašování pomocí služby AD FS 2.0

• Možnost STS 2: Implementace jednotného přihlášení pomocí poskytovatele identit Shibboleth.

Části tohoto článku

Viz také

Koncepty

Jednotné přihlašování: rozcestník
Synchronizace adresářů: rozcestník