Azure AD Connect 用戶登錄選項的示例分析

這篇文章將為大家詳細講解有關Azure AD Connect 用戶登錄選項的示例分析，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

Azure AD Connect 相信大家都使用過，他的作用是讓用戶使用同一帳戶密碼訪問本地和云資源。使IT管理員只需要對本地DC進行用戶的管理即可。
在新版的Azure AD Connect中，用戶的登錄選項發生了一些變化，添加了一項：直通身份驗證，目前的身份驗證方式包括3種：
1)  密碼同步
2)  直通身份驗證
3)  ADFS聯合身份驗證
并且增加了：無縫SSO，此功能可以和密碼同步及直通身份驗證配合使用，在本地加入域的PC使用域帳戶登錄系統后可以直接訪問云資源，而不需要再輸入憑據
如下圖：

針對以上登錄選項，我們應該選擇哪種方式，大家可以參考下圖：

SSO支持的瀏覽器見下表：

下面我會針對以下2種認證方式的區別進行重點介紹：
1)  使用SSO的密碼同步
2)  使用SSO的直通身份驗證

關于以上2種認證方式的優點如下：
?   Great user experience
o   Users are automatically signed into both on-premises and cloud-based applications.
o   Users don't have to enter their passwords repeatedly.
?   Easy to deploy & administer
o   No additional components needed on-premises to make this work.
o   Works with any method of cloud authentication - Password Hash Synchronizationor Pass-through Authentication.
o   Can be rolled out to some or all your users using Group Policy.
Register non-Windows 10 devices with Azure AD without the need for any AD FS infrastructure. This capability needs you to use version 2.1 or later of the workplace-join client.

以上2種認證方式的工作原理見下圖：

具體配置的操作過程，大家可以參考下面的鏈接：
https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start
需要注意的一點是：如果使用以上2種方式中的任意一種，我們都需要在所有加域的PC的瀏覽器中添加本地intranet地址：
https://autologon.microsoftazuread-sso.com
https://aadg.windows.net.nsatc.net
如下圖：


添加方式，我們可以通過組策略實現（此過程也可以參考上面的鏈接）
重要的一點區別是：
使用SSO的密碼同步如果本地Azure AD connect出現故障后，用戶去登錄云資源的時候會彈出憑據框，讓用戶輸入憑據（因為SSO的密碼同步已經將本地用戶的密碼hash值同步到的Azure AD），因此我們只需要輸入本地帳戶的用戶名和密碼即可登錄；
如果我們使用的是SSO的直通身份驗證，當本地Azure AD connect出現故障后，用戶就無法登錄云資源（因為此認證方式不會將用戶的密碼同步到Azure AD）。
因此，如果我們使用的是SSO的直通身份驗證，建議使用高可用部署

關于Azure AD Connect 用戶登錄選項的示例分析就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。