Logon Único Contínuo do Azure Active DirectoryAzure Active Directory Seamless Single Sign-On

O que é o Logon Único Contínuo do Azure Active Directory?What is Azure Active Directory Seamless Single Sign-On?

O SSO Contínuo do Azure AD (Logon Único Contínuo do Azure Active Directory) conecta usuários automaticamente quando estiverem nos respectivos dispositivos corporativos conectados à sua rede corporativa.Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. Quando habilitado, os usuários não precisam digitar as senhas para entrar no Azure AD e, geralmente, nem precisam digitar os nomes de usuário.When enabled, users don't need to type in their passwords to sign in to Azure AD, and usually, even type in their usernames. Esse recurso fornece aos usuários acesso fácil a seus aplicativos baseados em nuvem sem a necessidade de nenhum componente local adicional.This feature provides your users easy access to your cloud-based applications without needing any additional on-premises components.

O SSO Contínuo pode ser combinado com o método de entrada de Sincronização de Hash de Senha ou de Autenticação de Passagem.Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods. O SSO contínuo não é aplicável aos Serviços de Federação do Active Directory (AD FS).Seamless SSO is not applicable to Active Directory Federation Services (ADFS).

Logon Único Contínuo

Importante

O SSO contínuo precisa no dispositivo do usuário para ser ingressado no domínio, mas não necessário para o dispositivo esteja ingressado no Azure AD.Seamless SSO needs the user's device to be domain-joined, but doesn't need for the device to be Azure AD Joined.

Principais benefíciosKey benefits

  • Ótima experiência do usuárioGreat user experience
    • Os usuários são conectados automaticamente aos aplicativos baseados em nuvem e locais.Users are automatically signed into both on-premises and cloud-based applications.
    • Os usuários não precisam digitar suas senhas repetidamente.Users don't have to enter their passwords repeatedly.
  • Fácil de implantar e administrarEasy to deploy & administer
    • Não há necessidade de nenhum componente adicional local para fazer com que ele funcione.No additional components needed on-premises to make this work.
    • Funciona com qualquer método de autenticação de nuvem – Sincronização de hash de senha ou Autenticação de passagem.Works with any method of cloud authentication - Password Hash Synchronization or Pass-through Authentication.
    • Pode ser distribuído a alguns ou todos os seus usuários usando a Política de Grupo.Can be rolled out to some or all your users using Group Policy.
    • Registre dispositivos não Windows 10 no Azure AD sem a necessidade de nenhuma infraestrutura do AD FS.Register non-Windows 10 devices with Azure AD without the need for any AD FS infrastructure. Esse recurso deve usar a versão 2.1 ou posterior do cliente workplace-join.This capability needs you to use version 2.1 or later of the workplace-join client.

Destaques do recursoFeature highlights

  • O nome de usuário de conexão pode ser o nome de usuário local padrão (userPrincipalName) ou outro atributo configurado no Azure AD Connect (Alternate ID).Sign-in username can be either the on-premises default username (userPrincipalName) or another attribute configured in Azure AD Connect (Alternate ID). Ambos casos de uso funcionam porque o SSO Contínuo usa a declaração securityIdentifier no tíquete do Kerberos para pesquisar o objeto de usuário correspondente no Azure AD.Both use cases work because Seamless SSO uses the securityIdentifier claim in the Kerberos ticket to look up the corresponding user object in Azure AD.
  • O SSO Contínuo é um recurso oportunista.Seamless SSO is an opportunistic feature. Se ele falhar por qualquer motivo, a experiência de entrada do usuário retornará ao comportamento normal, ou seja, o usuário precisará digitar sua senha na página de entrada.If it fails for any reason, the user sign-in experience goes back to its regular behavior - i.e, the user needs to enter their password on the sign-in page.
  • Se um aplicativo (por exemplo, https://myapps.microsoft.com/contoso.com) encaminhar um domain_hint parâmetro (OpenID Connect) whr ou (SAML)-identificando seu locatário, login_hint ou o parâmetro-identificando o usuário, em sua solicitação de entrada do Azure AD, os usuários serão conectado automaticamente sem que eles insiram nomes de acessações ou senhas.If an application (for example, https://myapps.microsoft.com/contoso.com) forwards a domain_hint (OpenID Connect) or whr (SAML) parameter - identifying your tenant, or login_hint parameter - identifying the user, in its Azure AD sign-in request, users are automatically signed in without them entering usernames or passwords.
  • Os usuários também terão uma experiência de logon silenciosa se um aplicativo (por exemplo, https://contoso.sharepoint.com) enviar solicitações de entrada para os pontos de extremidade do Azure ad configurados como locatários – ou seja https://login.microsoftonline.com/contoso.com/<..> , https://login.microsoftonline.com/<tenant_ID>/<..> ou-em vez do ponto de extremidade comum do Azure ad https://login.microsoftonline.com/common/<...> – ou seja, .Users also get a silent sign-on experience if an application (for example, https://contoso.sharepoint.com) sends sign-in requests to Azure AD's endpoints set up as tenants - that is, https://login.microsoftonline.com/contoso.com/<..> or https://login.microsoftonline.com/<tenant_ID>/<..> - instead of Azure AD's common endpoint - that is, https://login.microsoftonline.com/common/<...>.
  • Há suporte para saída.Sign out is supported. Isso permite que os usuários escolham outra conta do Azure AD para conectar, em vez de conectar automaticamente usando o SSO contínuo automaticamente.This allows users to choose another Azure AD account to sign in with, instead of being automatically signed in using Seamless SSO automatically.
  • Clientes do Office 365 Win32 (Outlook, Word, Excel e outros) com as versões 16.0.8730.xxxx e superiores têm suporte com o uso de um fluxo não interativo.Office 365 Win32 clients (Outlook, Word, Excel, and others) with versions 16.0.8730.xxxx and above are supported using a non-interactive flow. Para o OneDrive, você precisará ativar o recurso de Configuração silenciosa do OneDrive para uma experiência de logon silenciosa.For OneDrive, you will have to activate the OneDrive silent config feature for a silent sign-on experience.
  • Isso pode ser habilitado por meio do Azure AD Connect.It can be enabled via Azure AD Connect.
  • Essa é um recurso gratuito e você não precisa de nenhuma edição paga do Azure AD para usá-lo.It is a free feature, and you don't need any paid editions of Azure AD to use it.
  • Há suporte para ele em clientes baseados em navegador da Web e clientes do Office que dão suporte à autenticação moderna em plataformas e navegadores que sejam compatíveis com a autenticação Kerberos:It is supported on web browser-based clients and Office clients that support modern authentication on platforms and browsers capable of Kerberos authentication:
Sistema operacional\NavegadorOS\Browser Internet ExplorerInternet Explorer Microsoft EdgeMicrosoft Edge Google ChromeGoogle Chrome Mozilla FirefoxMozilla Firefox SafariSafari
Windows 10Windows 10 Sim*Yes* NãoNo SimYes Sim***Yes*** N/DN/A
Windows 8.1Windows 8.1 Sim*Yes* N/DN/A SimYes Sim***Yes*** N/DN/A
Windows 8Windows 8 Sim*Yes* N/DN/A SimYes Sim***Yes*** N/DN/A
Windows 7Windows 7 Sim*Yes* N/DN/A SimYes Sim***Yes*** N/DN/A
Windows Server 2012 R2 ou acimaWindows Server 2012 R2 or above Sim**Yes** N/DN/A SimYes Sim***Yes*** N/DN/A
Mac OS XMac OS X N/DN/A N/DN/A Sim***Yes*** Sim***Yes*** Sim***Yes***

*Exige o Internet Explorer versões 10 ou superior*Requires Internet Explorer versions 10 or above

**Exige o Internet Explorer versões 10 ou superior.**Requires Internet Explorer versions 10 or above. Desabilitar Modo Protegido AvançadoDisable Enhanced Protected Mode

***Exige configuração adicional***Requires additional configuration

Observação

Para o Windows 10, a recomendação é usar o Ingresso do Azure AD para obter a experiência ideal de logon único com o Azure AD.For Windows 10, the recommendation is to use Azure AD Join for the optimal single sign-on experience with Azure AD.

Próximas etapasNext steps