Ověření a správa jednotného přihlašování pomocí služby AD FS 2.0

Publikováno: červen 2012

Platí pro: Office 365, Windows Intune

Před ověřením a správou jednotného přihlašování (nazývá se také federace identit) je třeba, abyste se jako správci seznámili s informacemi a provedli kroky k nastavení jednotného přihlašování, které jsou uvedeny v následujících článcích:

• Příprava jednotného přihlašování

• Plan for and deploy AD FS 2.0 for use with single sign-on

• Synchronizace adresářů: rozcestník

• Instalace prostředí Windows PowerShell pro jednotné přihlašování se službou AD FS 2.0

Po nastavení jednotného přihlašování byste měli ověřit, zda pracuje správně. Máte k dispozici několik volitelných úloh správy, které můžete občas provést, a udržovat tak jednotné přihlašování v bezproblémovém chodu.

Co chcete udělat?

• Ověření, zda bylo jednotné přihlašování nastaveno správně

• Nastavit naplánovanou úlohu, která automaticky aktualizuje službu Windows Azure AD v případě změny podpisového certifikátu tokenu

• Správa jednotného přihlašování

Ověření, zda bylo jednotné přihlašování nastaveno správně

Chcete-li ověřit, zda bylo jednotné přihlašování správně nastaveno, můžete provést následující postup, který vám pomůže potvrdit, zda jste schopni se přihlásit ke cloudové službě s podnikovými pověřeními. Projděte si informace v tématu Testování různých scénářů použití jednotného přihlašování a Použití nástroje Microsoft Remote Connectivity Analyzer.

Správné nastavení jednotného přihlašování ověříte níže uvedeným postupem.

1. Použijte počítač připojený k doméně a přejděte na portál služeb Microsoft Office 365.

2. Přihlaste se pomocí stejného přihlašovacího jména, které používáte jako podniková pověření.

3. Klikněte do pole hesla. Je-li nastaveno jednotné přihlašování, pole hesla bude nedostupné (šedé) a zobrazí se následující zpráva: „Nyní se musíte přihlásit ve společnosti <vaše společnost>.“

4. Klikněte na odkaz Přihlásit ve společnosti <vaše společnost>.

   Můžete-li se přihlásit, jednotné přihlašování bylo nastaveno.

Testování různých scénářů použití jednotného přihlašování

Po ověření dokončení jednotného přihlašování je třeba, abyste otestovali následující scénáře přihlášení a zajistili tak správnou konfiguraci jednotného přihlašování a nasazení služby AD FS 2.0. Požádejte skupinu uživatelů, aby otestovali přístup ke cloudové službě jak z prohlížečů, tak z aplikací typu Rich Client, jako jsou aplikace Microsoft Office 2010, a to v následujících prostředích:

• Z počítače připojeného k doméně

• Z počítače nepřipojeného k doméně uvnitř podnikové sítě

• Z roamingového počítače připojeného k doméně mimo podnikovou síť

• Z různých operačních systémů, které ve společnosti používáte

• Z domácího počítače

• Z internetové kavárny (otestování přístupu ke službám cloudová služba pouze prostřednictvím prohlížeče)

• Ze smartphonu (například ze smartphonu využívajícího protokol Microsoft Exchange ActiveSync)

Použití nástroje Microsoft Remote Connectivity Analyzer

Chcete-li otestovat připojení pomocí jednotného přihlašování, můžete použít Microsoft Remote Connectivity Analyzer. Klikněte na kartu Office 365 klikněte na přepínač Microsoft Single Sign-On a potom klikněte na tlačítko Next. Proveďte test podle pokynů na obrazovce. Nástroj pro analýzu ověřuje, zda se můžete přihlásit ke službám cloudová služba s podnikovými pověřeními. Také ověřuje určitou základní konfiguraci služby AD FS 2.0.

Co chcete udělat?

Nastavit naplánovanou úlohu, která automaticky aktualizuje službu Windows Azure AD v případě změny podpisového certifikátu tokenu

Ve výchozím nastavení vygeneruje služba AD FS 2.0 nový podpisový certifikát tokenu podepsaný svým držitelem (self-signed certificate) 20 dní před každoročním vypršením platnosti certifikátu. Změna certifikátu nebo vygenerování nového certifikátu v případě, že platnost stávajícího certifikátu brzy vyprší, a jeho následné povýšení na primární certifikát platí pouze pro certifikáty podepsané svým držitelem (self-signed certificate) vygenerované službou AD FS 2.0.

Podpisový certifikát tokenu má zásadní význam pro stabilitu služby FS (Federation Service). Dojde-li k jeho změně, je třeba tuto změnu oznámit službě Windows Azure AD. V opačném případě se žádosti odeslané vašim cloudovým službám nezdaří. Na primárním federačním severu a na všech federačních serverech s možností zápisu je nutné stáhnout a nakonfigurovat instalační nástroj společnosti Microsoft pro automatizaci aktualizace metadat federace. Dojde tím k automatickému a pravidelnému monitorování a aktualizaci metadat federace služby Windows Azure AD. Všechny změny provedené v podpisovém certifikátu tokenu ve federační službě AD FS 2.0 jsou automaticky replikovány do služby Windows Azure AD.

Předpoklady pro úspěšné spuštění tohoto nástroje:

• Je nutné, aby byla nasazena minimálně jedna federační služba AD FS 2.0.

• Musí být dokončeny kroky z tématu Nastavení důvěryhodnosti mezi službou AD FS 2.0 a službou Windows Azure AD.

• Tento nástroj musí být spuštěn na vašem primárním federačním serveru nebo na federačním serveru s možností zápisu.

• Je nutné, abyste měli přistup k pověřením globálního správce pro svého klienta služby Windows Azure AD tenant.

  Poznámka

  Pokud jste nenastavili pověření globálního správce s možností bez vypršení platnosti hesla, je nutné znovu spustit tento nástroj s novým heslem, jakmile platnost hesla pro účet globálního správce vyprší. V opačném případě se naplánovaná úloha nezdaří.

Postup pro spuštění tohoto nástroje:

1. Stáhněte si a uložte instalační nástroj společnosti Microsoft pro automatizaci aktualizace metadat federace do svého počítače.

2. Spusťte modul Windows PowerShell pro správce a následně změňte adresář na adresář, do kterého jste nástroj zkopírovali.

3. Na příkazovém řádku zadejte příkaz .\O365-Fed-MetaData-Update-Task-Installation.ps1 a stiskněte klávesu ENTER.

4. Na příkazovém řádku zadejte název federované domény a stiskněte klávesu ENTER.

5. Na příkazovém řádku zadejte svá pověření k ID uživatele a stiskněte klávesu ENTER.

6. Na příkazovém řádku zadejte svá pověření místního správce a stiskněte klávesu ENTER.

Po dokončení těchto kroků vytvoří skript naplánovanou úlohu pro spuštění s pověřeními místního správce zadanými výše v kroku 6. Naplánovaná úloha se bude spouštět jednou denně.

Správa jednotného přihlašování

K dispozici jsou další volitelné či občasné úlohy, které můžete provádět, chcete-li jednotné přihlašování udržovat v bezproblémovém chodu.

V tomto oddílu

• Přidání adres URL k důvěryhodným serverům v aplikaci Internet Explorer

• Zamezení přihlášení uživatelů ke cloudové službě

• Zobrazení aktuálního nastavení

• Aktualizace vlastností důvěryhodnosti

• Obnovení serveru služby AD FS 2.0

Přidání adres URL k důvěryhodným serverům v aplikaci Internet Explorer

Poté, co v rámci nastavení jednotného přihlašování přidáte nebo převedete své domény, budete pravděpodobně chtít přidat plně kvalifikovaný název domény svého serveru AD FS 2.0 do seznamu důvěryhodných serverů v aplikaci Internet Explorer. Tím zajistíte, že uživatelé nebudou vyzváni k zadání hesla serveru AD FS 2.0. Tuto změnu je třeba provést na klientovi. Tuto změnu můžete pro uživatele provést také zadáním nastavení zásad skupiny, čímž bude tato adresa URL automaticky přidána do seznamu důvěryhodných serverů pro počítače připojené k doméně. Další informace naleznete v nastavení zásad aplikace Internet Explorer.

Zamezení přihlášení uživatelů ke cloudové službě

Služba AD FS 2.0 poskytuje správcům možnost definovat vlastní pravidla, která uživatelům udělí nebo odepřou přístup. V případě jednotného přihlašování je vlastní pravidla třeba použít na důvěryhodnost předávající strany spojenou s cloudovou službou. Tuto důvěryhodnost jste vytvořili, když jste při nastavování jednotného přihlašování spustili rutiny Windows PowerShell.

Další informace o způsobu zamezení přihlášení uživatelů ke službám naleznete v tématu Vytvoření pravidla pro povolení nebo odepření uživatelů na základě příchozí deklarace identity. Další informace o spouštění rutin pro nastavení jednotného přihlašování naleznete v tématu Instalace prostředí Windows PowerShell pro jednotné přihlašování se službou AD FS 2.0.

Zobrazení aktuálního nastavení

Budete-li kdykoli chtít zobrazit nastavení aktuálního serveru služby AD FS 2.0 nebo cloudové služby, můžete spustit nástroj Modul Windows Azure Active Directory pro prostředí Windows PowerShell, spustit rutinu Connect-MSOLService a pak spustit rutinu Get-MSOLFederationProperty –DomainName <domain>. To vám umožní ověřit, že nastavení na serveru AD FS 2.0 jsou v souladu s nastaveními ve službách cloudová služba. Pokud se nastavení neshodují, můžete spustit rutinu Update-MsolFederatedDomain –DomainName <domain>. Další informace naleznete v následující části s názvem Aktualizace vlastností důvěryhodnosti.

Co chcete udělat?

Aktualizace vlastností důvěryhodnosti

Vlastnosti důvěryhodného jednotného přihlašování ve službách cloudová služba je nutné aktualizovat v následujících případech:

• **Změnila se adresa URL:**Pokud provedete změny adresy URL serveru služby AD FS 2.0, je nutné aktualizovat vlastnosti důvěryhodnosti.

• Změnil se primární podpisový certifikát tokenu: Změna primárního podpisového certifikátu tokenu vyvolá v prohlížeči událostí serveru služby AD FS 2.0 událost ID 334 nebo událost ID 335. Doporučujeme prohlížeč událostí kontrolovat pravidelně, minimálně jednou za týden.

  Chcete-li zobrazit události serveru AD FS 2.0, postupujte podle následujících kroků.

  1. Klikněte na tlačítko Start a poté na položku Ovládací panely. V zobrazení Kategorieklikněte na položku Systém a zabezpečení, položku Nástroje pro správu a poté na položku Prohlížeč událostí.

  2. Události serveru AD FS 2.0 zobrazíte kliknutím na položkuProtokoly aplikací a služeb, AD FS 2.0 a pak na položku Správce v levém podokně Prohlížeče událostí.

• Platnost podpisového certifikátu tokenu má platnost jeden rok: Podpisový certifikát tokenu má zásadní význam pro stabilitu služby FS (Federation Service). Dojde-li k jeho změně, tuto změnu je třeba oznámit službám Windows Azure AD. V opačném případě se žádosti odeslané vašim cloudovým službám nezdaří.

  Postupujte podle kroků uvedených v tomto tématu výše v části Nastavení naplánované úlohy, které vás provedou stažením a konfigurací instalačního nástroje společnosti Microsoft pro automatizaci aktualizace metadat federace. Tento nástroj bude automaticky a pravidelně monitorovat a aktualizovat metadat federace služby Windows Azure AD. Všechny změny provedené v podpisovém certifikátu tokenu ve federační službě AD FS 2.0 jsou tak automaticky replikovány do služby Windows Azure AD

Vlastnosti důvěryhodnosti konfigurujete ručně níže uvedeným postupem.

1. Otevřete nástroj Modul Windows Azure Active Directory pro prostředí Windows PowerShell.

2. Spusťte rutinu $cred=Get-Credential. Jakmile vás tato rutina vyzve k zadání pověření, zadejte pověření účtu správce cloudové služby.

3. Spusťte rutinu Connect-MsolService –Credential $cred. Tato rutina vás připojí ke službám cloudová služba. Vytvoření kontextu, který vás připojí ke službám cloudová služba je vyžadováno před spuštěním jakýchkoli dodatečných rutin instalovaných nástrojem.

4. Spusťte rutinu Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>, kde <primární server AD FS 2.0> je interním plně kvalifikovaným názvem domény primárního serveru AD FS 2.0. Tato rutina vytvoří kontext, který vás připojí ke službě AD FS 2.0.

   Poznámka

   Pokud jste instalovali nástroj Modul Windows Azure Active Directory v primárním serveru AD FS 2.0, není nutné spouštět tuto rutinu.

5. Spusťte rutinu Update-MSOLFederatedDomain –DomainName <domain>. Tato rutina aktualizuje nastavení ze služby AD FS 2.0 do služeb cloudová služba a konfiguruje vztah důvěryhodnosti mezi těmito dvěma službami.

Co chcete udělat?

Obnovení serveru služby AD FS 2.0

V případě, že ztratíte primární server a nebudete jej moci obnovit, bude třeba zvýšit úroveň jiného serveru, z něhož se tak stane primární server. Další informace naleznete v tématu Služba AD FS 2.0 – Jak nastavit primární federační server ve farmě WID.

Pokud ztratíte všechny servery ve farmě, je nezbytné obnovit důvěryhodnost podle následujících kroků:

1. Otevřete nástroj Modul Windows Azure Active Directory.

2. Spusťte rutinu $cred=Get-Credential. Jakmile vás rutina vyzve k zadání pověření, zadejte pověření účtu správce cloudové služby.

3. Spusťte rutinu Connect-MsolService –Credential $cred. Tato rutina vás připojí ke službám cloudová služba. Vytvoření kontextu, který vás připojí ke službám cloudová služba je vyžadováno před spuštěním jakýchkoli dodatečných rutin instalovaných nástrojem.

4. Spusťte rutinu Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>, kde <primární server AD FS 2.0> je interním plně kvalifikovaným názvem domény primárního serveru AD FS 2.0. Tato rutina vytvoří kontext, který vás připojí ke službě AD FS 2.0.

   Poznámka

   Pokud jste instalovali nástroj Modul Windows Azure Active Directory v primárním serveru AD FS 2.0, není nutné spouštět tuto rutinu.

5. Spusťte rutinu Update-MsolFederatedDomain –DomainName <domain>, kde <doména> označuje doménu, pro kterou chcete aktualizovat vlastnosti. Tato rutina aktualizuje vlastnosti a vytvoří vztah důvěryhodnosti.

6. Spusťte rutinu Get-MsolFederationProperty –DomainName <domain>, kde <doména> označuje doménu, pro kterou chcete zobrazit vlastnosti. Pak můžete porovnat vlastnosti z primárního serveru AD FS 2.0 s vlastnostmi služeb cloudová služba, abyste měli jistotu, že se shodují. Pokud se neshodují, synchronizujte vlastnosti opětovným spuštěním rutiny Update-MsolFederatedDomain –DomainName <domain>.

Viz také

Koncepty

Jednotné přihlašování: rozcestník
Příprava jednotného přihlašování
Synchronizace adresářů: rozcestník
Instalace prostředí Windows PowerShell pro jednotné přihlašování se službou AD FS 2.0
Odstraňování potíží s jednotným přihlašováním

Další zdroje informací

Plan for and deploy AD FS 2.0 for use with single sign-on