DirSync com single Sign-On

Atualizado: 25 de junho de 2015

Aplica-se a: Azure, Office 365, Power BI, Windows Intune

O sign-on único, também chamado federação de identidade, é um cenário de integração de diretórios híbridos de Azure Ative Directory que pode implementar quando pretende simplificar a capacidade do seu utilizador de aceder perfeitamente a serviços na nuvem, como Office 365 ou Microsoft Intune, com as suas credenciais corporativas ative existentes. Sem um único sôs-on, os seus utilizadores teriam de manter nomes de utilizador e palavras-passe separados para as suas contas online e no local.

Uma STS permite a federação de identidade, estendendo a noção de autenticação centralizada, autorização e SSO a aplicações e serviços Web localizados em praticamente qualquer lugar, incluindo redes de perímetro, redes parceiras e a nuvem. Quando configurar um STS para fornecer um único acesso de acesso de acesso com um serviço de cloud microsoft, estará a criar uma confiança federada entre o seu STS no local e o domínio federado que especificou no seu inquilino Azure AD.

Azure AD suporta cenários únicos de inscrição que utilizam qualquer um dos seguintes serviços de ficha de segurança:

  • Serviços de Federação do Active Directory (AD FS)

  • Fornecedor de identidade Shibboleth

  • Fornecedores de identidade de terceiros

O diagrama que se segue ilustra como o seu Ative Directory no local e a sua fazenda de servidorES STS interagem com o sistema de autenticação Azure AD para fornecer acesso a um ou mais serviços na nuvem. Quando configurar uma única inscrição, estabelece-se uma confiança federada entre o seu STS e o sistema de autenticação Azure AD. Os utilizadores locais do Ative Directory obtêm fichas de autenticação a partir do seu STS no local que redirecionam os pedidos dos utilizadores através da confiança federada. Isto permite que os seus utilizadores acedam perfeitamente aos serviços na nuvem a que subscreveu sem precisar de iniciar seduções com diferentes credenciais.

Directory sync with single sign-on scenario

Benefícios da implementação deste cenário

Existe um claro benefício para os utilizadores quando implementa uma única sindificação: permite-lhes usar as suas credenciais corporativas para aceder ao serviço de cloud a que a sua empresa subscreveu. Os utilizadores não têm de voltar a fazer súmis e lembrar-se de várias palavras-passe.

Além dos benefícios do utilizador, existem muitos benefícios para os administradores:

  • Controlo de políticas: O administrador pode controlar as políticas de conta através do Ative Directory, o que dá ao administrador a capacidade de gerir políticas de senhas, restrições de estação de trabalho, controlos de bloqueio e muito mais, sem ter de executar tarefas adicionais na nuvem.

  • Controlo de acesso: O administrador pode restringir o acesso ao serviço de nuvem para que os serviços possam ser acedidos através do ambiente corporativo, através de servidores online, ou ambos.

  • Chamadas de apoio reduzidas: As palavras-passe esquecidas são uma fonte comum de chamadas de apoio em todas as empresas. Se os utilizadores tiverem menos palavras-passe para se lembrarem, são menos propensos a esquecê-las.

  • Segurança: As identidades e informações dos utilizadores estão protegidas porque todos os servidores e serviços utilizados numa única sindes são dominados e controlados no local.

  • Suporte para autenticação forte: Pode utilizar a autenticação forte (também chamada de autenticação de dois fatores) com o serviço de nuvem. No entanto, se utilizar uma autenticação forte, deve utilizar uma única s placar. Existem restrições ao uso de autenticação forte. Se planeia utilizar o AD FS para o seu STS, consulte Opções Avançadas configuradas para AD FS 2.0 para obter mais informações.

Como este cenário impacta a experiência de sign-on baseada na nuvem do seu utilizador

A experiência de um utilizador com um único sinal varia em função da forma como o computador do utilizador está ligado à rede da sua empresa, que sistema operativo o computador do utilizador está a funcionar e como o administrador configura a sua infraestrutura STS para interagir com Azure AD.

O seguinte descreve as experiências do utilizador com um único sinal de insusição a partir da rede:

  • Computador de trabalho numa rede corporativa: Quando os utilizadores estão a trabalhar e se inscrevem na rede corporativa, o único sessão permite-lhes aceder ao serviço de cloud sem voltar a iniciar sessão.

Se o utilizador estiver a ligar-se de fora da rede da sua empresa ou a aceder a serviços de determinados dispositivos ou aplicações, tais como nas seguintes situações, deve implementar um representante sts. Se planeia utilizar o AD FS para o seu STS, consulte Checklist: Use AD FS para implementar e gerir um único sinal para obter mais informações sobre como configurar um proxy AD FS.

  • Computador de trabalho, roaming: Os utilizadores que estejam ligados a computadores ligados ao domínio com as suas credenciais corporativas, mas que não estejam ligados à rede corporativa (por exemplo, um computador de trabalho em casa ou num hotel), podem aceder ao serviço de cloud.

  • Computador doméstico ou público: Quando o utilizador está a utilizar um computador que não está ligado ao domínio corporativo, o utilizador deve iniciar sôs-se com as suas credenciais corporativas para aceder ao serviço de cloud.

  • Telefone inteligente: Num telefone inteligente, para aceder ao serviço de cloud, como Microsoft Exchange Online que utilizam o Microsoft Exchange ActiveSync, o utilizador deve iniciar sedução com as suas credenciais corporativas.

  • Microsoft Outlook ou outros clientes de e-mail: O utilizador deve iniciar sômpa com as suas credenciais corporativas para aceder ao seu e-mail se estiver a utilizar Outlook ou um cliente de e-mail que não faça parte de Office; por exemplo, um cliente IMAP ou POP.

    Se estiver a utilizar o Shibboleth como SEU STS, certifique-se de instalar a extensão ECP do Fornecedor de Identidade Shibboleth para que um único login funcione com um telefone inteligente, Microsoft Outlook ou outros clientes. Para obter mais informações, consulte Configure Shibboleth para uso com um único sinal.

Pronto para implementar este cenário para a sua organização?

Em caso afirmativo, recomendamos que comece por seguir os passos previstos no roteiro de inscrição única.

Consulte também

Conceitos

Integração do diretório
Determinar qual cenário de integração de diretórios a utilizar