SSO顧名思義,可以使登入連接配接到企業網絡計算機的使用者實作自動登入。 進而讓使用者輕松通路基于雲的應用程式,而無需使用其他任何本地元件,比如我們這次部署完成之後,隻要使用者登入域内計算機,那麼他再登入微軟其他雲應用程式,隻需輸入使用者名,無需輸入密碼即可完成身份驗證,通路應用程式。
SSO無縫單一登入認證是基于“PTA直通身份認證”或“密碼哈希同步”兩種身份認證方式,也就是說如果要啟用SSO,則認證方式必須是二者之一,本次測試我們将接上一章,在PTA直通身份認證的基礎上,啟用無縫SSO。
1.重新運作AAD Connect配置工具,選擇PTA直通身份認證或者密碼哈希同步登陸方法之後,勾選下方的“Enable Single Sign-on”選項:
2.在“Enable single sign-on”向導頁,提供本地域管理者帳号和密碼。
3.按向導完成配置。
完成上述設定之後,即可在AAD Portal中“Azure AD Connect”菜單中檢視狀态:
配置完成之後,會在本地AD中建立一個命名為AZUREADSSOACC的計算機賬号,該計算機賬号要嚴格保護,不可被删除,除域管理者外盡量不要有除預設權限外的其他委派權限。
最後一步,我們需要用組政策向終端使用者推送兩個SSO設定:
将https://autologon.microsoftazuread-sso.com網址添加到用戶端本地Intranet 區域
通過“組政策”啟用“允許通過腳本更新狀态欄”的 Intranet 區域政策
詳細配置如下:
注意:該GPO是針對使用者設定,故需推送到使用者OU,使用者需要登出或者重新開機計算機生效.
1.使用域帳号[email protected]登入域中任意一台計算機,在未獲得步驟3中的組政策設定前,登入
https://myapps.microsoft.com
網站,輸入使用者名之後,會再次要求輸入密碼,如圖:
2. 向使用者o365test2推送步驟3中的組政策設定,然後重新開機計算機後登入,再次登入https://myapps.microsoft.com網站,輸入使用者名後,無需輸入密碼,成功進入網站。
測試過程中,可以使用其他微軟的雲應用程式,驗證結果應該都不用再輸入密碼即可進入。
部署無縫SSO後,會在本地AD域中建立名為AZUREADSSOACC的計算機賬戶,如果該計算機賬号洩露,心懷惡意者可以使用計算機賬戶上的Kerberos 解密密鑰為 AD 林中的任意使用者生成
Kerberos 票證。 然後,惡意執行元件可以為遭到洩漏的使用者模拟 Azure AD 登入。 微軟強烈建議定期滾動更新這些 Kerberos 解密密鑰,至少每
30 天一次更新一次。
更新方法:
在安裝AAD Connect的伺服器上,所需Powershell指令:
以下是各個指令作用說明及相應截圖:
New-AzureADSSOAuthenticationContext:要求登入到AzureAD,需要使用Office365訂閱的管理者賬号。
$creds = Get-Credential:
#提供的本地憑據須以格式(contoso\johndoe 或contoso.com\johndoe)
輸入
更新指令運作成功後截圖:
Update-AzureADSSOForest -OnPremCredentials$creds
1. 使用 Azure AD Connect 禁用租戶上的SSO配置。
運作 Azure AD Connect,選擇“更改使用者登入頁”,并單擊“下一步”,取消選中“啟用單一登入”選項,按提示完成向導配置。
2. 本地AD域中删除計算機賬戶AZUREADSSO,即可完成SSO禁用。
下一章,我們一起來了解一下混合環境下的ADFS聯合身份認證,在前幾年,應該很多混合部署都是用的ADFS聯合身份認證,是以我們會花兩章來分别介紹ADFS部署和ADFS個性化定制。