(0) exportieren Drucken
Alle erweitern

Einrichten einer Vertrauensstellung zwischen Shibboleth und Windows Azure AD

Veröffentlicht: Juni 2012

Letzte Aktualisierung: Januar 2014

Betrifft: Azure, Office 365, Windows Intune

noteHinweis
Dieses Thema stellt Onlinehilfeinhalte für Cloud-Dienste zur Verfügung, z. B. für Windows Intune und Office 365, die Windows Azure Active Directory für Identitäts- und Verzeichnisdienste verwenden.

Windows Azure AD-Domänen werden mithilfe des Tools Windows Azure Active Directory-Modul für Windows PowerShell zu Verbunddomänen. Führen Sie anhand dieses Themas eine Reihe von Cmdlets über die Befehlszeilenschnittstelle von Windows PowerShell aus, um Domänen für das einmalige Anmelden hinzuzufügen oder zu konvertieren.

ImportantWichtig
Sie müssen zunächst die Schritte unter Installieren von Windows PowerShell für das einmalige Anmelden mit Shibboleth lesen und abschließen, bevor Sie die Anweisungen in diesem Thema abschließen können.

Jede Active Directory-Domäne, die Sie mithilfe von Shibboleth einem Verbund hinzufügen möchten, muss entweder als Domäne für das einmalige Anmelden hinzugefügt oder aus einer Standarddomäne in eine Domäne für das einmalige Anmelden konvertiert werden. Durch das Hinzufügen oder Konvertieren einer Domäne wird eine Vertrauensstellung zwischen Shibboleth Identity Provider und Windows Azure Active Directory eingerichtet.

Im folgenden Verfahren wird das Konvertieren einer vorhandenen Standarddomäne in eine Verbunddomäne beschrieben.

  1. Öffnen Sie die Windows Azure Active Directory-Modul.

  2. Führen Sie $cred=Get-Credential aus. Wenn Sie vom Cmdlet aufgefordert werden, Ihre Anmeldeinformationen einzugeben, geben Sie die Anmeldeinformationen für Ihr Clouddienst-Administratorkonto ein.

  3. Führen Sie Connect-MsolService –Credential $cred aus. Mit diesem Cmdlet wird eine Verbindung zu Windows Azure AD hergestellt. Vor dem Ausführen der zusätzlichen von dem Tool installierten Cmdlets muss ein Kontext erstellt werden, mit dem eine Verbindung zu Windows Azure AD hergestellt wird.

  4. Führen Sie die folgenden Befehle aus, um eine vorhandene Domäne (in diesem Beispiel ist dies mail.contoso.com) für das einmalige Anmelden zu konvertieren:

    $dom = "mail.contoso.com”
    $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
    $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
    $uri = "https://idp.contoso.com/idp/shibboleth"
    $logouturl = "https://idp.contoso.com/logout/" 
    $cert = "MIIFYzCCBEugAw...2tLRtyN"
    
    Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
    
    
    noteHinweis
    Sie dürfen $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP nur ausführen, wenn Sie die Erweiterung Shibboleth Identity Provider ECP einrichten. Dies ist zwar ein optionaler Schritt, wir empfehlen jedoch, diese Erweiterung zu installieren, damit das einmalige Anmelden von einem Smartphone, Microsoft Outlook oder anderen Clients aus möglich ist. Weitere Informationen finden Sie unter „Installieren der Erweiterung ‚Shibboleth ECP‘“ im Thema Konfigurieren von Shibboleth für die Verwendung mit dem einmaligen Anmelden.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft