Oprette et tillidsforhold mellem AD FS 2.0 og Windows Azure AD

  • Artikel

Udgivet: juni 2012

Gælder for: Office 365, Windows Azure Active Directory, Windows Intune

Hvert domæne, du vil samle, skal enten være tilføjet som et domæne med enkeltlogon eller konverteret til domæne med enkeltlogon fra et standarddomæne. Tilføjelse eller konvertering af et domæne opretter en pålidelig forbindelse mellem AD FS 2.0 og Windows Azure Active Directory.

Vigtigt

  • Hvis du ud over et topniveau-domæne, f.eks. contoso.com, bruger et underdomæne, f.eks. corp.contoso.com, skal du tilføje topniveau-domænet i skytjenesten, inden du tilføjer nogen underdomæner. Når topniveau-domænet er konfigureret til enkeltlogon, konfigureres alle underdomæner også automatisk.

  • Konfiguration af en pålidelig forbindelse er en engangsforeteelse, og du behøver ikke at køre Windows Azure Active Directory-modul igen, hvis du føjer flere AD FS 2.0-servere til din serverfarm.

  • Hvis du tilføjer og bekræfter et domæne med Windows Azure Active Directory-modul, skal du angive ekstra indstillinger i skytjenesten. Disse indstillinger er obligatoriske, så du kan se de DNS-poster, du skal konfigurere for at aktivere dit domæne, så det fungerer sammen med skytjenesten-tjenesterne.

Hvis du har brug for at understøtte flere topniveaudomæner, skal du bruge parameteren SupportMultipleDomain med vilkårlige cmdlet'er, f.eks. de cmdlet'er, der bruges i procedurerne for "Tilføje et domæne" og "Konvertere et domæne".

Hvis du f.eks. vil tilføje både contoso.com og fabrikam.com som enkeltlogondomæner, skal du følge proceduren for "Tilføj et domæne" for contoso.com vha. SupportMultipleDomain-parameteren i hvert trin, der har en cmdlet. Så i trin ville du bruge New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Når du har fuldført alle trinnene i proceduren for contoso.com, ville du gentage proceduren igen for dit fabrikam.com-domæne. I trin 5 ville du bruge New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Du kan finde flere oplysninger under Understøttelse af flere topniveaudomæner.

Fuldfør en af de følgende procedurer for at konfigurere din samlede tillid med Windows Azure AD, afhængigt af om du er nødt til at tilføje et nyt domæne eller konvertere et eksisterende.

  • Tilføje et domæne

  • Konvertere et domæne

Tilføje et domæne

  1. Åbn Windows Azure Active Directory-modul.

  2. Kør $cred=Get-Credential. Når denne cmdlet beder dig om legitimationsoplysninger, skal du angive dine legitimationsoplysninger til administratorkontoen.

  3. Kør Connect-MsolService –Credential $cred. Med denne cmdlet opretter du forbindelse med skytjenesten. Det er nødvendigt, at der skabes en kontekst, som forbinder dig med skytjenesten, inden du kører nogen af de ekstra cmdlet'er, der installeres af værktøjet.

  4. Kør Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>, hvor <AD FS 2.0 primary server> er det interne FQDN-navn på den primære AD FS 2.0-server. Denne cmdlet opretter en kontekst, der opretter forbindelse mellem dig og AD FS 2.0.

    Bemærk

    Hvis du har installeret Windows Azure Active Directory-modul på den primære AD FS 2.0-server, behøver du ikke køre denne cmdlet.

  5. Kør New-MsolFederatedDomain –DomainName <domain>, hvor <domæne> er det domæne, der skal tilføjes og aktiveres for enkeltlogon. Denne cmdlet tilføjer et nyt topniveaudomæne eller underdomæne, der skal konfigureres til samlet godkendelse.

    Bemærk

    Når du har brugt New-MsolFederatedDomain-cmdlet'en til at tilføje et topniveaudomæne, kan du ikke bruge New-MsolDomain-cmdlet'en til at tilføje standarddomæner (ikke-samlet).

  6. Brug de oplysninger, som angives i resultaterne for New-MsolFederatedDomain-cmdlet'en, og kontakt domæneregistratoren for at oprette den nødvendige DNS-post. Dette bekræfter, at du ejer domænet. Bemærk, at det kan tage op til et kvarter, før det træder i kraft, afhængigt af registratoren. Det kan tage op til 72 timer, før ændringerne slår igennem via systemet. Du kan finde flere oplysninger i Bekræfte et domæne hos en domæneregistrator.

  7. Kør New-MsolFederatedDomain igen, og angiv samme domænenavn for at afslutte processen.

Konvertere et domæne

Når du konverterer et eksisterende domæne til et enkeltlogondomæne, vil hver enkelt licenseret bruger blive til en bruger, der er medlem af et organisationsnetværk, vha. deres eksisterende Active Directory-firmalegitmationsoplysninger (brugernavn og adgangskode) for at få adgang til skytjenesten. Det er i øjeblikket ikke muligt at udføre en prøveudrulning af enkeltlogon, men du kan prøve enkeltlogon med et sæt produktionsbrugere fra din produktions-Active Directory-område. Du kan finde flere oplysninger under Køre et forsøg med enkeltlogon før konfiguration (valgfrit).

Bemærk

Det er bedst at udføre en konvertering, så færrest mulige brugere berøres, f.eks. i løbet af en weekend.

Benyt følgende fremgangsmåde for at konvertere et domæne til et enkeltlogondomæne.

  1. Åbn Windows Azure Active Directory-modul.

  2. Kør $cred=Get-Credential. Når denne cmdlet beder dig om legitimationsoplysninger, skal du angive dine legitimationsoplysninger til administratorkontoen.

  3. Kør Connect-MsolService –Credential $cred. Med denne cmdlet opretter du forbindelse med skytjenesten. Det er nødvendigt, at der skabes en kontekst, som forbinder dig med skytjenesten, inden du kører nogen af de ekstra cmdlet'er, der installeres af værktøjet.

  4. Kør Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>, hvor <AD FS 2.0 primary server> er det interne FQDN-navn på den primære AD FS 2.0-server. Denne cmdlet opretter en kontekst, der opretter forbindelse mellem dig og AD FS 2.0.

    Bemærk

    Hvis du har installeret Windows Azure Active Directory-modul på den primære AD FS 2.0-server, behøver du ikke køre denne cmdlet.

  5. Kør Convert-MsolDomainToFederated –DomainName <domain>, hvor <domæne> er det domæne, der skal konverteres. Denne cmdlet ændrer domænet fra standardgodkendelse til enkeltlogon.

Bemærk

Hvis du vil bekræfte, at konverteringen virkede, kan du sammenligne indstillingerne på AD FS 2.0-serveren og i skytjenesten ved at køre Get-MsolFederationProperty –DomainName <domain>, hvor <domæne> er det domæne, du vil vise indstillinger for. Hvis de ikke stemmer overens, kan du køre Update-MsolFederatedDomain –DomainName <domain> for at synkronisere indstillingerne.

Næste trin

Nu, hvor du har installeret modulet og konfigureret den samlede tillid, der skal bruges til enkeltlogon, skal du konfigurere Active Directory-synkronisering. Du kan finde flere oplysninger i Vejledning i katalogsynkronisering. Når du kan konfigureret Active Directory-synkronisering, kan du se under Kontrollere og administrere enkeltlogon med AD FS 2.0.

Se også

Koncepter

Vejledning til enkeltlogon
Forberede enkeltlogon
Installere Windows PowerShell til enkeltlogon med AD FS 2.0

Andre ressourcer

Plan for and deploy AD FS 2.0 for use with single sign-on