Kertakirjautuminen
Julkaistu: huhtikuu 2012
Tuotteet: Office 365, Windows Intune
Huomautus
Tässä ohjeaiheessa on online-ohjesisältöä, joka liittyy useisiin Microsoftin pilvipalveluihin, kuten Windows Intune -palveluun ja Office 365:een.
Kertakirjautuminen, jota kutsutaan myös tunnistetietojen yhdistämiseksi, sallii sinun ja käyttäjiesi käyttää Microsoftin pilvipalveluita yrityksen Active Directory -tunnistetiedoilla. Jos kertakirjautumista ei käytetä, sinun, järjestelmänvalvojan ja käyttäjien on ylläpidettävä erillisiä käyttäjänimiä ja salasanoja online-tiliä ja paikallista tiliä varten. Kertakirjautuminen edellyttää sekä suojaustunnuspalvelun infrastruktuuria että Active Directory -synkronointia.
Seuraava kaavio havainnollistaa, miten paikallinen Active Directory ja suojaustunnuspalvelun palvelinklusteri tarjoavat pääsyn yhteen tai useampaan Microsoftin pilvipalveluun yhdessä Windows Azure Active Directory -tunnistusympäristön kanssa. Kun määrität kertakirjautumisen, muodostat liittoutuneen luottamuksen suojaustunnuspalvelun ja Windows Azure AD -todentamisjärjestelmän välille. Paikalliset Active Directory -käyttäjät saavat todennustunnukset paikalliselta suojaustunnuspalvelulta, joka ohjaa käyttäjien pyynnöt liittoutuneen luottamuksen kautta. Tämä mahdollistaa sen, että käyttäjät voivat käyttää tilaamiasi Microsoftin pilvipalveluja saumattomasti tarvitsematta kirjautua sisään eri tunnistetiedoilla.
.jpg "Liittoutunut luottamus STS:n ja Windows Azure AD:n välillä")
Vaihe 1: Kertakirjautumiseen valmistautuminen
Valmistaudu kertakirjautumisen käyttöönottoon tutustumalla kertakirjautumisen etuihin sekä siihen, miten palvelu toimii käyttäjien muodostaessa siihen yhteyden eri sijainneista. Varmista myös, että ympäristösi täyttää kertakirjautumisen edellytykset ja että organisaatiosi Active Directory on määritetty tavalla, joka tukee kertakirjautumista. Lisätietoja: Kertakirjautumiseen valmistautuminen.
Vaihe 2: Paikallisen suojaustunnuspalvelun käyttöönotto
Kun olet valmistellut ympäristösi kertakirjautumista varten, ota käyttöön uusi paikallinen suojaustunnuspalvelun infrastruktuuri, joka tarjoaa paikallisille ja etäyhteyttä hyödyntäville Active Directory -käyttäjille kertakirjautumiseen perustuvan pääsyn pilvipalveluun. Jos tuotantoympäristössäsi on jo suojaustunnuspalvelu, voit käyttää sitä kertakirjautumisessa tarvitsematta ottaa käyttöön uutta infrastruktuuria, kunhan vain Windows Azure AD tukee sitä.
Tällä hetkellä Windows Azure AD tukee kumpaakin seuraavista suojaustunnuspalveluista:
Active Directory -liittoutumispalvelut (AD FS) 2.0
Lisätietoja AD FS 2.0 -suojaustunnuspalvelun käyttöönotosta: Kertakirjautumisen toteutus ja hallinta AD FS 2.0:n avulla.
Shibboleth-tunnistuspalvelu
Lisätietoja Shibboleth-suojaustunnuspalvelun käyttöönotosta: Shibboleth-tunnistuspalvelun käyttäminen kertakirjautumisen toteutuksessa.
Muut kolmansia osapuolia edustavat tunnistuspalvelut
Lisätietoja kolmansia osapuolia edustavien kertakirjautumisen tunnistuspalvelujen käyttöönotosta: Kolmansia osapuolia edustavien tunnistuspalvelujen käyttäminen kertakirjautumisen toteutuksessa.
Vaihe 3: Hakemistosynkronoinnin käyttöönotto
Kertakirjautumisen oikea toiminta edellyttää myös Active Directory -synkronoinnin määrittämistä. Määrittämiseen sisältyvät synkronoinnin valmisteleminen, aktivointi, tarkistaminen ja työkalun asentaminen. Kun olet tarkistanut hakemistosynkronoinnin, aktivoit synkronoitavat käyttäjät. Kertakirjautumisen ja hakemistosynkronoinnin käyttäminen yhdessä varmistaa, että käyttäjien tunnistetiedot esitetään pilvipalvelu:ssä oikein.
Lisätietoja hakemistosynkronoinnin käyttöönotosta: Hakemistosynkronointi.
Vaihe 4: Kertakirjautumisen tarkistaminen
Kun olet määrittänyt Active Directory -synkronointiympäristön, tarkista, että suojaustunnuspalvelu toimii oikein ja että kertakirjautuminen on määritetty pilvipalvelun edellyttämällä tavalla.
Saat lisätietoja suojaustunnuspalvelun tyypin mukaisesta ohjeartikkelista Kertakirjautumisen tarkistaminen ja hallinta AD FS 2.0:ssa tai Kertakirjautumisen tarkistaminen Shibboleth-palvelun avulla.