單一登入藍圖
更新日期:2015 年 6 月 25 日
適用于:Azure、Office 365、Power BI、Windows Intune
單一登入 (SSO) 允許您和您的使用者利用 Active Directory 公司認證來存取 Microsoft 雲端服務。 SSO 同時需要安全性權杖服務 (STS) 基礎結構和 Active Directory 同步。
您必須完成以下步驟,才能實作 SSO:
步驟 1:準備單一登入
步驟 2:設定內部部署安全性權杖服務
步驟 3:設定目錄同步處理
步驟 4:驗證單一登入
步驟 1:準備單一登入
若要準備,您必須確定您的環境符合 SSO 的需求,並確認您的 Active Directory 和 Azure Active Directory 租使用者已設定成與單一登入需求相容的方式。 如需詳細資訊,請參閱為單一登入做好準備。
步驟 2:設定內部部署安全性權杖服務
在已準備您的環境進行單一登入之後,您將需要設定新的內部部署 STS 基礎結構,以將雲端服務的單一登入存取提供給本機和遠端 Active Directory 使用者。 如果您目前在生產環境中有 STS,您可以使用它進行單一登入部署,而不是只要 Azure AD 支援它即可設定新的基礎結構。
目前,Azure AD 支援下列安全性權杖服務:
Active Directory Federation Services (AD FS)
如需如何開始設定 AD FS STS 的詳細資訊,請遵循 檢查清單:使用 AD FS 來實作和管理單一登入中提供的步驟。
Shibboleth 身分識別提供者
如需如何開始設定 Shibboleth STS 的詳細資訊,請遵循 使用 Shibboleth 識別提供者來實作單一登入中提供的步驟。
其他協力廠商身分識別提供者
如需如何開始設定協力廠商身分識別提供者以進行單一登入的詳細資訊,請參閱Azure Active Directory同盟相容性清單:可用來實作單一登入的協力廠商識別提供者。
步驟 3:設定目錄同步處理
若要讓單一登入正常運作,您也必須設定 Active Directory 同步處理。 包括準備、啟動、安裝工具,以及驗證目錄同步作業。 驗證目錄同步作業之後,您要啟動同步處理的使用者。 使用單一登入和目錄同步處理,可確保在雲端服務中正確表示使用者身分識別。
如需如何開始設定目錄同步處理的詳細資訊,請遵循 目錄同步處理藍圖中提供的步驟。
步驟 4:驗證單一登入
在完成設定 Active Directory 同步環境之後,您現在需要驗證 STS 是否如預期般運作,以及驗證是否已對雲端服務正確地設定單一登入。
如需詳細資訊,請參閱 使用 AD FS 驗證和管理單一登入 ,或使用 Shibboleth 驗證單一登入,視您設定的 STS 類型而定。