Вход пользователей с помощью сквозной проверки подлинности Azure Active DirectoryUser sign-in with Azure Active Directory Pass-through Authentication

Что такое сквозная проверка подлинности Azure Active Directory?What is Azure Active Directory Pass-through Authentication?

Сквозная проверка подлинности Azure Active Directory (Azure AD) позволяет пользователям входить в локальные и облачные приложения, используя те же пароли.Azure Active Directory (Azure AD) Pass-through Authentication allows your users to sign in to both on-premises and cloud-based applications using the same passwords. Эта функция облегчает работу пользователей, так как им не нужно запоминать на один пароль больше, и сокращает затраты на ИТ-поддержку, так как снижается вероятность того, что пользователи забудут процедуру входа.This feature provides your users a better experience - one less password to remember, and reduces IT helpdesk costs because your users are less likely to forget how to sign in. Если пользователи выполняют вход с помощью Azure AD, эта функция проверяет пароли пользователей непосредственно в локальной службе Active Directory.When users sign in using Azure AD, this feature validates users' passwords directly against your on-premises Active Directory.

Сквозная проверка подлинности является альтернативой синхронизации хэшей паролей Azure AD, которая также обеспечивает преимущество облачной проверки подлинности в организации.This feature is an alternative to Azure AD Password Hash Synchronization, which provides the same benefit of cloud authentication to organizations. Тем не менее некоторые организации, желающие применить локальные политики безопасности и политики паролей Active Directory, могут вместо этого использовать сквозную аутентификацию.However, certain organizations wanting to enforce their on-premises Active Directory security and password policies, can choose to use Pass-through Authentication instead. В этом руководстве вы можете ознакомиться со сравнением различных методов входа Azure AD и узнать, как выбрать правильный метод входа в систему для своей организации.Review this guide for a comparison of the various Azure AD sign-in methods and how to choose the right sign-in method for your organization.

Сквозная аутентификация Azure AD

Вы можете использовать сквозную проверку подлинности вместе с функцией простого единого входа.You can combine Pass-through Authentication with the Seamless Single Sign-On feature. Таким образом, когда пользователи обращаются к приложениям на корпоративных компьютерах, входящих в корпоративную сеть, им не нужно вводить пароль для входа.This way, when your users are accessing applications on their corporate machines inside your corporate network, they don't need to type in their passwords to sign in.

Основные преимущества сквозной проверки подлинности Azure ADKey benefits of using Azure AD Pass-through Authentication

  • Удобство работы для пользователейGreat user experience
    • Пользователи применяют одни и те же пароли для входа в локальные и облачные приложения.Users use the same passwords to sign into both on-premises and cloud-based applications.
    • Пользователи тратят меньше времени на обращения в службу технической поддержки с целью разрешения проблем, связанных с паролями.Users spend less time talking to the IT helpdesk resolving password-related issues.
    • Пользователи могут выполнять задачи самостоятельного управления паролями в облаке.Users can complete self-service password management tasks in the cloud.
  • Простота развертывания и администрированияEasy to deploy & administer
    • Не требуются сложные локальные развертывания или настройка сети.No need for complex on-premises deployments or network configuration.
    • В локальной среде необходимо установить лишь упрощенный клиент.Needs just a lightweight agent to be installed on-premises.
    • Отсутствие накладных расходов на управление.No management overhead. Агент автоматически получает усовершенствования и исправления ошибок.The agent automatically receives improvements and bug fixes.
  • БезопасностьSecure
    • Локальные пароли ни в каком виде не хранятся в облаке.On-premises passwords are never stored in the cloud in any form.
    • Защита учетных записей пользователей благодаря взаимодействию с политиками условного доступа Azure AD, включая службу Многофакторной идентификацию (MFA), а также блокированию устаревшей аутентификации и фильтрации атак методом подбора пароля.Protects your user accounts by working seamlessly with Azure AD Conditional Access policies, including Multi-Factor Authentication (MFA), blocking legacy authentication and by filtering out brute force password attacks.
    • Агент устанавливает только исходящие подключения из вашей сети.The agent only makes outbound connections from within your network. Таким образом, вам не нужно устанавливать агент в сети периметра.Therefore, there is no requirement to install the agent in a perimeter network, also known as a DMZ.
    • Обмен данными между агентом и Azure AD защищен с помощью проверки подлинности на основе сертификата.The communication between an agent and Azure AD is secured using certificate-based authentication. Эти сертификаты автоматически продлеваются каждые несколько месяцев средствами Azure AD.These certificates are automatically renewed every few months by Azure AD.
  • Высокая доступностьHighly available
    • Дополнительные агенты можно установить на нескольких локальных серверах, чтобы достичь высокого уровня доступности запросов на вход.Additional agents can be installed on multiple on-premises servers to provide high availability of sign-in requests.

Краткие сведения о возможностяхFeature highlights

  • Поддерживает вход пользователей во все браузерные приложения и клиентские приложения Microsoft Office, которые используют современную проверку подлинности.Supports user sign-in into all web browser-based applications and into Microsoft Office client applications that use modern authentication.
  • Именем пользователя для входа может быть либо локальное имя пользователя по умолчанию (userPrincipalName), либо другой атрибут, настроенный в Azure AD Connect (известный как Alternate ID).Sign-in usernames can be either the on-premises default username (userPrincipalName) or another attribute configured in Azure AD Connect (known as Alternate ID).
  • Эта функция взаимодействует с условного доступа функции например многофакторной проверки подлинности (MFA) для защиты пользователей.The feature works seamlessly with Conditional Access features such as Multi-Factor Authentication (MFA) to help secure your users.
  • Она интегрирована с самостоятельным управлением паролями на основе облака, включая обратную запись паролей в локальный каталог Active Directory и защиту пароля с помощью запрета часто используемых паролей.Integrated with cloud-based self-service password management, including password writeback to on-premises Active Directory and password protection by banning commonly used passwords.
  • Среды с несколькими лесами поддерживаются, если между лесами AD существуют отношения доверия и правильно настроена маршрутизация по суффиксу имени.Multi-forest environments are supported if there are forest trusts between your AD forests and if name suffix routing is correctly configured.
  • Это бесплатная функция, и для ее использования не требуются платные выпуски Azure AD.It is a free feature, and you don't need any paid editions of Azure AD to use it.
  • Функцию можно включить с помощью Azure AD Connect.It can be enabled via Azure AD Connect.
  • Она использует упрощенный локальный агент, который прослушивает запросы на проверку пароля и отвечает на них.It uses a lightweight on-premises agent that listens for and responds to password validation requests.
  • Установка нескольких агентов обеспечивает высокий уровень доступности запросов на вход.Installing multiple agents provides high availability of sign-in requests.
  • Она защищает локальные учетные записи от атак методом подбора пароля в облаке.It protects your on-premises accounts against brute force password attacks in the cloud.

Дальнейшие действияNext steps