Стратегия внедрения единого входа
Обновлено: 25 июня 2015 г.
Область применения: Azure, Office 365, Power BI, Windows Intune
Единый вход (SSO) позволяет вам и вашим пользователям получать доступ к облачным службам Microsoft с помощью корпоративных учетных данных Active Directory. SSO требует инфраструктуру службы маркеров безопасности (STS), а также синхронизацию Active Directory.
Для реализации SSO требуется выполнить следующие шаги:
Шаг 1. Подготовка к единому входу
Шаг 2. Настройка локальной службы маркеров безопасности
Шаг 3. Настройка синхронизации каталогов
Шаг 4. Проверка единого входа
Шаг 1. Подготовка к единому входу
Чтобы подготовиться, необходимо убедиться, что среда соответствует требованиям единого входа и убедитесь, что ваш клиент Active Directory и Azure Active Directory настроены таким образом, чтобы он был совместим с требованиями единого входа. Дополнительные сведения см. в разделе Подготовка к использованию единого входа.
Шаг 2. Настройка локальной службы маркеров безопасности
После подготовки среды для единого входа потребуется настроить новую локальную инфраструктуру STS для предоставления доступа к облачной службе посредством единого входа местным и удаленным пользователям Active Directory. Если у вас в рабочей среде есть служба stS, ее можно использовать для развертывания единого входа, а не для настройки новой инфраструктуры, если она поддерживается Azure AD.
В настоящий момент Azure AD поддерживает следующие службы маркеров безопасности:
Службы федерации Active Directory (AD FS)
Дополнительные сведения о том, как приступить к настройке службы маркеров безопасности AD FS, выполните действия, описанные в контрольном списке. Используйте AD FS для реализации единого входа и управления им.
Поставщик удостоверений Shibboleth
Дополнительные сведения о том, как приступить к настройке shibboleth STS, выполните действия, описанные в разделе Use Shibboleth Identity Provider для реализации единого входа.
Прочие сторонние поставщики удостоверений
Дополнительные сведения о том, как приступить к настройке сторонних поставщиков удостоверений для единого входа, см. в Azure Active Directory списке совместимости федерации: сторонние поставщики удостоверений, которые можно использовать для реализации единого входа.
Шаг 3. Настройка синхронизации каталогов
Чтобы единый вход работал правильно, необходимо также настроить синхронизацию Active Directory. В этот процесс входит подготовка к использованию средства синхронизации, его установка и активация и проверка синхронизации службы каталогов. Проверив функционирование синхронизации службы каталогов, можно приступать к активации синхронизированных пользователей. Использование единого входа и синхронизации каталогов обеспечивает правильное представление удостоверений пользователей в облачной службе.
Дополнительные сведения о том, как приступить к настройке синхронизации каталогов, выполните действия, описанные в стратегии синхронизации каталогов.
Шаг 4. Проверка единого входа
После завершения настройки среды синхронизации Active Directory необходимо проверить соответствие функционирования STS ожидаемому результату, а также корректность настройки единого входа для облачной службы.
Дополнительные сведения см. в разделе "Проверка единого входа" и управление им с помощью AD FS или проверка единого входа в Shibboleth в зависимости от типа stS, который вы настраиваете.