Azure AD Connect 用戶登錄選項介紹
在新版的Azure AD Connect中,用戶的登錄選項發生了一些變化,添加了一項:直通身份驗證,目前的身份驗證方式包括3種:
1) 密碼同步
2) 直通身份驗證
3) ADFS聯合身份驗證
並且增加了:無縫SSO,此功能可以和密碼同步及直通身份驗證配合使用,在本地加入域的PC使用域帳戶登錄系統後可以直接訪問雲資源,而不需要再輸入憑據
如下圖:
針對以上登錄選項,我們應該選擇哪種方式,大家可以參考下圖:
SSO支持的瀏覽器見下表:
下面我會針對以下2種認證方式的區別進行重點介紹:
2) 使用SSO的直通身份驗證
關於以上2種認證方式的優點如下:
? Great user experience
o Users are automatically signed into both on-premises and cloud-based applications.
o Users don‘t have to enter their passwords repeatedly.
? Easy to deploy & administer
o No additional components needed on-premises to make this work.
o Can be rolled out to some or all your users using Group Policy.
Register non-Windows 10 devices with Azure AD without the need for any AD FS infrastructure. This capability needs you to use version 2.1 or later of the workplace-join client.
以上2種認證方式的工作原理見下圖:
具體配置的操作過程,大家可以參考下面的鏈接:
https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start
需要註意的一點是:如果使用以上2種方式中的任意一種,我們都需要在所有加域的PC的瀏覽器中添加本地intranet地址:
https://autologon.microsoftazuread-sso.com
https://aadg.windows.net.nsatc.net
如下圖:
添加方式,我們可以通過組策略實現(此過程也可以參考上面的鏈接)
重要的一點區別是:
使用SSO的密碼同步如果本地Azure AD connect出現故障後,用戶去登錄雲資源的時候會彈出憑據框,讓用戶輸入憑據(因為SSO的密碼同步已經將本地用戶的密碼hash值同步到的Azure AD),因此我們只需要輸入本地帳戶的用戶名和密碼即可登錄;
如果我們使用的是SSO的直通身份驗證,當本地Azure AD connect出現故障後,用戶就無法登錄雲資源(因為此認證方式不會將用戶的密碼同步到Azure AD)。
因此,如果我們使用的是SSO的直通身份驗證,建議使用高可用部署
Azure AD Connect 用戶登錄選項介紹