Implementace bezproblémového jednotného přihlašování

  • 11 min

IT tým Společnosti Contoso chce umožnit uživatelům používat jednotné přihlašování pro přístup k místním prostředkům i prostředkům v Azure. Bezproblémové jednotné přihlašování microsoftu Entra je technologie, která funguje se synchronizací hodnot hash hesel nebo předávacím ověřováním.

Kromě toho, když je povolené bezproblémové jednotné přihlašování, uživatelé zřídka potřebují zadat svoje uživatelská jména a nikdy se jejich hesla k přihlášení k Microsoft Entra ID. Tato funkce poskytuje uživatelům společnosti Contoso snadný přístup ke cloudovým aplikacím bez nutnosti jakýchkoli dalších místních komponent.

Podporované scénáře předávacího ověřování

Předávací ověřování Microsoft Entra pomáhá zajistit, aby služby, které spoléhají na ID Microsoft Entra, vždy ověřují hesla vůči místní instanci SLUŽBY AD DS.

A screenshot of the Microsoft Entra Connect Configuration Wizard, User Sign-In page. The administrator has selected Pass-through authentication and also the Enable single sign-on check box.

Předávací ověřování Microsoft Entra můžete nakonfigurovat pomocí Připojení Microsoft Entra, který používá místního agenta, který naslouchá externím požadavkům na ověření hesla. Tento agent můžete nasadit na jeden nebo více serverů, abyste zajistili vysokou dostupnost. Tento server není nutné nasadit do hraniční sítě, protože veškerá komunikace je pouze odchozí.

Měli byste se připojit k serveru, na kterém běží předávací ověřovací agent, do domény SLUŽBY AD DS, kde se nacházejí uživatelé. Než nasadíte předávací ověřování Microsoft Entra, měli byste vědět, které scénáře ověřování jsou podporované a které ne.

Předávací ověřování můžete použít pro následující scénáře ověřování:

  • Přihlášení uživatelů ke všem aplikacím založeným na webovém prohlížeči, které podporuje Microsoft Entra ID.

  • Přihlášení uživatelů k aplikace Office lications, které podporují moderní ověřování.

    Poznámka:

    Mezi tyto aplikace Office patří Office 2019, Office 2016 a Office 2013 s moderním ověřováním.

  • Přihlášení uživatelů k klientům aplikace Microsoft Outlook pomocí starších protokolů, jako jsou protokol Exchange ActiveSync, SMTP (Simple Mail Transfer Protocol), PROTOKOL POP (Post Office Protocol) a PROTOKOL IMAP (Internet Message Access Protocol).

  • Přihlášení uživatelů k Skype pro firmy aplikaci, která podporuje moderní ověřování, včetně online a hybridních topologií.

  • Připojení k doméně Microsoft Entra pro zařízení s Windows 10

  • Hesla aplikací pro vícefaktorové ověřování

Nepodporované scénáře předávacího ověřování

I když předávací ověřování podporuje nejběžnější scénáře ověřování, stále existují některé scénáře, ve kterých tuto metodu nemůžete použít. Mezi tyto scénáře patří:

  • Přihlášení uživatelů ke starším klientským aplikacím Office s výjimkou Outlooku

    Poznámka:

    Tyto starší klientské aplikace zahrnují Office 2010 a Office 2013 bez moderního ověřování.

  • Přístup ke sdílení kalendáře a informacím o volném čase v hybridních prostředích Exchange jenom v Office 2010

  • Přihlášení uživatelů k Skype pro firmy klientských aplikací bez moderního ověřování

  • Přihlášení uživatelů k prostředí Windows PowerShell verze 1.0

  • Detekce uživatelů s nevracenými přihlašovacími údaji

  • Scénáře, které vyžadují službu Microsoft Entra Domain Services Služba Microsoft Entra Domain Services vyžaduje, aby tenanti měli povolenou synchronizaci hodnot hash hesel, takže tenanti, kteří používají pouze předávací ověřování, nebudou v těchto scénářích fungovat.

  • Scénáře, které vyžadují Microsoft Entra Připojení Health Předávací ověřování není integrované se službou Microsoft Entra Připojení Health.

  • Pokud používáte program Apple Device Enrollment Program (Apple DEP), který používá Pomocníka s nastavením iOS, nemůžete použít moderní ověřování, protože není podporované. Registrace zařízení Apple DEP do Intune se nezdaří pro spravované domény, které používají předávací ověřování. Zvažte použití aplikace Portál společnosti Intune jako alternativu.

Jak předávací ověřování funguje

Než nasadíte předávací ověřování, měli byste vědět, jak funguje a jak se tato metoda ověřování liší od služby AD FS. Předávací ověřování není jen jednodušší formou ověřování AD FS. Obě metody používají místní infrastrukturu k ověřování uživatelů při přístupu k prostředkům, jako je Microsoft 365, ale ne stejným způsobem.

A screenshot of the Microsoft Entra Connect Configuration Wizard, Configure page. The wizard is ready to configure the following settings: install the Microsoft Entra Connect Authentication Agent for pass-through authentication, enable pass-through authentication, enable managed authentication in Azure, enable SSO, and enable password hash synchronization. The administrator has selected the Start the synchronization process when configuration completes check box.

Předávací ověřování používá k ověřování uživatelů komponentu s názvem Ověřovací agent. Microsoft Entra Připojení nainstaluje ověřovacího agenta během konfigurace.

Po instalaci se ověřovací agent zaregistruje v MICROSOFT Entra ID vašeho tenanta Microsoft 365. Během registrace přiřadí Microsoft Entra ID ověřovacího agenta jedinečný certifikát digitální identity. Tento certifikát (s párem klíčů) umožňuje zabezpečenou komunikaci s ID Microsoft Entra. Registrační postup také sváže ověřovacího agenta s vaším tenantem Microsoft Entra.

Poznámka:

Požadavky na ověření se do ověřovacího agenta nenasdílí. Místo toho se během inicializace ověřovací agent připojí k Microsoft Entra ID přes port 443, který je zabezpečený pomocí vzájemného ověřování. Po navázání připojení poskytuje ID Microsoft Entra ověřovacího agenta přístup k frontě služby Azure Service Bus. Z této fronty ověřovací agent načte a spravuje žádosti o ověření hesla. Z tohoto důvodu neexistuje žádný příchozí provoz, takže není nutné nainstalovat ověřovacího agenta do hraniční sítě.

Příklad

Když pracovníci IT společnosti Contoso povolí předávací ověřování ve svém tenantovi Microsoftu 365 a uživatel se pokusí ověřit v Outlook Web Appu, dojde k následujícím krokům:

  1. Pokud ještě není přihlášený, uživatel se přesměruje na přihlašovací stránku uživatele Microsoft Entra. Na této stránce se uživatel přihlásí pomocí uživatelského jména a hesla. ID Microsoft Entra obdrží žádost o přihlášení a umístí uživatelské jméno a heslo do fronty. Služba tokenů zabezpečení Microsoft Entra (STS) používá k šifrování těchto přihlašovacích údajů veřejný klíč ověřovacího agenta. Služba tokenů zabezpečení načte tento veřejný klíč z certifikátu, který ověřovací agent obdrží během procesu registrace.

    Poznámka:

    I když ID Microsoft Entra dočasně umístí přihlašovací údaje uživatele do fronty služby Azure Service Bus, nikdy se neukládají v cloudu.

  2. Ověřovací agent, který je trvale připojený k frontě služby Azure Service Bus, si všimne změny ve frontě a načte zašifrované přihlašovací údaje z fronty. Vzhledem k tomu, že přihlašovací údaje jsou šifrované pomocí veřejného klíče ověřovacího agenta, používá agent k dešifrování dat svůj privátní klíč.

  3. Ověřovací agent ověří uživatelské jméno a heslo pro místní službu AD DS pomocí standardních rozhraní API systému Windows. V tuto chvíli se tento mechanismus podobá tomu, co služba AD FS používá. Uživatelské jméno může být buď místní výchozí uživatelské jméno, obvykle userPrincipalNamenebo jiný atribut nakonfigurovaný v Microsoft Entra Připojení, označovaný jako alternativní ID.

  4. Místní služba AD DS vyhodnocuje požadavek a vrátí odpovídající odpověď ověřovacímu agentu: úspěch, selhání, vypršení platnosti hesla nebo uzamčení uživatele.

  5. Jakmile obdrží odpověď ze služby AD DS, vrátí ověřovací agent tuto odpověď na ID Microsoft Entra.

  6. Microsoft Entra ID vyhodnotí odpověď a podle potřeby odpoví uživateli. Například Microsoft Entra ID buď přihlásí uživatele okamžitě, nebo požádá o vícefaktorové ověřování. Pokud je přihlášení uživatele úspěšné, uživatel má přístup k aplikaci.

Poznámka:

Při přístupu ke cloudovým prostředkům z počítačů připojených k doméně můžete zvážit nasazení bezproblémového jednotného přihlašování Microsoft Entra společně s předávacím ověřováním. Když tuto funkci nasadíte, budou mít uživatelé přístup ke cloudovým prostředkům bez přihlášení, pokud jsou už přihlášení na svých počítačích připojených k podnikové doméně pomocí svých přihlašovacích údajů k doméně.

Další čtení

Další informace najdete v následujících dokumentech.