Logowanie użytkownika przy użyciu uwierzytelniania przekazywanego usługi Azure Active DirectoryUser sign-in with Azure Active Directory Pass-through Authentication

Co to jest Azure Active Directory uwierzytelnianie przekazywane?What is Azure Active Directory Pass-through Authentication?

Uwierzytelnianie przekazujące Azure Active Directory (Azure AD) pozwala użytkownikom na logowanie się do aplikacji lokalnych i opartych na chmurze przy użyciu tych samych haseł.Azure Active Directory (Azure AD) Pass-through Authentication allows your users to sign in to both on-premises and cloud-based applications using the same passwords. Ta funkcja zapewnia lepszą obsługę użytkowników (jedno hasło mniej do zapamiętania) i obniża koszty pomocy technicznej IT, zmniejszając prawdopodobieństwo tego, że użytkownik zapomni sposób logowania się.This feature provides your users a better experience - one less password to remember, and reduces IT helpdesk costs because your users are less likely to forget how to sign in. Gdy użytkownicy logują się przy użyciu usługi Azure AD, ta funkcja sprawdza hasła użytkowników bezpośrednio do Active Directory lokalnego.When users sign in using Azure AD, this feature validates users' passwords directly against your on-premises Active Directory.

Ta funkcja jest alternatywą dla synchronizacji skrótów haseł usługi Azure AD, która zapewnia takie same korzyści wynikające z uwierzytelniania w chmurze w organizacjach.This feature is an alternative to Azure AD Password Hash Synchronization, which provides the same benefit of cloud authentication to organizations. Jednak niektóre organizacje, które chcą wymusić lokalne Active Directory zasady zabezpieczeń i haseł, mogą korzystać z uwierzytelniania przekazywanego.However, certain organizations wanting to enforce their on-premises Active Directory security and password policies, can choose to use Pass-through Authentication instead. Zapoznaj się z tym przewodnikiem , aby porównać różne metody logowania do usługi Azure AD i jak wybrać właściwą metodę logowania dla organizacji.Review this guide for a comparison of the various Azure AD sign-in methods and how to choose the right sign-in method for your organization.

Uwierzytelnianie przekazywane przez usługę Azure AD

Uwierzytelnianie przekazywane można połączyć za pomocą funkcji jednokrotnego logowania jednokrotnego.You can combine Pass-through Authentication with the Seamless Single Sign-On feature. W ten sposób, gdy użytkownicy uzyskują dostęp do aplikacji na swoich maszynach firmowych w sieci firmowej, nie muszą wpisywać ich haseł, aby się zalogować.This way, when your users are accessing applications on their corporate machines inside your corporate network, they don't need to type in their passwords to sign in.

Najważniejsze zalety korzystania z uwierzytelniania przekazywanego za pomocą usługi Azure ADKey benefits of using Azure AD Pass-through Authentication

  • Fantastyczne środowisko pracy użytkownikaGreat user experience
    • Użytkownicy używają tych samych haseł do logowania się do aplikacji lokalnych i opartych na chmurze.Users use the same passwords to sign into both on-premises and cloud-based applications.
    • Użytkownicy poświęcają mniej czasu na rozmowy z pomocą techniczną działu IT w rozwiązywaniu problemów związanych z hasłami.Users spend less time talking to the IT helpdesk resolving password-related issues.
    • Użytkownicy mogą wykonywać zadania samoobsługowego zarządzania hasłami w chmurze.Users can complete self-service password management tasks in the cloud.
  • Łatwe wdrażanie & administrowanieEasy to deploy & administer
    • Nie ma potrzeby złożonych wdrożeń lokalnych ani konfiguracji sieci.No need for complex on-premises deployments or network configuration.
    • Potrzebuje tylko uproszczonego agenta, który ma zostać zainstalowany lokalnie.Needs just a lightweight agent to be installed on-premises.
    • Brak obciążeń związanych z zarządzaniem.No management overhead. Agent automatycznie otrzymuje ulepszenia i poprawki błędów.The agent automatically receives improvements and bug fixes.
  • BezpiecznySecure
    • Hasła lokalne nigdy nie są przechowywane w chmurze w żadnej postaci.On-premises passwords are never stored in the cloud in any form.
    • Chroni Twoje konta użytkowników, bezproblemowo korzystając z zasad dostępu warunkowego usługi Azure AD, w tym Multi-Factor Authentication (MFA), blokując starsze uwierzytelnianie i przez odfiltrowanie ataków z hasłamibezprawnego.Protects your user accounts by working seamlessly with Azure AD Conditional Access policies, including Multi-Factor Authentication (MFA), blocking legacy authentication and by filtering out brute force password attacks.
    • Agent wykonuje tylko połączenia wychodzące z sieci.The agent only makes outbound connections from within your network. W związku z tym nie jest wymagane, aby zainstalować agenta w sieci obwodowej, znanej także jako Strefa DMZ.Therefore, there is no requirement to install the agent in a perimeter network, also known as a DMZ.
    • Komunikacja między agentem a usługą Azure AD jest zabezpieczona przy użyciu uwierzytelniania opartego na certyfikatach.The communication between an agent and Azure AD is secured using certificate-based authentication. Te certyfikaty są automatycznie odnawiane co kilka miesięcy przez usługę Azure AD.These certificates are automatically renewed every few months by Azure AD.
  • Wysoka dostępnośćHighly available
    • Dodatkowych agentów można zainstalować na wielu serwerach lokalnych w celu zapewnienia wysokiej dostępności żądań logowania.Additional agents can be installed on multiple on-premises servers to provide high availability of sign-in requests.

Najważniejsze funkcjeFeature highlights

  • Program obsługuje logowanie użytkownika do wszystkich aplikacji opartych na przeglądarce sieci Web oraz Microsoft Office aplikacji klienckich korzystających z nowoczesnego uwierzytelniania.Supports user sign-in into all web browser-based applications and into Microsoft Office client applications that use modern authentication.
  • Nazwy użytkowników logowania mogą być lokalną domyślną nazwą użytkownika ( userPrincipalName ) lub innym atrybutem skonfigurowanym w Azure AD Connect (znanym jako Alternate ID ).Sign-in usernames can be either the on-premises default username (userPrincipalName) or another attribute configured in Azure AD Connect (known as Alternate ID).
  • Funkcja działa bezproblemowo z funkcjami dostępu warunkowego , takimi jak Multi-Factor Authentication (MFA), aby pomóc w zabezpieczeniu użytkowników.The feature works seamlessly with Conditional Access features such as Multi-Factor Authentication (MFA) to help secure your users.
  • Zintegrowana z funkcją samoobsługowego zarządzania hasłamiw chmurze, w tym funkcja zapisywania zwrotnego haseł do lokalnego Active Directory i ochrony hasłem przez zakazywanie często używanych haseł.Integrated with cloud-based self-service password management, including password writeback to on-premises Active Directory and password protection by banning commonly used passwords.
  • Środowiska z obsługą wielu lasów są obsługiwane, jeśli istnieją relacje zaufania lasów między lasami usługi AD i jeśli Routing sufiksów nazw jest prawidłowo skonfigurowany.Multi-forest environments are supported if there are forest trusts between your AD forests and if name suffix routing is correctly configured.
  • Jest to bezpłatna funkcja i nie są potrzebne żadne płatne wersje usługi Azure AD do użycia.It is a free feature, and you don't need any paid editions of Azure AD to use it.
  • Można ją włączyć za pośrednictwem Azure AD Connect.It can be enabled via Azure AD Connect.
  • Używa on uproszczonego agenta lokalnego, który nasłuchuje i reaguje na żądania weryfikacji hasła.It uses a lightweight on-premises agent that listens for and responds to password validation requests.
  • Zainstalowanie wielu agentów zapewnia wysoką dostępność żądań logowania.Installing multiple agents provides high availability of sign-in requests.
  • Zapewnia ochronę kont lokalnych przed atakami z wykorzystaniem hasła w chmurze.It protects your on-premises accounts against brute force password attacks in the cloud.

Następne krokiNext steps