Přihlašování uživatelů s využitím předávacího ověřování služby Azure Active Directory

Co je předávací ověřování Azure Active Directory?

předávací ověřování Azure Active Directory (Azure AD) umožňuje uživatelům přihlašovat se pomocí stejných hesel k místním i cloudovým aplikacím. Tato funkce zlepšuje zkušenosti uživatelů, protože si nemusejí pamatovat další heslo, a snižuje náklady na helpdesk IT, protože se snižuje pravděpodobnost, že uživatelé zapomenou, jak se přihlásit. Když se uživatelé přihlásí pomocí Azure AD, tato funkce ověří hesla uživatelů přímo proti místní službě Active Directory.

Tato funkce je alternativou k synchronizaci hodnot hash hesel služby Azure AD, která poskytuje stejné výhody cloudového ověřování pro organizace. Nicméně některé organizace, které chtějí vyhovět místním zásadám zabezpečení a hesla služby Active Directory, se můžou rozhodnout použít místo toho předávací ověřování. Přečtěte si tuto příručku , kde najdete porovnání různých metod přihlášení do služby Azure AD a jak zvolit správnou metodu přihlašování pro vaši organizaci.

Předávací ověřování Azure AD

Předávací ověřování můžete kombinovat s funkcí snadného jednotného přihlašování . Když uživatelé přistupují k aplikacím na svých firemních počítačích v podnikové síti, nemusejí zadávat hesla pro přihlášení.

Klíčové výhody použití předávacího ověřování Azure AD

  • Skvělé uživatelské prostředí
    • Uživatelé používají stejná hesla pro přihlášení k místním i cloudovým aplikacím.
    • Uživatelé stráví méně času rozhovorem IT helpdesku při řešení potíží souvisejících s heslem.
    • Uživatelé můžou dokončit samoobslužné úlohy správy hesel v cloudu.
  • Snadné nasazení & spravovat
    • Není potřeba složitá místní nasazení nebo konfigurace sítě.
    • Potřebuje jenom odlehčeného agenta, který se má nainstalovat místně.
    • Žádná režie správy. Agent automaticky přijímá vylepšení a opravy chyb.
  • Zabezpečené
    • Místní hesla se v jakémkoli formuláři nikdy neukládají v cloudu.
    • Chrání vaše uživatelské účty pomocí zásad podmíněného přístupu Azure AD, včetně Multi-Factor Authentication (MFA), blokováním staršího ověřování a filtrováním útoků hrubou silou na hesla.
    • Agent zpřístupňuje jenom odchozí připojení z vaší sítě. Proto neexistuje žádný požadavek na instalaci agenta do hraniční sítě, označované také jako DMZ.
    • Komunikace mezi agentem a službou Azure AD je zabezpečená pomocí ověřování založeného na certifikátech. Tyto certifikáty se v Azure AD automaticky Obnovují každých několik měsíců.
  • Vysoce dostupné
    • Další agenty je možné nainstalovat na několik místních serverů, aby se zajistila vysoká dostupnost žádostí o přihlášení.

Zvýraznění funkcí

  • podporuje přihlášení uživatele do všech aplikací založených na webovém prohlížeči a do Microsoft Office klientských aplikací, které používají moderní ověřování.
  • přihlašovací jména uživatelů můžou být místní výchozí uživatelské jméno ( userPrincipalName ) nebo jiný atribut nakonfigurovaný v Azure AD Connect (známý jako Alternate ID ).
  • Tato funkce bezproblémově funguje s funkcemi podmíněného přístupu , jako je Multi-Factor Authentication (MFA), které vám pomůžou zabezpečit uživatele.
  • Je integrovaná s cloudovou samoobslužnou správou hesel, včetně zpětného zápisu hesla do místní služby Active Directory a ochrany heslem, a to tak, že se hesla běžně používají.
  • Prostředí s více doménovými strukturami se podporují, pokud mezi doménovými strukturami služby AD existují vztahy důvěryhodnosti doménové struktury a pokud je Směrování přípon názvů správně nakonfigurované.
  • Je to bezplatná funkce a nepotřebujete žádné placené edice Azure AD, abyste ji mohli používat.
  • dá se povolit prostřednictvím Azure AD Connect.
  • Používá odlehčeného místního agenta, který naslouchá a reaguje na požadavky na ověření hesla.
  • Instalace více agentů poskytuje vysokou dostupnost žádostí o přihlášení.
  • Chrání místní účty proti útokům prostřednictvím hesla hrubou silou v cloudu.

Další kroky