(0) exportieren Drucken
Alle erweitern

Prüfen und Verwalten des einmaligen Anmeldens mit AD FS

Veröffentlicht: Juni 2012

Letzte Aktualisierung: Juni 2014

Betrifft: Azure, Office 365, Windows Intune

noteHinweis
Dieses Thema stellt Onlinehilfeinhalte für Cloud-Dienste zur Verfügung, z. B. für Windows Intune und Office 365, die Microsoft Azure Active Directory für Identitäts- und Verzeichnisdienste verwenden.

Lesen Sie die Informationen unter Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens, und führen Sie die dort erläuterten Schritte aus, bevor Sie als Administrator das einmalige Anmelden (auch als Identitätsverbund bezeichnet) überprüfen und verwalten.

Nachdem Sie das einmalige Anmelden eingerichtet haben, sollten Sie prüfen, ob es ordnungsgemäß ausgeführt wird. Zur Sicherstellung eines reibungslosen Ablaufs können Sie gelegentlich mehrere optionale Verwaltungsaufgaben ausführen.

Sie können das folgende Verfahren ausführen, um zu überprüfen, ob das einmalige Anmelden ordnungsgemäß eingerichtet wurde und Sie sich mit Ihren Unternehmensanmeldeinformationen bei Cloud-Dienst anmelden können. Weitere Informationen dazu finden Sie unter Testen des einmaligen Anmeldens in anderen Verwendungsszenarien und Verwenden der Microsoft-Remoteverbindungsuntersuchung.

noteHinweis
  • Wenn Sie eine Domäne konvertiert haben, statt eine hinzuzufügen, kann die Einrichtung des einmaligen Anmeldens bis zu 24 Stunden dauern.

  • Bevor Sie das einmalige Anmelden überprüfen, sollten Sie die Einrichtung der Active Directory-Synchronisierung abschließen, die Verzeichnisse synchronisieren und die synchronisierten Benutzer aktivieren. Weitere Informationen finden Sie unter Fahrplan zur Verzeichnissynchronisierung.

Führen Sie zum Überprüfen, ob das einmalige Anmelden ordnungsgemäß eingerichtet wurde, die folgenden Schritte aus.

  1. Melden Sie sich an einem in die Domäne eingebundenen Computer mit dem Anmeldenamen, den Sie auch als Unternehmensanmeldeinformationen verwenden, bei Ihrem Microsoft-Clouddienst an.

  2. Klicken Sie in das Kennwortfeld. Wenn das einmalige Anmelden eingerichtet ist, ist das Kennwortfeld abgeblendet, und die folgende Meldung wird angezeigt: „Sie müssen sich jetzt bei <Ihr Unternehmen> anmelden.“

  3. Klicken Sie auf den Link Anmelden bei <Ihr Unternehmen>.

    Wenn Sie sich anmelden können, wurde das einmalige Anmelden eingerichtet.

Nachdem Sie überprüft haben, ob die Einrichtung des einmaligen Anmeldens abgeschlossen wurde, testen Sie die folgenden Anmeldeszenarien, um sicherzustellen, dass das einmalige Anmelden und die AD FS 2.0-Bereitstellung korrekt konfiguriert sind. Bitten Sie eine Gruppe Ihrer Benutzer, ihren Zugriff auf Cloud-Dienst-Dienste sowohl über Browser als auch über Rich Client-Anwendungen wie Microsoft Office 2010 in den folgenden Umgebungen zu testen:

  • Über einen Computer, der einer Domäne angehört

  • Über einen Computer im Unternehmensnetzwerk, der keiner Domäne angehört

  • Über einen Computer außerhalb des Unternehmensnetzwerks, der einer Roamingdomäne angehört

  • Über die unterschiedlichen Betriebssysteme, die in Ihrem Unternehmen eingesetzt werden

  • Über einen Heimcomputer

  • Über einen Internetkiosk (Zugriff auf Cloud-Dienst nur über einen Browser testen)

  • Über ein Smartphone (beispielsweise ein Smartphone, das Microsoft Exchange ActiveSync verwendet)

Zum Testen der Verbindungsherstellung beim einmaligen Anmelden können Sie die Microsoft-Remoteverbindungsuntersuchung verwenden. Klicken Sie auf die Registerkarte Office 365, klicken Sie auf Einmaliges Anmelden, und klicken Sie dann auf Weiter. Befolgen Sie zum Durchführen des Tests die Anweisungen auf dem Bildschirm. Bei der Untersuchung wird geprüft, ob Sie sich mit Ihren Unternehmensanmeldeinformationen bei Cloud-Dienst anmelden können. Außerdem wird die grundlegende AD FS 2.0-Konfiguration geprüft.

Was möchten Sie tun?

Standardmäßig wird 20 Tage vor dem jährlichen Ablaufdatum des Zertifikats von AD FS ein neues selbstsigniertes Tokensignaturzertifikat generiert. Ein Zertifikatrollover, d. h. die Generierung eines neuen Zertifikats kurz vor Ablauf des vorhandenen Zertifikats und das Hochstufen zum primären Zertifikat, wird nur für selbstsignierte Zertifikate angewendet, die von AD FS generiert wurden.

Das Tokensignaturzertifikat ist für die Stabilität des Verbunddiensts unerlässlich. Im Falle einer Änderung muss Azure AD über diese Änderung benachrichtigt werden. Andernfalls treten bei den Anfragen an Ihre Clouddienste Fehler auf. Sie müssen das Microsoft-Installationstool für die Updateautomatisierung von Verbundmetadaten (Microsoft Federation Metadata Update Automation Installation Tool) auf Ihren primären Verbundserver oder einen beschreibbaren Verbundserver herunterladen und dort konfigurieren. Die Azure AD-Verbundmetadaten werden dann von diesem Tool automatisch überwacht und regelmäßig aktualisiert, sodass alle Änderungen am Tokensignaturzertifikat im AD FS-Verbunddienst automatisch an Azure AD repliziert werden.

So führen Sie dieses Tool erfolgreich aus:

  • Sie müssen mindestens einen AD FS-Verbunddienst bereitgestellt haben.

  • Sie müssen die Schritte unter Einrichten einer Vertrauensstellung zwischen AD FS und Windows Azure AD abgeschlossen haben.

  • Dieses Tool muss auf Ihrem primären Verbundserver oder einem beschreibbaren Verbundserver ausgeführt werden.

  • Sie benötigen Zugriff auf die Anmeldeinformationen des globalen Administrators für Ihren Azure AD-Mandanten.

    noteHinweis
    Wenn Sie für die Anmeldeinformationen des globalen Administrators nicht festgelegt haben, dass das Kennwort nie abläuft, müssen Sie dieses Tool mit einem neuen Kennwort erneut ausführen, sobald das Kennwort für den globalen Administrator abgelaufen ist. Andernfalls tritt bei dem geplanten Task ein Fehler auf.

So führen Sie dieses Tool aus:

  1. Laden Sie das Microsoft Federation Metadata Update Automation Installation Tool (Microsoft-Installationstool für die Updateautomatisierung von Verbundmetadaten) auf Ihren Computer herunter, und speichern Sie es.

  2. Starten Sie das Modul der Windows PowerShell für Administratoren, und wechseln Sie dann zu dem Verzeichnis, in das Sie das Tool kopiert haben.

  3. Geben Sie an der Eingabeaufforderung \O365-Fed-MetaData-Update-Task-Installation.ps1 ein, und drücken Sie dann die EINGABETASTE.

  4. Geben Sie an der Eingabeaufforderung den Namen der Verbunddomäne ein, und drücken Sie dann die EINGABETASTE.

  5. Geben Sie an der Eingabeaufforderung die Anmeldeinformationen Ihrer Benutzer-ID ein, und drücken Sie dann die EINGABETASTE.

  6. Geben Sie an der Eingabeaufforderung die Anmeldeinformationen Ihres lokalen Administrators ein, und drücken Sie dann die EINGABETASTE.

Nachdem Sie diese Schritte abgeschlossen haben, wird mithilfe des Skripts ein geplanter Task erstellt, der unter Verwendung der in Schritt 6 eingegebenen Anmeldeinformationen Ihres lokalen Administrators ausgeführt wird. Der geplante Task wird einmal täglich ausgeführt.

noteHinweis
Dieses Tool muss für jede Verbunddomäne in Ihrem Konto ausgeführt werden. Derzeit werden von diesem Tool nicht mehrere Domänen auf oberster Ebene unterstützt. Weitere Informationen finden Sie unter Support for Multiple Top Level Domains (Unterstützung für mehrere Domänen der obersten Ebene). Überprüfen Sie regelmäßig, ob die Protokolldatei erfolgreich generiert wurde, um sicherzustellen, dass der geplante Task richtig ausgeführt wird.

noteHinweis
Sie können konfigurieren, wann das neue Tokensignaturzertifikat von AD FS generiert wird. Wenn das Zertifikatrollover erfolgt, wird von AD FS ein neues Zertifikat mit dem gleichen Namen wie das ablaufende Zertifikat erstellt. Der private Schlüssel und der Fingerabdruck unterscheiden sich jedoch. Nach der Generierung des neuen Zertifikats ist dieses fünf Tage lang das sekundäre Zertifikat, bis es zum primären Zertifikat hochgestuft wird. Der Standardzeitraum von fünf Tagen kann konfiguriert werden.

Es gibt weitere optionale oder gelegentliche Aufgaben, die Sie durchführen können, damit das einmalige Anmelden reibungslos durchgeführt werden kann.

Nachdem Sie beim Einrichten des einmaligen Anmeldens die Domänen hinzugefügt oder konvertiert haben, können Sie den vollqualifizierten Domänennamen Ihres AD FS-Servers der Liste der vertrauenswürdigen Sites in Internet Explorer hinzufügen. Damit stellen Sie sicher, dass Benutzer nicht nach dem Kennwort für den AD FS-Server gefragt werden. Diese Änderung muss auf dem Client vorgenommen werden. Sie können diese Änderung auch für die Benutzer vornehmen, indem Sie eine Gruppenrichtlinieneinstellung festlegen, mit der diese URL automatisch der Liste der Vertrauenswürdigen Sites für Computer hinzugefügt wird, die einer Domäne angehören. Weitere Informationen finden Sie in den Internet Explorer Policy Settings (Internet Explorer-Richtlinieneinstellungen).

AD FS stellt Administratoren die Option bereit, benutzerdefinierte Regeln zu definieren, mit denen Benutzern der Zugriff gewährt oder verweigert wird. Für das einmalige Anmelden sollten die benutzerdefinierten Regeln auf die Vertrauensstellung der vertrauenden Seite (Relying Party Trust) in Verbindung mit Cloud-Dienst angewendet werden. Sie haben diese Vertrauensstellung bei der Einrichtung des einmaligen Anmeldens mithilfe der Cmdlets in Windows PowerShell erstellt.

Weitere Informationen zur Beschränkung von Benutzern bei der Anmeldung bei Diensten finden Sie unter Create a Rule to Permit or Deny Users Based on an Incoming Claim (Erstellen einer Regel, mit der Benutzer anhand eines eingehenden Anspruchs zugelassen oder abgelehnt werden). Weitere Informationen zur Ausführung der Cmdlets für die Einrichtung des einmaligen Anmeldens finden Sie unter Installieren von Windows PowerShell für das einmalige Anmelden mit AD FS.

Wenn Sie die aktuellen Einstellungen des AD FS-Servers und von Cloud-Dienst anzeigen möchten, können Sie das Microsoft Azure Active Directory-Modul für Windows PowerShell öffnen und Connect-MSOLService gefolgt von Get-MSOLFederationProperty –DomainName <domain> ausführen. So können Sie überprüfen, ob die Einstellungen des AD FS-Servers mit denen in Cloud-Dienst konsistent sind. Wenn die Einstellungen nicht übereinstimmen, können Sie das Update-MsolFederatedDomain –DomainName <domain> ausführen. Weitere Informationen finden Sie im nächsten Abschnitt „Aktualisieren der Vertrauenseigenschaften“.

noteHinweis
Wenn Sie Unterstützung für mehrere Domänen der obersten Ebene, wie contoso.com und fabrikam.com, benötigen, müssen Sie bei allen Cmdlets den Schalter SupportMultipleDomain verwenden. Weitere Informationen finden Sie unter Support for Multiple Top Level Domains (Unterstützung für mehrere Domänen der obersten Ebene).

Was möchten Sie tun?

In folgenden Fällen müssen Sie die Vertrauenseigenschaften für das einmalige Anmelden in Cloud-Dienst aktualisieren:

  • Die URL wird geändert: Wenn Sie Änderungen an der URL des AD FS-Servers vornehmen, müssen Sie die Vertrauenseigenschaften aktualisieren.

  • Das Signaturzertifikat des primären Tokens wurde geändert: Eine Änderung des primären Tokensignaturzertifikats löst Ereignis-ID 334 oder Ereignis-ID 335 in der Ereignisanzeige des AD FS-Servers aus. Wir empfehlen, die Ereignisanzeige regelmäßig mindestens einmal pro Woche zu prüfen.

    Führen Sie zum Anzeigen der Ereignisse des AD FS-Servers folgende Schritte aus.

    1. Klicken Sie auf Start und dann auf Systemsteuerung. Klicken Sie in der Ansicht Kategorie auf System und Sicherheit, klicken Sie dann auf Verwaltungstools, und klicken Sie dann auf Ereignisanzeige.

    2. Zum Anzeigen von Ereignissen für AD FS klicken Sie im linken Bereich der Ereignisanzeige auf Anwendungs- und Dienstprotokolle, dann auf AD FS 2.0 und schließlich auf Administrator.

  • Das Tokensignaturzertifikat läuft jedes Jahr ab: Das Tokensignaturzertifikat ist für die Stabilität des Verbunddiensts unerlässlich. Im Falle einer Änderung muss Azure AD über diese Änderung benachrichtigt werden. Andernfalls treten bei den Anfragen an Ihre Clouddienste Fehler auf.

    Führen Sie die im Abschnitt Einrichten eines geplanten Tasks weiter oben in diesem Thema angegebenen Schritte aus, um das Microsoft Federation Metadata Update Automation Installation Tool (Microsoft-Installationstool für die Updateautomatisierung von Verbundmetadaten) herunterzuladen und zu konfigurieren. Die Azure AD-Verbundmetadaten werden von diesem Tool automatisch überwacht und regelmäßig aktualisiert, sodass alle Änderungen am Tokensignaturzertifikat im AD FS-Verbunddienst automatisch an Azure AD repliziert werden.

Führen Sie die folgenden Schritte aus, um die Vertrauenseigenschaften manuell zu aktualisieren.

noteHinweis
Wenn Sie Unterstützung für mehrere Domänen der obersten Ebene, wie contoso.com und fabrikam.com, benötigen, müssen Sie bei allen Cmdlets den Schalter SupportMultipleDomain verwenden. Weitere Informationen finden Sie unter Support for Multiple Top Level Domains (Unterstützung für mehrere Domänen der obersten Ebene).

  1. Öffnen Sie die Microsoft Azure Active Directory-Modul für Windows PowerShell.

  2. Führen Sie $cred=Get-Credential aus. Wenn Sie vom Cmdlet aufgefordert werden, Ihre Anmeldeinformationen einzugeben, geben Sie die Anmeldeinformationen für Ihr Clouddienst-Administratorkonto ein.

  3. Führen Sie Connect-MsolService –Credential $cred aus. Mit diesem Cmdlet wird eine Verbindung zu Cloud-Dienst hergestellt. Vor dem Ausführen der zusätzlichen von dem Tool installierten Cmdlets muss ein Kontext erstellt werden, mit dem eine Verbindung zu Cloud-Dienst hergestellt wird.

  4. Führen Sie Set-MSOLAdfscontext -Computer <AD FS primary server> aus, wobei <AD FS primary server> für den internen FQDN des primären AD FS-Servers steht. Mit diesem Cmdlet wird ein Kontext erstellt, über den eine Verbindung mit AD FS hergestellt wird.

    noteHinweis
    Wenn Sie das Microsoft Azure Active Directory-Modul auf dem primären -Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

  5. Führen Sie Update-MSOLFederatedDomain –DomainName <domain> aus. Mit diesem Cmdlet wird Cloud-Dienst anhand der Einstellungen in AD FS aktualisiert, und die Vertrauensbeziehung zwischen diesen beiden Anwendungen wird konfiguriert.

Was möchten Sie tun?

Wenn Sie den primären Server verlieren und ihn nicht wiederherstellen können, müssen Sie einen anderen Server zum primären Server heraufstufen. Weitere Informationen finden Sie unter AD FS 2.0 – How to Set the Primary Federation Server in a WID Farm (AD FS 2.0 – Festlegen des primären Verbundservers in einer WID-Farm).

noteHinweis
Wenn einer Ihrer AD FS-Server ausfällt und Sie eine Farmkonfiguration mit hoher Verfügbarkeit eingerichtet haben, können Benutzer weiterhin auf Cloud-Dienst zugreifen. Wenn es sich bei dem ausgefallenen Server um den primären Server handelt, können Sie die Farmkonfiguration erst aktualisieren, wenn Sie einen anderen Server zum primären Server heraufstufen.

Wenn Sie alle Server in der Farm verlieren, müssen Sie die Vertrauensstellung mithilfe der folgenden Schritte wiederherstellen.

noteHinweis
Wenn Sie Unterstützung für mehrere Domänen der obersten Ebene, wie contoso.com und fabrikam.com, benötigen, müssen Sie bei allen Cmdlets den Schalter SupportMultipleDomain verwenden. Wenn Sie den Schalter SupportMultipleDomain verwenden, müssen Sie das Verfahren üblicherweise für jede Ihrer Domänen durchführen. Zum Wiederherstellen Ihres AD FS-Servers müssen Sie das Verfahren jedoch nur einmal für eine Ihrer Domänen durchführen. Nachdem Ihr Server wiederhergestellt wurde, stellen alle anderen Ihrer Domänen mit einmaligem Anmelden eine Verbindung mit Cloud-Dienst her. Weitere Informationen finden Sie unter Support for Multiple Top Level Domains (Unterstützung für mehrere Domänen der obersten Ebene).

  1. Öffnen Sie die Microsoft Azure Active Directory-Modul.

  2. Führen Sie $cred=Get-Credential aus. Wenn Sie vom Cmdlet aufgefordert werden, Ihre Anmeldeinformationen einzugeben, geben Sie die Anmeldeinformationen für Ihr Clouddienst-Administratorkonto ein.

  3. Führen Sie Connect-MsolService –Credential $cred aus. Mit diesem Cmdlet wird eine Verbindung zu Cloud-Dienst hergestellt. Vor dem Ausführen der zusätzlichen von dem Tool installierten Cmdlets muss ein Kontext erstellt werden, mit dem eine Verbindung zu Cloud-Dienst hergestellt wird.

  4. Führen Sie Set-MSOLAdfscontext -Computer <AD FS primary server> aus, wobei <AD FS primary server> für den internen FQDN des primären AD FS-Servers steht. Mit diesem Cmdlet wird ein Kontext erstellt, über den eine Verbindung mit AD FS hergestellt wird.

    noteHinweis
    Wenn Sie das Microsoft Azure Active Directory-Modul auf dem primären AD FS-Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

  5. Führen Sie Update-MsolFederatedDomain –DomainName <domain> aus, wobei <domain> für die Domäne steht, deren Eigenschaften Sie aktualisieren möchten. Mit diesem Cmdlet werden die Eigenschaften aktualisiert und die Vertrauensstellung eingerichtet.

  6. Führen Sie Get-MsolFederationProperty –DomainName <domain> aus, wobei <domain> für die Domäne steht, deren Eigenschaften Sie anzeigen möchten. Sie können dann die Eigenschaften des primären AD FS-Servers mit den Eigenschaften in Cloud-Dienst vergleichen, um sicherzustellen, dass sie übereinstimmen. Wenn sie nicht übereinstimmen, führen Sie Update-MsolFederatedDomain –DomainName <domain> erneut aus, um die Eigenschaften zu synchronisieren.

Die folgenden vier lokalen Authentifizierungstypen werden von AD FS unterstützt:

  • Integrierte Windows-Authentifizierung (IWA) (Standardeinstellung)

  • Formularbasierte Authentifizierung (FBA)

  • Transport Layer Security-Clientauthentifizierung

  • Standardauthentifizierung

Beim Verwenden von IWA besteht ein bekanntes Problem: In der Instanz von Internet Explorer (IE) werden stets die eingegebenen Anmeldeinformationen erneut angezeigt, wenn ein Benutzer versucht, eine Website erneut zu besuchen, auf der diese Anmeldeinformationen ursprünglich angegeben wurden. Wenn sich beispielsweise user1@contoso.com  von Office 365 abmeldet und seine IE-Instanz NICHT schließt, und er dann versucht, sich als user2@contoso.com bei Office 365 anzumelden, und hierzu die gleiche IE-Instanz verwendet, so wird er automatisch als user1@contoso.com bei Office 365 angemeldet. Dieser Fehler tritt häufig auf, wenn einmaliges Anmelden für Office 365 mit AD FS auf freigegebenen Computern (oder Kiosken) implementiert wurde, bei welchen Benutzer sich von Office 365 an- und abmelden können, ohne ihre IE-Instanzen schließen zu müssen.

Wenn Sie einmaliges Anmelden auf freigegebenen Computern implementieren, wird dringend empfohlen, dass Sie zum Authentifizieren nicht die IWA-Standardoption, sondern formularbasierte Authentifizierung auf Ihren AD FS-Servern verwenden. Detaillierte Anweisungen zum Anpassen Ihres lokalen Authentifizierungstyps finden Sie unter AD FS 2.0: How to Change the Local Authentication Type (AD FS 2.0: Ändern des lokalen Authentifizierungstyps).

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft