DirSync mit einmaligem Anmelden

Aktualisiert: 25. Juni 2015

Gilt für: Azure, Office 365, Power BI, Windows Intune

Single Sign-On, auch als Identitätsverbund bezeichnet, ist ein hybridbasiertes Verzeichnisintegrationsszenario von Azure Active Directory, das Sie implementieren können, wenn Sie die Möglichkeit ihres Benutzers vereinfachen möchten, nahtlos auf Clouddienste zuzugreifen, z. B. Office 365 oder Microsoft Intune, mit ihren vorhandenen Active Directory-Unternehmensanmeldeinformationen. Ohne das einmalige Anmelden müssten die Benutzer separate Benutzernamen und Kennwörter für ihre Onlinekonten und lokalen Konten führen.

Ein STS schafft die Voraussetzungen für den Identitätsverbund und erweitert das Konzept von zentralisierter Authentifizierung, Autorisierung und SSO auf Webanwendungen und -dienste an nahezu jedem Ort, einschließlich Umkreisnetzwerken, Partnernetzwerken und der Cloud. Wenn Sie einen STS konfigurieren, um Zugriff mit einmaligem Anmelden mit einem Microsoft-Clouddienst zu bieten, erstellen Sie eine Verbundvertrauensstellung zwischen Ihrem lokalen STS und der Verbunddomäne, die Sie in Ihrem Azure AD-Mandanten angegeben haben.

Azure AD unterstützt Szenarien für das einmalige Anmelden, die auf einem der folgenden Sicherheitstokendienste basieren:

  • Active Directory-Verbunddienste (Active Directory Federation Services, AD FS)

  • Shibboleth-Identitätsanbieter

  • Identitätsanbieter von Drittherstellern

Im folgenden Diagramm wird veranschaulicht, wie Ihr lokales Active Directory und Ihre STS-Serverfarm mit dem Azure AD-Authentifizierungssystem interagieren, um den Zugriff auf einen oder mehrere Clouddienste zu ermöglichen. Bei der Einrichtung des einmaligen Anmeldens stellen Sie eine Verbundvertrauensstellung zwischen Ihrem STS und dem Azure AD-Authentifizierungssystem her. Lokale Active Directory-Benutzer erhalten Authentifizierungstoken von Ihrem lokalen STS. Diese dienen dazu, Benutzeranforderungen über die Verbundvertrauensstellung umzuleiten. Auf diese Weise können die Benutzer nahtlos auf die von Ihnen abonnierten Clouddienste zugreifen, ohne sich unter anderen Anmeldeinformationen anzumelden.

Directory sync with single sign-on scenario

Vorteile der Implementierung dieses Szenarios

Es gibt einen klaren Vorteil für Benutzer, wenn Sie einmaliges Anmelden implementieren: Sie können ihre Unternehmensanmeldeinformationen verwenden, um auf den Clouddienst zuzugreifen, den Ihr Unternehmen abonniert hat. Benutzer müssen sich nicht nochmals anmelden und sich mehrere Kennwörter merken.

Zusätzlich zu den Benutzervorteilen gibt es zahlreiche Vorteile für Administratoren:

  • Richtliniensteuerelement: Der Administrator kann Kontorichtlinien über Active Directory steuern, wodurch der Administrator Kennwortrichtlinien, Arbeitsstationseinschränkungen, Sperrsteuerelemente und vieles mehr verwalten kann, ohne zusätzliche Aufgaben in der Cloud ausführen zu müssen.

  • Zugriffssteuerung: Der Administrator kann den Zugriff auf den Clouddienst einschränken, sodass auf die Dienste über die Unternehmensumgebung, über Onlineserver oder beides zugegriffen werden kann.

  • Reduzierte Supportanrufe: Vergessene Kennwörter sind eine häufige Quelle für Supportanrufe in allen Unternehmen. Wenn Benutzer sich weniger Kennwörter merken müssen, ist die Wahrscheinlichkeit geringer, dass sie sie vergessen.

  • Sicherheit: Benutzeridentitäten und Informationen sind geschützt, da alle Server und Dienste, die in einmaligem Anmelden verwendet werden, mastert und lokal gesteuert werden.

  • Unterstützung für starke Authentifizierung: Sie können eine starke Authentifizierung (auch als zweistufige Authentifizierung bezeichnet) mit dem Clouddienst verwenden. Wenn Sie jedoch strenge Authentifizierung verwenden, müssen Sie einmaliges Anmelden verwenden. Für die Verwendung der strengen Authentifizierung gelten Einschränkungen. Wenn Sie AD FS für Ihr STS verwenden möchten, finden Sie weitere Informationen unter Konfigurieren erweiterter Optionen für AD FS 2.0 .

Auswirkungen dieses Szenarios auf die cloudbasierte Benutzeranmeldung

Wie ein Benutzer das einmalige Anmelden nutzt, hängt von folgenden Faktoren ab: der Verbindung zwischen Benutzercomputer und Unternehmensnetzwerk, dem auf dem Benutzercomputer ausgeführten Betriebssystem und der Art und Weise, wie der Administrator die STS-Infrastruktur für die Interaktion mit Azure AD konfiguriert hat.

Im Folgenden wird die Funktionalität für Benutzer beschrieben, die sich von innerhalb des Netzwerks anmelden:

  • Arbeitscomputer in einem Unternehmensnetzwerk: Wenn Benutzer arbeiten und sich beim Unternehmensnetzwerk angemeldet haben, ermöglicht ihnen einmaliges Anmelden den Zugriff auf den Clouddienst, ohne sich erneut anzumelden.

Wenn der Benutzer von außerhalb eine Verbindung mit dem Unternehmensnetzwerk herstellt oder von bestimmten Geräten oder Anwendungen auf Dienste zugreift (wie unten beschrieben), müssen Sie einen STS-Proxy bereitstellen. Wenn Sie AD FS für Ihr STS verwenden möchten, finden Sie unter Checkliste: Verwenden sie AD FS, um einmaliges Anmelden zu implementieren und zu verwalten , um weitere Informationen zum Einrichten eines AD FS-Proxys zu finden.

  • Arbeitscomputer, Roaming: Benutzer, die mit ihren Unternehmensanmeldeinformationen bei domänengebundenen Computern angemeldet sind, aber nicht mit dem Unternehmensnetzwerk verbunden sind (z. B. ein Arbeitscomputer zu Hause oder in einem Hotel), können auf den Clouddienst zugreifen.

  • Privater oder öffentlicher Computer: Wenn der Benutzer einen Computer verwendet, der nicht mit der Unternehmensdomäne verbunden ist, muss sich der Benutzer mit seinen Unternehmensanmeldeinformationen anmelden, um auf den Clouddienst zuzugreifen.

  • Smartphone: Auf einem Smartphone muss sich der Benutzer mit seinen Unternehmensanmeldeinformationen anmelden, um auf den Clouddienst wie z. B. Microsoft Exchange Online mit Microsoft Exchange ActiveSync zuzugreifen.

  • Microsoft Outlook oder andere E-Mail-Clients: Der Benutzer muss sich mit seinen Unternehmensanmeldeinformationen anmelden, um auf seine E-Mails zuzugreifen, wenn er Outlook oder einen E-Mail-Client verwendet, der nicht Teil Office ist, z. B. ein IMAP- oder POP-Client.

    Wenn Sie Shibboleth als Ihren STS verwenden, müssen Sie die ECP-Erweiterung des Shibboleth-Identitätsanbieters installieren, damit das einmalige Anmelden mit einem Smartphone, Microsoft Outlook oder anderen Clients funktioniert. Weitere Informationen finden Sie unter Configure Shibboleth for use with single sign-on.

Sind Sie bereit, dieses Szenario in Ihrer Organisation zu implementieren?

Wenn ja, empfehlen wir Ihnen, mit den schritten zu beginnen, die in der Roadmap für einmaliges Anmelden angegeben sind.

Weitere Informationen

Konzepte

Verzeichnisintegration
Bestimmen des zu verwendenden Verzeichnisintegrationsszenarios