Tek Sign-On ile DirSync

  • Makale

Güncelleştirme: 25 Haziran 2015

Şunlar için geçerlidir: Azure, Office 365, Power BI, Windows Intune

Kimlik federasyonu olarak da adlandırılan çoklu oturum açma, kullanıcınızın mevcut Active Directory kurumsal kimlik bilgileriyle Azure Active Directory Office 365 veya Microsoft Intune gibi bulut hizmetlerine sorunsuzca erişmesini kolaylaştırmak istediğinizde uygulayabileceğiniz karma tabanlı bir dizin tümleştirme senaryosudur. Çoklu oturum açma olmadan, kullanıcılarınızın çevrimiçi ve şirket içi hesaplarınız için ayrı kullanıcı adları ve parolaları bulundurması gerekir.

STS, merkezi kimlik doğrulaması, yetkilendirme ve SSO'nun kapsamını çevre ağları, iş ortağı ağları ve bulut gibi neredeyse her yerde bulunan Web uygulamalarına ve hizmetlerine genişleterek kimlik federasyonuna olanak tanır. Microsoft bulut hizmetiyle çoklu oturum açma erişimi sağlamak için bir STS yapılandırdığınızda, şirket içi STS'niz ile Azure AD kiracınızda belirttiğiniz federasyon etki alanı arasında bir federasyon güveni oluşturursunuz.

Azure AD, aşağıdaki güvenlik belirteci hizmetlerinden birini kullanan çoklu oturum açma senaryolarını destekler:

  • Active Directory Federasyon Hizmetleri (AD FS)

  • Shibboleth Kimlik Sağlayıcısı

  • Üçüncü taraf kimlik sağlayıcıları

Aşağıdaki diyagramda, şirket içi Active Directory ve STS sunucu grubunuzun bir veya daha fazla bulut hizmetlerine erişim sağlamak için Azure AD kimlik doğrulama sistemiyle nasıl etkileşime geçtiğini gösterilmektedir. Çoklu oturum açmayı ayarladığınızda, STS'niz ile Azure AD kimlik doğrulama sistemi arasında bir federasyon güveni oluşturursunuz. Yerel Active Directory kullanıcıları, şirket içi STS'nizden federasyon güveni aracılığıyla kullanıcıların isteklerini yeniden yönlendiren kimlik doğrulama belirteçleri alır. Bu, kullanıcılarınızın farklı kimlik bilgileriyle oturum açmaya gerek kalmadan abone olduğunuz bulut hizmetlerine sorunsuz bir şekilde erişmesini sağlar.

Directory sync with single sign-on scenario

Bu senaryonun uygulanması avantajları

Çoklu oturum açma uyguladığınızda kullanıcılar için net bir avantaj vardır: Şirketinizin abone olduğu bulut hizmetine erişmek için şirket kimlik bilgilerini kullanmalarına olanak tanır. Kullanıcıların yeniden oturum açması ve birden çok parolayı hatırlaması gerekmez.

Kullanıcıların avantajlarına ek olarak, yöneticilerin birçok avantajı vardır:

  • İlke denetimi: Yönetici, yöneticiye bulutta ek görevler gerçekleştirmek zorunda kalmadan parola ilkelerini, iş istasyonu kısıtlamalarını, kilitleme denetimlerini ve daha fazlasını yönetme olanağı sağlayan Active Directory aracılığıyla hesap ilkelerini denetleyebiliyor.

  • Erişim denetimi: Yönetici bulut hizmetine erişimi kısıtlayabilir, böylece hizmetlere şirket ortamı, çevrimiçi sunucular veya her ikisi üzerinden erişilebilir.

  • Azaltılmış destek çağrıları: Unutulan parolalar, tüm şirketlerde yaygın bir destek çağrısı kaynağıdır. Kullanıcıların hatırlaması gereken parola sayısı daha azsa, bunları unutma olasılıkları daha düşüktür.

  • Güvenlik: Çoklu oturum açmada kullanılan tüm sunucular ve hizmetler şirket içinde yönetildiğinden ve denetlendiğinden kullanıcı kimlikleri ve bilgiler korunur.

  • Güçlü kimlik doğrulaması desteği: Bulut hizmetiyle güçlü kimlik doğrulaması (iki öğeli kimlik doğrulaması olarak da adlandırılır) kullanabilirsiniz. Ancak, güçlü kimlik doğrulaması kullanıyorsanız çoklu oturum açma kullanmanız gerekir. Güçlü kimlik doğrulaması kullanımıyla ilgili kısıtlamalar vardır. STS'niz için AD FS kullanmayı planlıyorsanız daha fazla bilgi için bkz. AD FS 2.0 için Gelişmiş Seçenekleri Yapılandırma .

Bu senaryo kullanıcınızın bulut tabanlı oturum açma deneyimini nasıl etkiler?

Kullanıcının çoklu oturum açma deneyimi, kullanıcının bilgisayarının şirketinizin ağına nasıl bağlı olduğuna, kullanıcının bilgisayarının hangi işletim sistemini çalıştırdığına ve yöneticinin STS altyapısını Azure AD etkileşim kuracak şekilde nasıl yapılandırdığına bağlı olarak değişir.

Aşağıda, ağ içinden çoklu oturum açma ile kullanıcı deneyimleri açıklanmaktadır:

  • Şirket ağındaki iş bilgisayarı: Kullanıcılar iş yerindeyken ve şirket ağında oturum açtığında, çoklu oturum açma, yeniden oturum açmadan bulut hizmetine erişmelerini sağlar.

Kullanıcı şirketinizin ağı dışından bağlanıyorsa veya aşağıdaki durumlarda olduğu gibi belirli cihazlardan veya uygulamalardan hizmetlere erişiyorsa, bir STS proxy'si dağıtmanız gerekir. STS'niz için AD FS kullanmayı planlıyorsanız, AD FS ara sunucusunu ayarlama hakkında daha fazla bilgi için bkz . Denetim Listesi: Çoklu oturum açmayı uygulamak ve yönetmek için AD FS kullanma.

  • İş bilgisayarı, dolaşım: Etki alanına katılmış bilgisayarlarda şirket kimlik bilgileriyle oturum açan ancak şirket ağına (örneğin, evde veya otelde bir iş bilgisayarı) bağlı olmayan kullanıcılar bulut hizmetine erişebilir.

  • Ev veya ortak bilgisayar: Kullanıcı şirket etki alanına katılmayan bir bilgisayar kullandığında, kullanıcının bulut hizmetine erişmek için kurumsal kimlik bilgileriyle oturum açması gerekir.

  • Akıllı telefon: Akıllı telefonda, Microsoft Exchange ActiveSync kullanarak Microsoft Exchange Online gibi bulut hizmetine erişmek için kullanıcının kurumsal kimlik bilgileriyle oturum açması gerekir.

  • Microsoft Outlook veya diğer e-posta istemcileri: Kullanıcı, Outlook veya Office parçası olmayan bir e-posta istemcisi (örneğin, bir IMAP veya POP istemcisi) kullanıyorsa e-postasına erişmek için kurumsal kimlik bilgileriyle oturum açmalıdır.

    STS'niz olarak Shibboleth kullanıyorsanız, çoklu oturum açmanın akıllı telefon, Microsoft Outlook veya diğer istemcilerle çalışması için Shibboleth Kimlik Sağlayıcısı ECP uzantısını yüklediğinizden emin olun. Daha fazla bilgi için bkz. Shibboleth'i çoklu oturum açma ile kullanmak üzere yapılandırma.

Kuruluşunuz için bu senaryoya hazır mısınız?

Öyleyse, çoklu oturum açma yol haritasında sağlanan adımları izleyerek başlamanızı öneririz.

Ayrıca Bkz.

Kavramlar

Dizin tümleştirmesi
Hangi dizin tümleştirme senaryosunun kullanılacağını belirleme