Простой единый вход Azure Active DirectoryAzure Active Directory Seamless Single Sign-On

Что такое простой единый вход Azure Active Directory?What is Azure Active Directory Seamless Single Sign-On?

Простой единый вход Azure Active Directory автоматически обеспечивает пользователям вход в систему, когда они работают на корпоративных устройствах, подключенных к корпоративной сети.Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. Если он включен, пользователям не нужно вводить пароль для входа в Azure AD, а в большинстве случаев — даже вводить имя пользователя.When enabled, users don't need to type in their passwords to sign in to Azure AD, and usually, even type in their usernames. Эта функция предоставляет пользователям удобный доступ к облачным приложениям и не требует установки каких-либо дополнительных локальных компонентов.This feature provides your users easy access to your cloud-based applications without needing any additional on-premises components.

Простой единый вход можно использовать вместе с методами синхронизация хэша паролей или сквозной проверки подлинности.Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods. Простой единый вход не применяется к службам федерации Active Directory (AD FS).Seamless SSO is not applicable to Active Directory Federation Services (ADFS).

Простой единый вход

Важно!

Для функционирования простого единого входа устройство пользователя должно быть присоединено к домену. Устройство не обязательно должно быть присоединено к Azure AD.Seamless SSO needs the user's device to be domain-joined, but doesn't need for the device to be Azure AD Joined.

Основные преимуществаKey benefits

  • Удобство работы для пользователейGreat user experience
    • Пользователи автоматически входят как в локальные, так и в облачные приложения.Users are automatically signed into both on-premises and cloud-based applications.
    • Пользователям не нужно вводить пароль несколько раз.Users don't have to enter their passwords repeatedly.
  • Простота развертывания и администрированияEasy to deploy & administer
    • Дополнительные локальные компоненты не требуются.No additional components needed on-premises to make this work.
    • Эта функция работает с любым методом аутентификации в облаке: синхронизацией хэша паролей и сквозной аутентификацией.Works with any method of cloud authentication - Password Hash Synchronization or Pass-through Authentication.
    • Ее можно развернуть для всех пользователей или их части с помощью групповой политики.Can be rolled out to some or all your users using Group Policy.
    • Регистрация устройств не под управлением Windows 10 в Azure AD без необходимости в какой-либо инфраструктуре AD FS.Register non-Windows 10 devices with Azure AD without the need for any AD FS infrastructure. Для использования этой возможности требуется версия 2.1 или более поздняя версия клиента подключения к рабочему месту.This capability needs you to use version 2.1 or later of the workplace-join client.

Краткие сведения о возможностяхFeature highlights

  • Именем пользователя для входа может быть либо локальное имя пользователя по умолчанию (userPrincipalName), либо другой атрибут, настроенный в Azure AD Connect (Alternate ID).Sign-in username can be either the on-premises default username (userPrincipalName) or another attribute configured in Azure AD Connect (Alternate ID). Оба варианта использования работают, так как служба простого единого входа использует утверждение securityIdentifier в билете Kerberos для поиска соответствующего объекта-пользователя в Azure AD.Both use cases work because Seamless SSO uses the securityIdentifier claim in the Kerberos ticket to look up the corresponding user object in Azure AD.
  • Простой единый вход — ситуативно-обусловленная функция.Seamless SSO is an opportunistic feature. Если в ней происходит сбой, процедура входа выполняется стандартно, то есть пользователь, как и прежде, должен просто ввести пароль на странице входа.If it fails for any reason, the user sign-in experience goes back to its regular behavior - i.e, the user needs to enter their password on the sign-in page.
  • Если приложение https://myapps.microsoft.com/contoso.com(например,) перенаправляет domain_hint параметр (OpenID Connect Connect) или whr (SAML), определяющий клиента, или login_hint параметр, идентифицирующий пользователя в своем запросе на вход в Azure AD, пользователи будут Автоматический вход без ввода имен пользователей или паролей.If an application (for example, https://myapps.microsoft.com/contoso.com) forwards a domain_hint (OpenID Connect) or whr (SAML) parameter - identifying your tenant, or login_hint parameter - identifying the user, in its Azure AD sign-in request, users are automatically signed in without them entering usernames or passwords.
  • Пользователи также получают возможность автоматического входа в систему, https://contoso.sharepoint.comесли приложение (например) отправляет запросы на вход в конечные точки Azure AD, настроенные как клиенты, https://login.microsoftonline.com/contoso.com/<..> то есть или https://login.microsoftonline.com/<tenant_ID>/<..> -вместо общей конечной точки Azure https://login.microsoftonline.com/common/<...> AD, т. е. .Users also get a silent sign-on experience if an application (for example, https://contoso.sharepoint.com) sends sign-in requests to Azure AD's endpoints set up as tenants - that is, https://login.microsoftonline.com/contoso.com/<..> or https://login.microsoftonline.com/<tenant_ID>/<..> - instead of Azure AD's common endpoint - that is, https://login.microsoftonline.com/common/<...>.
  • Поддерживается выход.Sign out is supported. Это позволяет пользователям выбрать другую учетную запись Azure AD для входа вместо того, чтобы автоматически входить с помощью простого единого входа.This allows users to choose another Azure AD account to sign in with, instead of being automatically signed in using Seamless SSO automatically.
  • Для поддержки клиентов Office 365 для 32-разрядной версии Windows (Outlook, Word, Excel и другие) версии 16.0.8730.xxxx и выше используется неинтерактивная процедура.Office 365 Win32 clients (Outlook, Word, Excel, and others) with versions 16.0.8730.xxxx and above are supported using a non-interactive flow. Для OneDrive потребуется активировать функцию автоматической настройки OneDrive, чтобы включить автоматический вход в систему.For OneDrive, you will have to activate the OneDrive silent config feature for a silent sign-on experience.
  • Функцию можно включить с помощью Azure AD Connect.It can be enabled via Azure AD Connect.
  • Это бесплатная функция, и для ее использования не требуются платные выпуски Azure AD.It is a free feature, and you don't need any paid editions of Azure AD to use it.
  • Она доступна в клиентах на основе веб-браузера и клиентах Office, поддерживающих современную проверку подлинности на платформах и в браузерах с поддержкой проверки подлинности Kerberos.It is supported on web browser-based clients and Office clients that support modern authentication on platforms and browsers capable of Kerberos authentication:
Операционная система и браузерOS\Browser Internet ExplorerInternet Explorer Microsoft EdgeMicrosoft Edge Google ChromeGoogle Chrome Mozilla FirefoxMozilla Firefox SafariSafari
Windows 10Windows 10 Да*Yes* НетNo ДаYes Да***Yes*** Н/ДN/A
Windows 8.1Windows 8.1 Да*Yes* Н/ДN/A ДаYes Да***Yes*** Н/ДN/A
Windows 8Windows 8 Да*Yes* Н/ДN/A ДаYes Да***Yes*** Н/ДN/A
Windows 7Windows 7 Да*Yes* Н/ДN/A ДаYes Да***Yes*** Н/ДN/A
Windows Server 2012 R2 или более поздней версииWindows Server 2012 R2 or above Да**Yes** Н/ДN/A ДаYes Да***Yes*** Н/ДN/A
Mac OS XMac OS X Н/ДN/A Н/ДN/A Да***Yes*** Да***Yes*** Да***Yes***

*Требуется Internet Explorer версии 10 или более поздней.*Requires Internet Explorer versions 10 or above

**Требуется Internet Explorer версии 10 или более поздней.**Requires Internet Explorer versions 10 or above. Отключение расширенного защищенного режимаDisable Enhanced Protected Mode

***Требуется дополнительная настройка.***Requires additional configuration

Примечание

Чтобы обеспечить максимальное удобство единого входа в Azure AD, мы рекомендуем использовать в Windows 10 функцию присоединения к Azure AD.For Windows 10, the recommendation is to use Azure AD Join for the optimal single sign-on experience with Azure AD.

Следующие шагиNext steps