Nastavení důvěryhodnosti mezi poskytovatelem identit Shibboleth a službou Windows Azure AD

Publikováno: červen 2012

Platí pro: Office 365, Windows Azure Active Directory, Windows Intune

Poznámka

V tomto tématu je k dispozici obsah online nápovědy, který se vztahuje na více cloudových služeb společnosti Microsoft, včetně služby Windows Intune a služeb Office 365.

Domény služby Windows Azure AD jsou federovány pomocí modulu služeb Microsoft Online Services. Pomocí modulu služeb Microsoft Online Services Module můžete spustit řadu rutin v rozhraní příkazového řádku prostředí Windows PowerShell a přidat nebo převést domény pro jednotné přihlašování.

Důležité

Než dokončíte kroky podle pokynů v tomto tématu, je nutné si projít a dokončit kroky v tématu Instalace prostředí Windows PowerShell pro jednotné přihlašování s poskytovatelem identit Shibboleth.

Každá doména služby Active Directory, kterou chcete federovat pomocí poskytovatele identit Shibboleth, musí být buď přidána jako doména s jednotným přihlašováním, nebo je nutné ji ze standardní domény na doménu s jednotným přihlašováním převést. Přidáním nebo převedením domény nastavíte důvěryhodnost mezi poskytovatelem identit Shibboleth a službou Windows Azure Active Directory.

Následující kroky vás provedou postupem převedení existující standardní domény na federovanou doménu.

  1. Otevřete nástroj Modul Windows Azure Active Directory.

  2. Spusťte rutinu $cred=Get-Credential. Jakmile vás rutina vyzve k zadání pověření, zadejte pověření účtu správce cloudové služby.

  3. Spusťte rutinu Connect-MsolService –Credential $cred. Tato rutina vás připojí ke službám cloudová služba. Vytvoření kontextu, který vás připojí ke službám cloudová služba je vyžadováno před spuštěním jakýchkoli dodatečných rutin instalovaných nástrojem.

  4. Spuštěním následujících příkazů převeďte existující doménu (v tomto příkladu mail.contoso.com) na doménu pro jednotné přihlašování:

    $dom = "mail.contoso.com”
    $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
    $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
    $uri = "https://idp.contoso.com/idp/shibboleth"
    $logouturl = "https://idp.contoso.com/logout/" 
    $cert = "MIIFYzCCBEugAw...2tLRtyN"
    
    Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
    

    Poznámka

    $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP je nutné spustit pouze v případě, že nastavujete rozšíření ECP poskytovatele identit Shibboleth. Jde sice o volitelný krok, doporučujeme však rozšíření ECP poskytovatele identit Shibboleth nainstalovat, aby jednotné přihlašování fungovalo se smartphony, aplikací Microsoft Outlook a dalšími klienty. Další informace naleznete v části Volitelné: Instalace rozšíření ECP poskytovatele identit Shibboleth v tématu Konfigurace poskytovatele identit Shibboleth pro použití s jednotným přihlašováním.

Viz také

Koncepty

Instalace prostředí Windows PowerShell pro jednotné přihlašování s poskytovatelem identit Shibboleth
Implementace jednotného přihlášení pomocí poskytovatele identit Shibboleth