Azure Active Directory bezproblemowe logowanie jednokrotneAzure Active Directory Seamless Single Sign-On

Co Azure Active Directory bezproblemowe logowanie jednokrotne?What is Azure Active Directory Seamless Single Sign-On?

Bezproblemowe logowanie jednokrotne w usłudze Azure Active Directory zapewnia automatyczne logowanie użytkowników, gdy ich urządzenia są połączone z siecią firmową.Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. Jeśli ta funkcja jest włączona, użytkownicy nie muszą wpisywać swoich haseł, aby zalogować się do usługi Azure AD, a zwykle nawet wpisywać w swoich nazwach użytkownika.When enabled, users don't need to type in their passwords to sign in to Azure AD, and usually, even type in their usernames. Ta funkcja zapewnia użytkownikom łatwy dostęp do aplikacji w chmurze bez konieczności używania dodatkowych składników lokalnych.This feature provides your users easy access to your cloud-based applications without needing any additional on-premises components.

Bezproblemowe logowanie jednokrotne może być łączone z synchronizacją skrótów haseł lub metodami logowania przy użyciu uwierzytelniania przekazywanego .Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods. Bezproblemowe logowanie jednokrotne nie ma zastosowania do Active Directory Federation Services (AD FS).Seamless SSO is not applicable to Active Directory Federation Services (ADFS).

Bezproblemowe logowanie jednokrotne

Ważne

Bezproblemowe logowanie jednokrotne wymaga, aby urządzenie użytkownika zostało przyłączone do domeny, ale nie musi być przyłączone do usługi Azure AD.Seamless SSO needs the user's device to be domain-joined, but doesn't need for the device to be Azure AD Joined.

Najważniejsze korzyściKey benefits

  • Fantastyczne środowisko pracy użytkownikaGreat user experience
    • Użytkownicy są automatycznie logowani do aplikacji lokalnych i opartych na chmurze.Users are automatically signed into both on-premises and cloud-based applications.
    • Użytkownicy nie muszą wielokrotnie wprowadzać swoich haseł.Users don't have to enter their passwords repeatedly.
  • Łatwe wdrażanie & administrowanieEasy to deploy & administer
    • Nie trzeba wykonywać żadnych dodatkowych składników w środowisku lokalnym, aby to zrobić.No additional components needed on-premises to make this work.
    • Działa z dowolną metodą uwierzytelniania w chmurze — synchronizacją skrótów haseł lub uwierzytelnianiem przekazującym.Works with any method of cloud authentication - Password Hash Synchronization or Pass-through Authentication.
    • Mogą być przeprowadzone do niektórych lub wszystkich użytkowników przy użyciu zasady grupy.Can be rolled out to some or all your users using Group Policy.
    • Rejestrowanie urządzeń z systemem innym niż Windows 10 w usłudze Azure AD bez konieczności używania infrastruktury AD FS.Register non-Windows 10 devices with Azure AD without the need for any AD FS infrastructure. Ta funkcja wymaga użycia wersji 2,1 lub nowszej klienta dołączania do miejsca pracy.This capability needs you to use version 2.1 or later of the workplace-join client.

Najważniejsze funkcjeFeature highlights

  • Nazwa użytkownika logowania może być lokalną domyślną nazwą użytkownika (userPrincipalName) lub innym atrybutem skonfigurowanym w Azure AD Connect (Alternate ID).Sign-in username can be either the on-premises default username (userPrincipalName) or another attribute configured in Azure AD Connect (Alternate ID). Oba przypadki użycia działają, ponieważ bezproblemowe logowanie jednokrotne korzysta z securityIdentifierego żądania w biletu protokołu Kerberos w celu wyszukania odpowiedniego obiektu użytkownika w usłudze Azure AD.Both use cases work because Seamless SSO uses the securityIdentifier claim in the Kerberos ticket to look up the corresponding user object in Azure AD.
  • Bezproblemowe logowanie jednokrotne jest funkcją oportunistyczną.Seamless SSO is an opportunistic feature. Jeśli z jakiegoś powodu nie powiedzie się, środowisko logowania użytkownika powróci do regularnego zachowania — oznacza to, że użytkownik musi wprowadzić hasło na stronie logowania.If it fails for any reason, the user sign-in experience goes back to its regular behavior - i.e, the user needs to enter their password on the sign-in page.
  • Jeśli aplikacja (na przykład https://myapps.microsoft.com/contoso.com) przekaże parametr domain_hint (OpenID Connect Connect) lub whr (SAML) identyfikujący dzierżawcę lub login_hint parametr-identyfikujący użytkownika w żądaniu logowania usługi Azure AD, użytkownicy są automatycznie zalogowani bez wprowadzania nazw użytkowników ani haseł.If an application (for example, https://myapps.microsoft.com/contoso.com) forwards a domain_hint (OpenID Connect) or whr (SAML) parameter - identifying your tenant, or login_hint parameter - identifying the user, in its Azure AD sign-in request, users are automatically signed in without them entering usernames or passwords.
  • Użytkownicy mogą również korzystać z dyskretnego logowania, jeśli aplikacja (na przykład https://contoso.sharepoint.com) wysyła żądania logowania do punktów końcowych usługi Azure AD skonfigurowanych jako dzierżawcy — czyli https://login.microsoftonline.com/contoso.com/<..> lub https://login.microsoftonline.com/<tenant_ID>/<..>-zamiast wspólnego punktu końcowego usługi Azure AD, czyli https://login.microsoftonline.com/common/<...>.Users also get a silent sign-on experience if an application (for example, https://contoso.sharepoint.com) sends sign-in requests to Azure AD's endpoints set up as tenants - that is, https://login.microsoftonline.com/contoso.com/<..> or https://login.microsoftonline.com/<tenant_ID>/<..> - instead of Azure AD's common endpoint - that is, https://login.microsoftonline.com/common/<...>.
  • Wylogowywanie jest obsługiwane.Sign out is supported. Dzięki temu użytkownicy mogą wybrać inne konto usługi Azure AD, aby zalogować się za pomocą programu, a nie automatycznie logować się automatycznie za pomocą bezproblemowego logowania jednokrotnego.This allows users to choose another Azure AD account to sign in with, instead of being automatically signed in using Seamless SSO automatically.
  • Klienci Win32 pakietu Office 365 (Outlook, Word, Excel i inne) z wersjami 16.0.8730. xxxx i nowszymi są obsługiwani przy użyciu nieinteraktywnego przepływu.Office 365 Win32 clients (Outlook, Word, Excel, and others) with versions 16.0.8730.xxxx and above are supported using a non-interactive flow. W przypadku usługi OneDrive konieczne będzie aktywowanie funkcji konfiguracji dyskretnej usługi OneDrive w celu zalogowania dyskretnego.For OneDrive, you will have to activate the OneDrive silent config feature for a silent sign-on experience.
  • Można ją włączyć za pośrednictwem Azure AD Connect.It can be enabled via Azure AD Connect.
  • Jest to bezpłatna funkcja i nie są potrzebne żadne płatne wersje usługi Azure AD do użycia.It is a free feature, and you don't need any paid editions of Azure AD to use it.
  • Jest ona obsługiwana w klientach opartych na przeglądarce sieci Web i klientach pakietu Office, którzy obsługują nowoczesne uwierzytelnianie na platformach i przeglądarkach obsługujących uwierzytelnianie Kerberos:It is supported on web browser-based clients and Office clients that support modern authentication on platforms and browsers capable of Kerberos authentication:
OS\BrowserOS\Browser Internet ExplorerInternet Explorer Microsoft EdgeMicrosoft Edge Google ChromeGoogle Chrome Mozilla FirefoxMozilla Firefox SafariSafari
Windows 10Windows 10 Tak*Yes* TakYes TakYes Tak***Yes*** Nie dotyczyN/A
Windows 8.1Windows 8.1 Tak*Yes* Nie dotyczyN/A TakYes Tak***Yes*** Nie dotyczyN/A
Windows 8Windows 8 Tak*Yes* Nie dotyczyN/A TakYes Tak***Yes*** Nie dotyczyN/A
Windows 7Windows 7 Tak*Yes* Nie dotyczyN/A TakYes Tak***Yes*** Nie dotyczyN/A
System Windows Server 2012 R2 lub nowszyWindows Server 2012 R2 or above Tak**Yes** Nie dotyczyN/A TakYes Tak***Yes*** Nie dotyczyN/A
Mac OS XMac OS X Nie dotyczyN/A Nie dotyczyN/A Tak***Yes*** Tak***Yes*** Tak***Yes***

*wymaga programu Internet Explorer w wersji 10 lub nowszej*Requires Internet Explorer versions 10 or above

**wymaga programu Internet Explorer w wersji 10 lub nowszej.**Requires Internet Explorer versions 10 or above. Wyłącz rozszerzony tryb chronionyDisable Enhanced Protected Mode

***wymaga dodatkowej konfiguracji***Requires additional configuration

Uwaga

W przypadku systemu Windows 10 zaleceniem jest użycie funkcji Dołącz do usługi Azure AD w celu zapewnienia optymalnego logowania jednokrotnego w usłudze Azure AD.For Windows 10, the recommendation is to use Azure AD Join for the optimal single sign-on experience with Azure AD.

Następne krokiNext steps