Что собой представляет гибридная идентификацияWhat is hybrid identity?

Сегодня предприятия и организации все чаще комбинируют локальные и облачные приложения.Today, businesses, and corporations are becoming more and more a mixture of on-premises and cloud applications. Пользователям требуется доступ к этим приложениям как локально, так и в облаке.Users require access to those applications both on-premises and in the cloud. Удовлетворить это требование непросто.This requirement has become a challenging scenario.

Решения корпорации Майкрософт для идентификации охватывают как локальные, так и облачные сценарии.Microsoft’s identity solutions span on-premises and cloud-based capabilities. Они позволяют создавать общие пользовательские удостоверения для проверки подлинности и авторизации для всех ресурсов, независимо от их расположения.These solutions create a common user identity for authentication and authorization to all resources, regardless of location. Мы называем это гибридной идентификацией.We call this hybrid identity.

Обеспечить гибридную идентификацию можно с помощью одного из трех методов проверки подлинности в зависимости от сценария.To achieve hybrid identity, one of three authentication methods can be used, depending on your scenarios. Доступны следующие методы:The three methods are:

Эти методы проверки подлинности также предоставляют возможности единого входа.These authentication methods also provide single-sign on capabilities. Единый вход обеспечивает пользователям автоматический вход в систему, когда они работают на корпоративных устройствах, подключенных к корпоративной сети.Single-sign on automatically signs your users in when they are on their corporate devices, connected to your corporate network.

См. дополнительные сведения о выборе правильного метода аутентификации для гибридного решения для идентификации Azure Active Directory.For additional information, see Choose the right authentication method for your Azure Active Directory hybrid identity solution.

Распространенные сценарии и рекомендацииCommon scenarios and recommendations

В этом разделе приводится несколько распространенных сценариев гибридной идентификации и контроля доступа с рекомендациями по выбору оптимального варианта (вариантов) гибридной идентификации в каждом конкретном случае.Here are some common hybrid identity and access management scenarios with recommendations as to which hybrid identity option (or options) might be appropriate for each.

Мне нужно:I need to: PHS и SSO1PHS and SSO1 PTA и SSO2PTA and SSO2 AD FS3AD FS3
Автоматически синхронизировать с облаком новые учетные записи пользователей, контакты и группы, создаваемые в моем локальном каталоге Active DirectorySync new user, contact, and group accounts created in my on-premises Active Directory to the cloud automatically. Рекомендуется Рекомендуется Рекомендуется
Настроить мой клиент для гибридных сценариев Office 365.Set up my tenant for Office 365 hybrid scenarios. Рекомендуется Рекомендуется Рекомендуется
Разрешить моим пользователям выполнять вход и обращаться к облачным службам с помощью локального пароля.Enable my users to sign in and access cloud services using their on-premises password. Рекомендуется Рекомендуется Рекомендуется
Реализовать единый вход с использованием учетных данных организации.Implement single sign-on using corporate credentials. Рекомендуется Рекомендуется Рекомендуется
Обеспечить хранение хэша паролей вне облака.Ensure no password hashes are stored in the cloud. Рекомендуется Рекомендуется
Использовать облачные решения для многофакторной проверки подлинности.Enable cloud-based multi-factor authentication solutions. Рекомендуется Рекомендуется Рекомендуется
Использовать локальные решения для Многофакторной идентификации.Enable on-premises multi-factor authentication solutions. Рекомендуется
Обеспечить поддержку проверки подлинности с использованием смарт-карт4.Support smartcard authentication for my users.4 Рекомендуется
Отображать уведомления об истечения срока действия пароля на портале Office и на рабочем столе Windows 10.Display password expiry notifications in the Office Portal and on the Windows 10 desktop. Рекомендуется

1 Синхронизация хэша паролей (PHS) и единый вход (SSO).1 Password hash synchronization with single sign-on.

2 Сквозная проверка подлинности и единый вход.2 Pass-through authentication and single sign-on.

3 Федеративный единый вход с AD FS.3 Federated single sign-on with AD FS.

4 AD FS можно интегрировать с корпоративной инфраструктурой открытых ключей PKI, чтобы разрешить вход с использованием сертификатов.4 AD FS can be integrated with your enterprise PKI to allow sign-in using certificates. Это могут быть программные сертификаты, развернутые с помощью доверенного канала подготовки, например MDM, GPO, или смарт-сертификаты (включая карты PIV/CAC) или Hello для бизнеса (доверенный сертификат).These certificates can be soft-certificates deployed via trusted provisioning channels such as MDM or GPO or smartcard certificates (including PIV/CAC cards) or Hello for Business (cert-trust). Дополнительные сведения о поддержке проверки подлинности с использованием смарт-карт см. в этом блоге.For more information about smartcard authentication support, see this blog.

Дальнейшие действияNext Steps