Azure AD Connect 相信大家都使用过,他的作用是让用户使用同一帐户密码访问本地和云资源。使IT管理员只需要对本地DC进行用户的管理即可。
在新版的Azure AD Connect中,用户的登录选项发生了一些变化,添加了一项:直通身份验证,目前的身份验证方式包括3种:
1) 密码同步
2) 直通身份验证
3) ADFS联合身份验证
并且增加了:无缝SSO,此功能可以和密码同步及直通身份验证配合使用,在本地加入域的PC使用域帐户登录系统后可以直接访问云资源,而不需要再输入凭据
如下图:
针对以上登录选项,我们应该选择哪种方式,大家可以参考下图:
SSO支持的浏览器见下表:
下面我会针对以下2种认证方式的区别进行重点介绍:
1) 使用SSO的密码同步
2) 使用SSO的直通身份验证
关于以上2种认证方式的优点如下:
? Great user experience
o Users are automatically signed into both on-premises and cloud-based applications.
o Users don‘t have to enter their passwords repeatedly.
? Easy to deploy & administer
o No additional components needed on-premises to make this work.
o Works with any method of cloud authentication - Password Hash Synchronizationor Pass-through Authentication.
o Can be rolled out to some or all your users using Group Policy.
Register non-Windows 10 devices with Azure AD without the need for any AD FS infrastructure. This capability needs you to use version 2.1 or later of the workplace-join client.
以上2种认证方式的工作原理见下图:
具体配置的操作过程,大家可以参考下面的链接:
https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start
需要注意的一点是:如果使用以上2种方式中的任意一种,我们都需要在所有加域的PC的浏览器中添加本地intranet地址:
https://autologon.microsoftazuread-sso.com
https://aadg.windows.net.nsatc.net
如下图:
添加方式,我们可以通过组策略实现(此过程也可以参考上面的链接)
重要的一点区别是:
使用SSO的密码同步如果本地Azure AD connect出现故障后,用户去登录云资源的时候会弹出凭据框,让用户输入凭据(因为SSO的密码同步已经将本地用户的密码hash值同步到的Azure AD),因此我们只需要输入本地帐户的用户名和密码即可登录;
如果我们使用的是SSO的直通身份验证,当本地Azure AD connect出现故障后,用户就无法登录云资源(因为此认证方式不会将用户的密码同步到Azure AD)。
因此,如果我们使用的是SSO的直通身份验证,建议使用高可用部署
原文地址:http://blog.51cto.com/liujb/2059160