تنفيذ تسجيل الدخول الأحادي السلس

  • 11 دقائق

فريق تكنولوجيا المعلومات Contoso يريد طريقة لتمكين المستخدمين من استخدام تسجيل الدخول الأحادي السلس للوصول إلى كل من الموارد الداخلية والموارد في Azure. Microsoft Entra seamless SSO هي تقنية تعمل مع مزامنة تجزئة كلمة المرور أو مصادقة المرور.

بالإضافة إلى ذلك، عند تمكين تسجيل الدخول الأحادي السلس، نادرا ما يحتاج المستخدمون إلى كتابة أسماء المستخدمين الخاصة بهم، ولا تحتاج أبدا إلى كلمات المرور الخاصة بهم لتسجيل الدخول إلى معرف Microsoft Entra. توفر هذه الميزة لمستخدمي Contoso وصولاً سهلاً إلى تطبيقاتهم المستندة إلى السحابة دون الحاجة إلى أي مكونات إضافية في أماكن العمل.

السيناريوهات المعتمدة للمصادقة التمريرية

تساعد مصادقة المرور من Microsoft Entra على ضمان أن الخدمات التي تعتمد على معرف Microsoft Entra تتحقق دائما من صحة كلمات المرور مقابل مثيل AD DS محلي.

A screenshot of the Microsoft Entra Connect Configuration Wizard, User Sign-In page. The administrator has selected Pass-through authentication and also the Enable single sign-on check box.

يمكنك تكوين مصادقة مرور Microsoft Entra باستخدام Microsoft Entra الاتصال، والذي يستخدم وكيلا محليا يستمع لطلبات التحقق من صحة كلمة المرور الخارجية. يمكنك تشغيل هذا العامل إلى خادم واحد أو أكثر لتوفير إتاحة عالية. ليس من الضروري تشغيل هذا الخادم إلى شبكة اتصال محيطة لأن كافة الاتصالات صادرة فقط.

وعليك الانضمام إلى خادم يقوم بتشغيل عامل المصادقة التمريرية إلى مجال AD DS حيث يوجد المستخدمون. قبل نشر مصادقة المرور من Microsoft Entra، يجب أن تعرف سيناريوهات المصادقة المدعومة وأيها غير مدعوم.

يمكنك استخدام المصادقة التمريرية لسيناريوهات المصادقة التالية:

  • تسجيل دخول المستخدم إلى جميع التطبيقات المستندة إلى مستعرض الويب المدعومة بمعرف Microsoft Entra.

  • دخول المستخدم إلى تطبيقات Office التي تدعم المصادقة الحديثة.

    إشعار

    حيث تتضمن تطبيقات Office هذه Office 2019 وOffice 2016 وOffice 2013 مع المصادقة الحديثة.

  • تسجيل دخول المستخدم إلى عملاء Microsoft Outlook باستخدام بروتوكولات قديمة مثل Exchange ActiveSync والبرتوكول البسيط لنقل رسائل البريد بروتوكول نقل البريد البسيط وبروتوكول مكتب البريد وبروتوكول الوصول إلى الرسائل عبر الإنترنت.

  • تسجيل دخول المستخدم إلى تطبيق Skype for Business الذي يدعم المصادقة الحديثة، بما في ذلك المخططات عبر الإنترنت والمختلطة.

  • ينضم مجال Microsoft Entra لأجهزة Windows 10.

  • كلمات مرور التطبيق للمصادقة متعددة العوامل.

وحدات السيناريو غير المعتمدة للمصادقة التمريرية

على الرغم من أن المصادقة التمريرية تدعم معظم سيناريوهات المصادقة الشائعة، فإنه لا تزال هناك بعض السيناريوهات التي لا يمكنك فيها استخدام هذه الطريقة. تتضمن هذه السيناريوهات ما يلي:

  • تسجيلات دخول المستخدم إلى تطبيقات عميل Office القديمة، باستثناء Outlook.

    إشعار

    تتضمن تطبيقات العميل القديمة هذه Office 2010 وOffice 2013 بدون مصادقة حديثة.

  • والوصول إلى مشاركة التقويم ومعلومات التوفر/الانشغال في بيئات المختلطة لـ Exchange على Office 2010 فقط.

  • تسجيلات دخول المستخدم إلى تطبيقات عميل Skype for Business بدون مصادقة حديثة.

  • تسجيلات دخول المستخدم إلى Windows PowerShell الإصدار 1.0.

  • الكشف عن المستخدمين الذين لديهم بيانات اعتماد مسربة.

  • السيناريوهات التي تتطلب خدمات مجال Microsoft Entra. تتطلب Microsoft Entra Domain Services من المستأجرين تمكين مزامنة تجزئة كلمة المرور، لذلك لن يعمل المستأجرون الذين يستخدمون مصادقة المرور فقط في هذه السيناريوهات.

  • السيناريوهات التي تتطلب Microsoft Entra الاتصال Health. مصادقة المرور غير متكاملة مع Microsoft Entra الاتصال Health.

  • إذا كنت تستخدم برنامج تسجيل جهاز Apple ((Apple DEP الذي يستخدم مساعد إعداد iOS، فلا يمكنك استخدام المصادقة الحديثة لأنها غير مدعومة. تسجيل أجهزة Apple DEP في Intune للمجالات المدارة التي تستخدم المصادقة التمريرية لن ينجح. وكبديل لذلك، فكر في استخدام تطبيق Intune Company Portal.

كيفية عمل المصادقة التمريرية

قبل تشغيل المصادقة التمريرية، عليك فهم كيفية عملها وكيف يختلف أسلوب المصادقة هذا عن AD FS. فالمصادقة التمريرية ليست مجرد نموذج أبسط من مصادقة AD FS. حيث تستخدم كلتا الطريقتين البنية الأساسية الداخلية لمصادقة المستخدمين عند الوصول إلى الموارد مثل Microsoft 365، ولكن ليس بنفس الطريقة.

A screenshot of the Microsoft Entra Connect Configuration Wizard, Configure page. The wizard is ready to configure the following settings: install the Microsoft Entra Connect Authentication Agent for pass-through authentication, enable pass-through authentication, enable managed authentication in Azure, enable SSO, and enable password hash synchronization. The administrator has selected the Start the synchronization process when configuration completes check box.

تستخدم المصادقة التمريرية مكونًا يسمى "عامل المصادقة" لمصادقة المستخدمين. يقوم Microsoft Entra الاتصال بتثبيت عامل المصادقة أثناء التكوين.

بعد التثبيت، يسجل عامل المصادقة نفسه في معرف Microsoft Entra لمستأجر Microsoft 365. أثناء التسجيل، يعين معرف Microsoft Entra لعامل المصادقة شهادة هوية رقمية فريدة. تتيح هذه الشهادة (مع مفتاح مزدوج) الاتصال الآمن بمعرف Microsoft Entra. يربط إجراء التسجيل أيضا عامل المصادقة إلى مستأجر Microsoft Entra.

إشعار

لا يتم دفع طلبات المصادقة إلى "عامل المصادقة". بدلا من ذلك، أثناء التهيئة، يتصل عامل المصادقة بمعرف Microsoft Entra عبر المنفذ 443، وهي قناة HTTPS مؤمنة باستخدام المصادقة المتبادلة. بعد تأسيس الاتصال، يوفر معرف Microsoft Entra لعامل المصادقة إمكانية الوصول إلى قائمة انتظار ناقل خدمة Azure. من قائمة الانتظار هذه، يقوم "عامل المصادقة" باسترداد وإدارة طلبات التحقق من صحة كلمة المرور. ولهذا السبب، لا توجد حركة مرور واردة، ولذلك لا يكون من الضروري تثبيت "عامل المصادقة" في الشبكة المحيطة.

مثال

عند تفعيل موظفي تكنولوجيا المعلومات ب Contoso للمصادقة التمريرية على مستأجر Microsoft 365 الخاصة بهم، ويحاول مستخدم المصادقة على Outlook Web App، تحدث الخطوات التالية:

  1. إذا لم تكن قد سجلت الدخول بالفعل، تتم إعادة توجيه المستخدم إلى صفحة تسجيل دخول مستخدم Microsoft Entra. وفي هذه الصفحة، يسجل المستخدم الدخول باستخدام اسم مستخدم وكلمة مرور. يتلقى معرف Microsoft Entra طلب تسجيل الدخول ويضع اسم المستخدم وكلمة المرور في قائمة انتظار. تستخدم خدمة الرمز المميز لأمان Microsoft Entra (STS) المفتاح العام لعامل المصادقة لتشفير بيانات الاعتماد هذه. تسترد خدمة رمز الأمان المميز المفتاح العام من الشهادة التي يتلقاها عامل المصادقة في أثناء عملية التسجيل.

    إشعار

    على الرغم من أن معرف Microsoft Entra يضع بيانات اعتماد المستخدم مؤقتا في قائمة انتظار ناقل خدمة Azure، إلا أنه لا يتم تخزينها أبدا في السحابة.

  2. عامل المصادقة، الذي يظل باستمرار متصلاً بقائمة انتظار Azure Service Bus ، يلاحظ التغيير في قائمة الانتظار ويسترد بيانات الاعتماد المشفرة من قائمة الانتظار. وحيث إن بيانات الاعتماد مشفرة بواسطة المفتاح العام لعامل المصادقة، يستخدم العامل المفتاح الخاص به لفك تشفير البيانات.

  3. يقوم "عامل المصادقة" بالتحقق من صحة اسم المستخدم وكلمة المرور مقابل AD DS الداخلي باستخدام واجهات برمجة تطبيقات Windows القياسية. في هذه المرحلة، هذه الآلية مشابهة للآلية المستخدمة من قبل AD FS. يمكن أن يكون اسم المستخدم إما اسم المستخدم الافتراضي المحلي، عادة userPrincipalName، أو سمة أخرى تم تكوينها في Microsoft Entra الاتصال، والمعروفة باسم المعرف البديل.

  4. يقيم AD DS الداخلي الطلب ويرد الاستجابة المناسبة إلى عامل المصادقة: نجاح أو فشل أو كلمة مرور منتهية الصلاحية أو المستخدم مغلق.

  5. بعد أن يتلقى الاستجابة من AD DS، يقوم عامل المصادقة بإرجاع هذه الاستجابة إلى معرف Microsoft Entra.

  6. يقوم معرف Microsoft Entra بتقييم الاستجابة والاستجابة للمستخدم حسب الاقتضاء. على سبيل المثال، يقوم معرف Microsoft Entra إما بتسجيل دخول المستخدم على الفور، أو يطلب مصادقة متعددة العوامل. إذا كان تسجيل دخول المستخدم ناجحًا، يمكن للمستخدم الوصول إلى التطبيق.

إشعار

يمكنك التفكير في نشر تسجيل الدخول الأحادي السلس من Microsoft Entra مع المصادقة التمريرية لجعل تجربة المستخدم أفضل عند الوصول إلى الموارد المستندة إلى السحابة من أجهزة الكمبيوتر المرتبطة بالمجال. عند تشغيل هذه الميزة، يمكن للمستخدمين الوصول إلى موارد السحابة دون تسجيل الدخول إذا تم تسجيل دخولهم بالفعل على أجهزة الحاسوب المرتبطة بمجال الشركة مع بيانات اعتماد المجال الخاصة بهم.

لقراءة إضافية

لمعرفة المزيد، راجع المستندات التالية.