Authentification unique transparente Azure Active DirectoryAzure Active Directory Seamless Single Sign-On

Qu’est-ce que l’authentification unique transparente Azure Active Directory ?What is Azure Active Directory Seamless Single Sign-On?

L’authentification unique transparente Azure Active Directory connecte automatiquement les utilisateurs lorsque leurs appareils d’entreprise sont connectés au réseau de l’entreprise.Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. Lorsque cette fonctionnalité est activée, les utilisateurs n’ont plus besoin de taper leur mot de passe pour se connecter à Azure AD ni même, dans la plupart des cas, leur nom d’utilisateur.When enabled, users don't need to type in their passwords to sign in to Azure AD, and usually, even type in their usernames. Cette fonctionnalité offre à vos utilisateurs un accès facilité à vos applications cloud sans nécessiter de composants locaux supplémentaires.This feature provides your users easy access to your cloud-based applications without needing any additional on-premises components.

L’authentification unique transparente peut être combinée avec la synchronisation de hachage de mot de passe et l’authentification directe.Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods. L’authentification unique transparente n’est pas applicable aux services de fédération Active Directory (AD FS).Seamless SSO is not applicable to Active Directory Federation Services (ADFS).

Authentification unique transparente

Important

L’authentification unique transparente a besoin uniquement que l’appareil de l’utilisateur soit joint au domaine, mais elle n’est pas utilisée sur des appareils joints à Azure AD ou joints à Azure AD Hybride.Seamless SSO needs the user's device to be domain-joined only, but it is not used on Azure AD Joined or Hybrid Azure AD joined devices. L’authentification unique sur des appareils joints à Azure AD, joints à Azure AD Hybride et inscrits auprès d’Azure AD opère en fonction du jeton d’actualisation principal.SSO on Azure AD joined, Hybrid Azure AD joined, and Azure AD registered devices works based on the primary refresh token.

Principaux avantagesKey benefits

  • Une meilleure expérience utilisateurGreat user experience
    • Les utilisateurs sont automatiquement connectés aux applications cloud et locales.Users are automatically signed into both on-premises and cloud-based applications.
    • Les utilisateurs n’ont pas à saisir leur mot de passe plusieurs fois.Users don't have to enter their passwords repeatedly.
  • Facile à déployer et à gérerEasy to deploy & administer
    • Aucun composant local supplémentaire n’est nécessaire pour que cela fonctionne.No additional components needed on-premises to make this work.
    • Fonctionne avec n’importe quelle méthode d’authentification cloud - Synchronisation de hachage de mot de passe ou Authentification directe.Works with any method of cloud authentication - Password Hash Synchronization or Pass-through Authentication.
    • Peut être déployée pour certains utilisateurs ou pour l’ensemble de vos utilisateurs à l’aide d’une stratégie de groupe.Can be rolled out to some or all your users using Group Policy.
    • Inscrivez des appareils non-Windows 10 auprès d’Azure AD sans avoir besoin d’une infrastructure AD FS.Register non-Windows 10 devices with Azure AD without the need for any AD FS infrastructure. Cette fonctionnalité exige que vous utilisiez la version 2.1 ou supérieure du client workplace-join.This capability needs you to use version 2.1 or later of the workplace-join client.

Présentation des fonctionnalitésFeature highlights

  • Le nom d’utilisateur peut être soit le nom d’utilisateur local par défaut (userPrincipalName), soit un autre attribut configuré dans Azure AD Connect (Alternate ID).Sign-in username can be either the on-premises default username (userPrincipalName) or another attribute configured in Azure AD Connect (Alternate ID). Les deux cas d’utilisation fonctionnent car l’authentification unique transparente utilise la revendication securityIdentifier dans le ticket Kerberos pour rechercher l’objet utilisateur correspondant dans Azure AD.Both use cases work because Seamless SSO uses the securityIdentifier claim in the Kerberos ticket to look up the corresponding user object in Azure AD.
  • L’authentification unique transparente est une fonctionnalité opportuniste.Seamless SSO is an opportunistic feature. Si elle échoue pour une raison quelconque, l’expérience de connexion utilisateur retrouve son comportement normal (l’utilisateur doit alors entrer son mot de passe dans la page de connexion).If it fails for any reason, the user sign-in experience goes back to its regular behavior - i.e, the user needs to enter their password on the sign-in page.
  • Si une application (par exemple, https://myapps.microsoft.com/contoso.com) transfère un paramètre domain_hint (OpenID Connect) ou whr (SAML), correspondant à votre locataire, ou encore un paramètre login_hint, correspondant à l’utilisateur, dans sa requête de connexion Azure AD, les utilisateurs sont automatiquement connectés, sans qu’ils n’aient à entrer leurs nom d’utilisateur et mot de passe.If an application (for example, https://myapps.microsoft.com/contoso.com) forwards a domain_hint (OpenID Connect) or whr (SAML) parameter - identifying your tenant, or login_hint parameter - identifying the user, in its Azure AD sign-in request, users are automatically signed in without them entering usernames or passwords.
  • Les utilisateurs obtiennent également une expérience de connexion silencieuse si une application (par exemple, https://contoso.sharepoint.com) envoie des demandes de connexion aux points de terminaison d'Azure AD définis en tant que locataires ; c'est-à-dire, https://login.microsoftonline.com/contoso.com/<..> ou https://login.microsoftonline.com/<tenant_ID>/<..> au lieu du point de terminaison commun d’Azure AD ; c'est-à-dire, https://login.microsoftonline.com/common/<...>.Users also get a silent sign-on experience if an application (for example, https://contoso.sharepoint.com) sends sign-in requests to Azure AD's endpoints set up as tenants - that is, https://login.microsoftonline.com/contoso.com/<..> or https://login.microsoftonline.com/<tenant_ID>/<..> - instead of Azure AD's common endpoint - that is, https://login.microsoftonline.com/common/<...>.
  • La déconnexion est prise en charge.Sign out is supported. Cela permet aux utilisateurs de choisir le compte Azure AD auquel se connecter, au lieu d’être connecté automatiquement à l’aide de l’authentification unique transparente.This allows users to choose another Azure AD account to sign in with, instead of being automatically signed in using Seamless SSO automatically.
  • Les clients Win32 Office 365 (Outlook, Word, Excel, etc.) dotés des versions 16.0.8730.xxxx et ultérieures sont pris en charge au moyen d’un flux non interactif.Office 365 Win32 clients (Outlook, Word, Excel, and others) with versions 16.0.8730.xxxx and above are supported using a non-interactive flow. En ce qui concerne OneDrive, vous devez activer la fonctionnalité de configuration silencieuse OneDrive pour une utilisation de l’authentification sans assistance.For OneDrive, you will have to activate the OneDrive silent config feature for a silent sign-on experience.
  • L’authentification unique transparente peut être activée par le biais d’Azure AD Connect.It can be enabled via Azure AD Connect.
  • Cette fonctionnalité est gratuite et il est inutile de disposer des éditions payantes d’Azure AD pour l’utiliser.It is a free feature, and you don't need any paid editions of Azure AD to use it.
  • L’authentification unique est prise en charge par les clients basés sur le navigateur web et les clients Office qui prennent en charge l’authentification moderne sur les plateformes et navigateurs compatibles avec l’authentification Kerberos :It is supported on web browser-based clients and Office clients that support modern authentication on platforms and browsers capable of Kerberos authentication:
Système d’exploitation\NavigateurOS\Browser Internet ExplorerInternet Explorer Microsoft EdgeMicrosoft Edge Google ChromeGoogle Chrome Mozilla FirefoxMozilla Firefox SafariSafari
Windows 10Windows 10 Oui*Yes* OuiYes OuiYes Oui***Yes*** N/AN/A
Windows 8.1Windows 8.1 Oui*Yes* N/AN/A OuiYes Oui***Yes*** N/AN/A
Windows 8Windows 8 Oui*Yes* N/AN/A OuiYes Oui***Yes*** N/AN/A
Windows 7Windows 7 Oui*Yes* N/AN/A OuiYes Oui***Yes*** N/AN/A
Windows Server 2012 R2 ou version ultérieureWindows Server 2012 R2 or above Oui**Yes** N/AN/A OuiYes Oui***Yes*** N/AN/A
Mac OS XMac OS X N/AN/A N/AN/A Oui***Yes*** Oui***Yes*** Oui***Yes***

*Requiert Internet Explorer version 10 ou ultérieure*Requires Internet Explorer versions 10 or above

**Requiert Internet Explorer version 10 ou ultérieure.**Requires Internet Explorer versions 10 or above. Désactiver le mode protégé amélioréDisable Enhanced Protected Mode

***Requiert une configuration supplémentaire***Requires additional configuration

Notes

Concernant Windows 10, il est recommandé d’utiliser Azure AD Join pour une expérience optimale d’authentification unique dans Azure AD.For Windows 10, the recommendation is to use Azure AD Join for the optimal single sign-on experience with Azure AD.

Étapes suivantesNext steps