Azure Active Directory (Entra-ID) Single Sign-On (SSO) Die Lösung ist ein wichtiges Werkzeug, das den Anforderungen moderner Arbeitsplätze gerecht wird. Einmaliges Anmelden (SSO) Sie können die Option zusammen mit der Passwortsynchronisierung oder der Passthrough-Authentifizierung aktivieren.
Azure Active Directory Connect (Entra-ID) Die neueste Version bietet Benutzern großen Komfort und Flexibilität. In dieser neuen Version: „Einmaliges Anmelden (SSO) ”-Funktion kann verwendet werden. Diese Integration verbessert das Benutzererlebnis erheblich.
Konkret in Office 2016 „Moderne AuthentifizierungWenn „aktiviert“ ist, ist der Komfort, der den Benutzern geboten wird, bemerkenswert. In diesem Fall müssen Benutzer nur ihren Benutzernamen eingeben. Wenn die Computer der Benutzer danach mit der Domäne verbunden sind, müssen sie keine Kennwörter mehr eingeben, um sich bei anderen Cloud-Diensten in Office-Anwendungen anzumelden. Dies ist eine Innovation, die die Produktivität der Benutzer steigert und im täglichen Arbeitsablauf erheblich Zeit spart.
Dank dieser neuen Funktion können Benutzer Microsoft 365 zum Dienst bzw Office Sie müssen sich für die Anwendung nicht gesondert anmelden. Gerade für Nutzer, die viele Anwendungen nutzen und häufig zwischen verschiedenen Plattformen wechseln, ist das ein großer Vorteil. Es erhöht auch die Sicherheit dieses Prozesses und schützt vor potenziellen Phishing-Angriffen und anderen Sicherheitsbedrohungen.
Inhaltsverzeichnis
Azure Active Directory (Entra-ID) Um SSO zu verwenden Azure Active Directory Connect (Entra ID Connect)Sie müssen v2.x-Versionen von verwenden.
Microsoft Entra Connect V1 wird nicht mehr unterstützt! – ÇözümPark (cozumpark.com)
Installieren von Azure AD Connect (Entra ID Connect)
Installation und Konfiguration von Azure AD Connect – ÇözümPark (cozumpark.com)
Azure Active Directory (Entra ID) Single Sign-On (SSO) Was ist das?
Azure Active Directory (Entra ID) Single Sign-On (SSO), Microsoft Es handelt sich um einen Identitäts- und Zugriffsverwaltungsdienst, der von angeboten wird. Dieser Dienst ermöglicht Benutzern den sicheren Zugriff auf mehrere Anwendungen und Dienste mit einem einzigen Satz von Anmeldeinformationen. Azure AD SSOermöglicht es Unternehmen und Organisationen, ihre IT-Infrastruktur zu modernisieren, ihre Sicherheit zu erhöhen und das Benutzererlebnis zu verbessern.
Azure Active Directory (Entra ID) Single Sign-On Merkmale
1. Authentifizierung und Autorisierung
Tokenbasierte Authentifizierung: Azure AD speichert Anmeldeinformationen sicher und ermöglicht den Zugriff auf Anwendungen durch die Generierung von Token, die den Standards OAuth 2.0 und OpenID Connect entsprechen.
2. Multi-Faktor-Authentifizierung (MFA)
Um die Sicherheit zu erhöhen, werden mehrere Faktoren (Passwort, Telefonbestätigung, biometrische Daten usw.) verwendet, um die Identität der Benutzer zu überprüfen.
3. Flexible Zugriffsrichtlinien
Organisationen können benutzerspezifische Zugriffsrichtlinien erstellen. Dadurch wird definiert, auf welche Anwendungen Benutzer unter welchen Bedingungen zugreifen können.
4. Anwendungsintegrationen
Azure AD kann in zahlreiche cloudbasierte und native Anwendungen integriert werden. Dies beschränkt sich nicht nur auf Microsoft-Produkte (Office 365, Dynamics 365 usw.), sondern umfasst auch Anwendungen von Drittanbietern wie Salesforce, Google Apps.
5. Benutzer- und Gruppenverwaltung
Benutzerkonten und Gruppen können zentral über Azure AD verwaltet werden. Dies macht es einfach, Anpassungen basierend auf den Rollen und Zugriffsebenen der Benutzer vorzunehmen.
6. Sicherheit und Compliance
Azure AD erhält ständig Sicherheitsupdates und entspricht den internationalen Datenschutzstandards. Es schützt auch vor Sicherheitsbedrohungen, indem es verdächtige Aktivitäten überwacht und meldet.
7. Azure AD Verbinden
Dieses Tool synchronisiert lokale Verzeichnisse (z. B. Active Directory) mit Azure AD, sodass Benutzer nahtlos zwischen lokalen und Cloud-Diensten wechseln können.
Anwendungsszenarien
Heimarbeit: Azure AD SSO bietet Remote-Mitarbeitern sicheren und einfachen Zugriff auf Unternehmensressourcen.
Lokale und Cloud-Integration: Unternehmen können lokale und cloudbasierte Anwendungen in ein einziges Authentifizierungssystem integrieren.
Regulierung und Compliance: Azure AD erfüllt Datenschutz- und Datenschutzstandards durch die Einhaltung von Vorschriften wie der DSGVO.
Azure Active Directory (Entra ID) Single Sign-On (SSO) Wie aktiviere ich?
Es gibt zwei gängige Methoden zum Aktivieren von Azure Active Directory (Entra ID) Single Sign-On (SSO): Passthrough-Authentifizierung und Passwortsynchronisierung. Für beide Methoden gelten eigene Voraussetzungen und Konfigurationsanforderungen.
Aktivieren von SSO mit Pass-Through-Authentifizierung
Wenn zur Aktivierung von SSO die Pass-Through-Authentifizierung verwendet wird, besteht ein wesentlicher Vorteil darin, dass für diese Methode keine besonderen zusätzlichen Voraussetzungen erforderlich sind. Dieser Ansatz bietet ein sicheres Anmeldeerlebnis, indem die Anmeldeinformationen der Benutzer direkt an das lokale Active Directory übertragen werden. Mit dieser Methode kann Azure AD die Anmeldeinformationen der Benutzer direkt überprüfen, sodass keine zusätzliche Konfiguration oder Infrastruktur erforderlich ist.
Aktivieren von SSO mit Passwortsynchronisierung
Wenn SSO mithilfe der Kennwortsynchronisierung aktiviert ist und zwischen Azure AD Connect und Azure AD eine Firewall vorhanden ist, sind die folgenden speziellen Konfigurationen erforderlich:
URL-Kommunikation des Azure AD Connect-Servers: Azure AD Verbinden Server, Muss in der Lage sein, mit „*.msappproxy.net“-URLs zu interagieren. Dazu müssen Firewall-Einstellungen konfiguriert werden, um die Kommunikation mit diesen URLs zu unterstützen.
- Portkonfiguration für HTTPS-Anfragen: Azure AD Verbinden (Version 1.1.484.0 oder höher) an Azure AD über Port 443 HTTPS Muss in der Lage sein, Anfragen zu senden. Diese Einstellung gilt nicht nur für echte Benutzeranmeldungen, sondern auch SSO Es wird auch verwendet, um die Funktion zu aktivieren.
Diese beiden Ansätze Azure AD SSOEs bietet eine flexible Konfiguration zur Anpassung an unterschiedliche IT-Infrastrukturen und Sicherheitsanforderungen von . Pass-Through Während die Authentifizierung eine direkte und sichere Methode ohne die Notwendigkeit einer zusätzlichen Infrastruktur darstellt, stellt die Passwortsynchronisierung, obwohl sie mehr Konfiguration erfordert, eine effektive Lösung dar, insbesondere in Umgebungen mit Firewalls. Diese Methoden werden in Übereinstimmung mit den bestehenden IT-Infrastrukturen und Sicherheitsrichtlinien der Organisationen eingesetzt. Azure AD SSOEs ermöglicht ihnen, sich zu integrieren.
Um Azure AD SSO zu aktivieren, müssen wir zunächst die notwendigen Vorgänge über den Azure AD Connect-Server abschließen. Für diesen Prozess führen wir zunächst die Azure AD-Anwendung aus.
In Azure Active Directory Connect (v2.x) Benutzeranmeldung ändern Wir kommen zum Schritt und fahren mit Weiter fort.
Im Schritt Benutzeranmeldung aktivieren wir den Abschnitt Single Sign-On aktivieren.
Wir müssen den Verifizierungsprozess für On-Prem AD abschließen.
Nachdem wir im Abschnitt „Bereit zum Konfigurieren“ den Abschnitt „Synchronisierungsprozess starten, wenn die Konfiguration abgeschlossen ist“ aktiviert haben, fahren wir mit der Schaltfläche „Konfigurieren“ fort und warten, bis Azure AD den Synchronisierungsprozess abgeschlossen hat.
Wenn die entsprechende Transaktion abgeschlossen ist Active Directory-Benutzer und -Computer im Abschnitt Computer innerhalb des Objekts AZUREADSSO Ein aufgerufenes Objekt wird erstellt, dieser Vorgang verläuft reibungslos. SSO tritt auf, wenn die Aktivierung erfolgt.
Aus Sicherheitsgründen muss das Computerkonto stark geschützt werden. Nur Domänenadministratoren sollten in der Lage sein, das Computerkonto zu verwalten. Stellen Sie sicher, dass die Kerberos-Delegierung für das Computerkonto deaktiviert ist und dass kein anderes Konto in Active Directory über Delegierungsberechtigungen für dieses Computerkonto verfügt. Speichern Sie das Computerkonto in einer Organisationseinheit (OU), wo es vor versehentlichem Löschen geschützt ist und nur Domänenadministratoren darauf zugreifen können. Außerdem ist es wichtig, sensibel mit dem Kerberos-Entschlüsselungsschlüssel im Computerkonto umzugehen. Wir empfehlen dringend, dass Sie den Kerberos-Entschlüsselungsschlüssel des Computerkontos mindestens alle 30 Tage erneuern.
Seamless SSO unterstützt die Verschlüsselungstypen AES256_HMAC_SHA1, AES128_HMAC_SHA1 und RC4_HMAC_MD5 für Kerberos. Für zusätzliche Sicherheit wird empfohlen, den Verschlüsselungstyp des Kontos auf einen der AES-Typen für AzureADSSOAcc$ anstelle von AES256_HMAC_SHA1, AES128_HMAC_SHA1 oder RC4 festzulegen. Der Verschlüsselungstyp wird im Attribut msDS-SupportedEncryptionTypes des Kontos in Active Directory gespeichert. Wenn der Verschlüsselungstyp Ihres Kontos auf RC4_HMAC_MD5 eingestellt ist und Sie ihn in einen der AES-Verschlüsselungstypen ändern möchten, stellen Sie bitte sicher, dass Sie zuerst den Kerberos-Entschlüsselungsschlüssel des Kontos neu generieren, wie im FAQ-Dokument zu dieser Frage beschrieben, andernfalls findet keine nahtlose SSO statt .
GPO-Konfiguration für Azure AD (Entra ID) SSO
GruppenrichtlinienverwaltungWir öffnen und erschaffen ein Neues GPO wir erschaffen, Anschließend müssen Sie das von uns erstellte Gruppenrichtlinienobjekt mit der Organisationseinheit verknüpfen.
Es gibt die folgenden URLs, die explizit zur Intranetzone des Computers hinzugefügt werden müssen. Diese Einstellungen sind erforderlich, damit der Browser die Anmeldeinformationen des aktuell angemeldeten Benutzers in Form eines Kerberos-Tickets an Azure AD senden kann. Dieser Prozess erleichtert Benutzern die nahtlose und sichere Interaktion mit Azure AD und unterstützt den automatischen Authentifizierungsprozess. Die ordnungsgemäße Konfiguration dieser Einstellungen erleichtert Benutzern die Anmeldung beim Zugriff auf integrierte Azure AD-Dienste und macht den Prozess effizienter.
Um diesen Vorgang optimal durchzuführen, können Sie ein Gruppenrichtlinienobjekt (GPO) erstellen:
Erstellen Sie ein Gruppenrichtlinienobjekt, das für alle Benutzer gilt, oder fügen Sie es einem vorhandenen Gruppenrichtlinienobjekt für Internet Explorer hinzu.
Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Internet-Systemsteuerung > Sicherheitsseite > Site-zu-Zone-Zuweisungsliste
Aktivieren Sie die Richtlinie und fügen Sie die folgenden Werte hinzu:
https://autologon.microsoftazuread-sso.com> 1https://aadg.windows.net.nsatc.net> 1
Richtlinien > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Internet-Systemsteuerung > Sicherheitsseite > Intranetzone > Aktualisierungen der Statusleiste per Skript zulassen
Mit diesen Vorgängen wurde der SSO-Aktivierungsprozess für Azure AD (Entra ID) erfolgreich abgeschlossen.
Zusammenfassung:
Azure Active Directory (Entra ID) Single Sign-Onist eine entscheidende Technologie, die Unternehmen dabei hilft, die Herausforderungen zu meistern, denen sie in Bezug auf Effizienz, Sicherheit und Benutzererfahrung gegenüberstehen. Durch die Integration mit Azure AD Connect (Entra ID Connect) vereinfacht es die Identitätsverwaltungs- und Zugriffskontrollprozesse von Unternehmen und bietet die Flexibilität, die die moderne Geschäftswelt benötigt. Diese Funktionen Azure Active Directory (Entra ID) SSOEs macht es zu mehr als nur einer Lösung zur Identitätsprüfung, sondern zu einem strategischen Partner auf dem Weg der digitalen Transformation von Unternehmen.
Ähnliche Artikel – Azure AD (Entra ID) Single Sign On (SSO)
- Neue cloud.microsoft-Domäne für Microsoft 365
- Exchange 441 4.4.1 Bei der Kommunikation mit der primären Ziel-IP-Adresse ist ein Fehler aufgetreten: „421 4.4.2 Verbindung wurde aufgrund von SocketError unterbrochen.“ Es wurde ein Failover auf einen alternativen Host versucht, der jedoch nicht erfolgreich war.
- Neuer Zero Day in Exchange Server
- „NoSupportException“-Fehler beim Zugriff auf das Postfach einer neu erstellten Datenbank in Exchange Server
