使用 Azure Active Directory 直通身份验证进行用户登录

什么是 Azure Active Directory 直通身份验证?

Azure Active Directory (Azure AD) 直通身份验证可让用户使用相同的密码登录到在本地应用程序和基于云的应用程序。 此功能为用户提供更好的体验 - 用户可以少记住一个密码,同时可以降低 IT 支持成本,因为用户不太可能会忘记登录方法。 当用户使用 Azure AD 登录时,此功能可针对本地 Active Directory 直接验证用户的密码。

此功能可替代 Azure AD 密码哈希同步,为组织提供相同的云身份验证优势。 但是,某些组织的安全和合规性策略不允许在其内部边界之外发送用户的密码,即使采用哈希格式。 直通身份验证就是这种组织的理想解决方案。

Azure AD 直通身份验证

可将直通身份验证与无缝单一登录功能结合使用。 这样一来,当用户在其企业计算机上访问位于你的企业网络中的应用程序时,不需要键入密码即可登录。

使用 Azure AD 直通身份验证的重要优势

  • 更好的用户体验

    • 用户使用相同的密码登录到本地应用程序和基于云的应用程序。
    • 在解决密码相关的问题时,用户可以花费更少的时间来与 IT 支持人员沟通。
  • 易于部署和管理

    • 无需复杂的本地部署或网络配置。
    • 只需在本地安装一个轻型代理。
    • 无管理开销。 代理会自动接收改进和 Bug 修复。
  • 安全
    • 本地密码永远不会以任何形式存储在云中。
    • 代理只从你的网络内部建立出站连接。 因此,无需在外围网络(也称 DMZ)中安装代理。
    • 可通过无缝使用 Azure AD 条件访问策略(包括多重身份验证 (MFA)),也可通过筛选出密码搜索攻击来保护用户帐户。
  • 高度可用
    • 可在多台本地服务器上安装其他代理,提供登录请求的高可用性。

功能特点

  • 支持用户登录到所有基于 Web 浏览器的应用程序和使用新式身份验证的 Microsoft Office 客户端应用程序。
  • 登录用户名可以是本地默认用户名 (userPrincipalName),也可以是 Azure AD Connect 中配置的另一个属性(称为 Alternate ID)。
  • 该功能与多重身份验证 (MFA) 等条件访问功能无缝配合,帮助保护用户。
  • 如果 AD 林之间存在信任关系并且正确配置了名称后缀路由,则支持多林环境。
  • 这是一项免费功能,不需要拥有任何付费版本的 Azure AD 即可使用此功能。
  • 可通过 Azure AD Connect 启用此功能。
  • 此功能使用轻型本地代理侦听和响应密码验证请求。
  • 安装多个代理可提供登录请求的高可用性。
  • 该功能保护本地帐户免受云中的密码搜索攻击。

后续步骤