Nastavení důvěryhodnosti mezi službou AD FS 2.0 a službou Windows Azure AD

  • Článek

Publikováno: červen 2012

Platí pro: Office 365, Windows Azure Active Directory, Windows Intune

Každá doména, kterou chcete federovat, musí být buď přidána jako doména s jednotným přihlašováním, nebo je nutné ji na doménu s jednotným přihlašováním převést. Přidáním nebo převedením domény vytvoříte vztah důvěryhodnosti mezi službou AD FS 2.0 a službami Windows Azure Active Directory.

Důležité

  • Používáte-li kromě domény nejvyšší úrovně (například contoso.com) také subdoménu (například corp.contoso.com), je nutné doménu nejvyšší úrovně přidat do služeb cloudová služba předtím, než registrujete jakékoli subdomény. Pokud je doména nejvyšší úrovně nastavena pro práci s jednotným přihlašováním, jsou automaticky nastaveny také všechny subdomény.

  • Vytvoření vztahu důvěryhodnosti je jednorázová operace. Přidáte-li do serverové farmy více serverů služby AD FS 2.0, již není nutné znovu spouštět nástroj Modul Windows Azure Active Directory.

  • Přidáte-li a ověříte-li doménu v nástroji Modul Windows Azure Active Directory, je nutné ve službách cloudová služba zadat některá další nastavení. Tato nastavení jsou nezbytná pro zobrazení záznamů DNS, které je třeba konfigurovat, aby mohla doména fungovat se službami cloudová služba.

Pokud potřebujete zajistit podporu pro více domén nejvyšší úrovně, je nutné pro všechny rutiny (například pro rutiny využívané v postupech pro přidání nebo převedení domény) používat přepínač SupportMultipleDomain.

Pokud byste například chtěli jak doménu contoso.com, tak i doménu fabrikam.com přidat jako domény jednotného přihlašování, provedli byste pro doménu contoso.com postup pro přidání domény, přičemž v každém kroku, který by zahrnoval rutinu, byste použili přepínač SupportMultipleDomain. V kroku 5 byste tedy například uvedený přepínač použili takto: New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Po dokončení všech kroků v postupu pro doménu contoso.com byste postup opakovali pro doménu fabrikam.com. V kroku 5 byste použili rutinu s přepínačem takto: New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Další informace naleznete v tématu Podpora více domén nejvyšší úrovně.

Provedením jednoho z následujících postupů nastavte federovanou důvěryhodnost se službou Windows Azure AD (v závislosti na tom, zda potřebujete přidat novou doménu, nebo převádíte existující doménu).

  • Přidání domény

  • Převod domény

Přidání domény

  1. Otevřete nástroj Modul Windows Azure Active Directory.

  2. Spusťte rutinu $cred=Get-Credential. Jakmile vás rutina vyzve k zadání pověření, zadejte pověření účtu správce cloudové služby.

  3. Spusťte rutinu Connect-MsolService –Credential $cred. Tato rutina vás připojí ke službám cloudová služba. Vytvoření kontextu, který vás připojí ke službám cloudová služba je vyžadováno před spuštěním jakýchkoli dodatečných rutin instalovaných nástrojem.

  4. Spusťte rutinu Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>, kde <primární server AD FS 2.0> je interním plně kvalifikovaným názvem domény primárního serveru AD FS 2.0. Tato rutina vytvoří kontext, který vás připojí ke službě AD FS 2.0.

    Poznámka

    Pokud jste instalovali nástroj Modul Windows Azure Active Directory v primárním serveru AD FS 2.0, není nutné spouštět tuto rutinu.

  5. Spusťte rutinu New-MsolFederatedDomain –DomainName <domain>, kde <doména> je přidávanou doménou podporující jednotné přihlašování. Tato rutina přidá novou doménu nebo poddoménu nejvyšší úrovně, které budou nakonfigurovány pro federované ověřování.

    Poznámka

    Po přidání domény nejvyšší úrovně pomocí rutiny New-MsolFederatedDomain nebudete moci používat rutinu New-MsolDomain k přidání standardních domén (nefederovaných).

  6. S informacemi, které získáte zadáním rutiny New-MsolFederatedDomain, se obraťte na doménového registrátora, který vytvoří záznam DNS. Tím dojde k ověření, zda danou doménu vlastníte. Upozorňujeme, že v závislosti na registrátorovi může rozšíření této informace trvat až 15 minut. Může trvat až 72 hodin, než se změny rozšíří v systému DNS. Další informace naleznete v tématu Ověření domény u kteréhokoli registrátora názvu domény.

  7. Proces dokončíte dalším spuštěním rutiny New-MsolFederatedDomain, v níž zadáte stejný název domény.

Převod domény

Když převedete určitou stávající doménu na doménu s jednotným přihlašováním, každý licencovaný uživatel se stane federovaným uživatelem, který bude používat svá stávající podniková pověření služby Active Directory (uživatelské jméno a heslo) k přístupu ke cloudové službě. Převedení na jednotné přihlašování nelze v současné době provádět na etapy, avšak pilotní nasazení jednotného přihlašování můžete provést s určitou skupinou uživatelů provozního prostředí z provozní doménové struktury služby Active Directory. Další informace týkající se provedení pilotního nasazení naleznete v části Spuštění pilotního nasazení k otestování jednotného přihlašování před jeho nastavením (volitelné).

Poznámka

Převod je nejlépe provést v době, kdy je nejméně uživatelů, například o víkendu. Tím se omezí dopad na uživatele.

Chcete-li stávající doménu převést na doménu s jednotným přihlašováním, postupujte takto:

  1. Otevřete nástroj Modul Windows Azure Active Directory.

  2. Spusťte rutinu $cred=Get-Credential. Jakmile vás rutina vyzve k zadání pověření, zadejte pověření účtu správce cloudové služby.

  3. Spusťte rutinu Connect-MsolService –Credential $cred. Tato rutina vás připojí ke službám cloudová služba. Vytvoření kontextu, který vás připojí ke službám cloudová služba je vyžadováno před spuštěním jakýchkoli dodatečných rutin instalovaných nástrojem.

  4. Spusťte rutinu Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>, kde <primární server AD FS 2.0> je interním plně kvalifikovaným názvem domény primárního serveru AD FS 2.0. Tato rutina vytvoří kontext, který vás připojí ke službě AD FS 2.0.

    Poznámka

    Pokud jste instalovali nástroj Modul Windows Azure Active Directory v primárním serveru AD FS 2.0, není nutné spouštět tuto rutinu.

  5. Spusťte rutinu Convert-MsolDomainToFederated –DomainName <domain>, kde <doména> označuje převáděnou doménu. Touto rutinou změníte doménu ze standardního ověřování na jednotné přihlašování.

Poznámka

Pokud chcete ověřit, že byl převod úspěšný, porovnejte nastavení na serveru AD FS 2.0 a v rámci cloudové služby spuštěním rutiny Get-MsolFederationProperty –DomainName <domain>, kde <doména> je doména, pro kterou chcete zobrazit nastavení. Pokud se neshodují, můžete synchronizovat nastavení spuštěním rutiny Update-MsolFederatedDomain –DomainName <domain>.

Další krok

Nyní, když jste nainstalovali modul a nastavili federovanou důvěryhodnost nezbytné pro jednotné přihlašování, je nutné nastavit synchronizaci služby Active Directory. Další informace naleznete v tématu Synchronizace adresářů: rozcestník. Po nastavení synchronizace služby Active Directory si prostudujte téma Ověření a správa jednotného přihlašování pomocí služby AD FS 2.0.

Viz také

Koncepty

Jednotné přihlašování: rozcestník
Příprava jednotného přihlašování
Instalace prostředí Windows PowerShell pro jednotné přihlašování se službou AD FS 2.0

Další zdroje informací

Plan for and deploy AD FS 2.0 for use with single sign-on