在前面的混合部署实战配置AAD过程中,我们使用了直通身份认证,还有印象吗?
如果要确认当前使用了哪些身份认证方法,我们可以在AADPortal上进行查看。
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiI9s2RkBnVHFmb1clWvB3MaVnRtp1XlBXe0xCMy81dvRWYoNHLwEzX5xCMx8FesU2cfdGLwATMfRHLGZkRGZkRfJ3bs92YskmNhVTYykVNQJVMRhXVEF1X0hXZ0xCNx8VZ6l2cssmch1mclRXY39CXldWYtlWPzNXZj9mcw1ycz9WL49zZuBnL2ETOxIGOzIWNjNWO0cDZ2QTMzgjYxATMilzNkljNwUTNxAzYzM2LcBTMxIDMy8CXzV2Zh1WavwVbvNmLvR3YxUjL0M3Lc9CX6MHc0RHaiojIsJye.png)
从上图中我们可以看到,混合部署环境中有三种用户身份认证方式,它们分别是:
Active Directory Federation Services(ADFS):联合身份认证
Single Sign-On(SSO):无缝单一认证
Pass-throughAuthentication(PTA):直通身份认证
我们当前使用的是PTA直通身份验证方式,那我们就先从PTA入手讲解,先易后难。
PTA直通身份认证通过在本地服务器上安装代理程序,处理来自AAD上的身份认证请求,是通过本地AD来验证用户密码,确认用户身份。
启用PTA直通身份认证需要通过AADConnect来操作,如果是第一次实施AAD Connect,可以按照我们前面的实战第四章进行操作,如图:
如果已经安装配置过AAD Connect,那么可以在“Change User Sign-in”选项中进行设置。
完成上述设置之后,即可在AAD Portal中“Azure AD Connect”菜单中查看状态:
按微软的最佳实践,PTA需要考虑高可用情况,建议至少需要部署到两台及以上服务器上,并且安全性等同于DC级别。
参考基准为单一身份验证代理可在标准的 4 核 CPU、16 GB RAM 服务器上每秒处理 300 到 400 个身份验证请求,对于大部分公司,3个代理已经能满足高可用和大容量需求。
另外,代理服务器需要访问AAD,需放行80,443,8080出站方向网络端口。
直通身份认证登录页面,我们可以在AAD Portal中“公司品牌”菜单中进行个性化设定。定制化时需注意图片规格,如图所示:
最终的登录页效果(测试效果,略丑):
如果要禁用PTA认证,则需要重新运行 Azure ADConnect 向导,将用户登录方法从PTA更改为另一种方法,比如ADFS。 此更改将禁用租户上的传递身份验证并从该服务器上卸载身份验证代理,其他服务器上的代理需要手动卸载。
下一章,我们一起来学习第二种身份认证方法:SSO无缝身份认证,该种方法部署成功后,用户体验会有质的提升。