Einrichten einer Vertrauensstellung zwischen Shibboleth und Azure AD

  • Artikel

Aktualisiert: 25. Juni 2015

Gilt für: Azure, Office 365, Power BI, Windows Intune

Azure AD-Domänen werden mit dem Microsoft Azure Active Directory Modul für Windows PowerShell verknüpft. Mit diesem Thema können Sie eine Reihe von Cmdlets in der Windows PowerShell Befehlszeilenschnittstelle ausführen, um Domänen für einmaliges Anmelden hinzuzufügen oder zu konvertieren.

Wichtig

Bevor Sie die Anweisungen in diesem Thema ausführen können, müssen Sie die Schritte in "Installieren Windows PowerShell für die einmalige Anmeldung mit Shibboleth" überprüfen und ausführen.

Jede Active Directory-Domäne, die mithilfe von Shibboleth als Verbunddomäne erstellt werden soll, muss als Domäne für einmaliges Anmelden hinzugefügt oder aus einer Standarddomäne in eine Domäne für einmaliges Anmelden konvertiert werden. Durch das Hinzufügen oder Konvertieren einer Domäne wird eine Vertrauensstellung zwischen dem Shibboleth-Identitätsanbieter und Azure Active Directory erstellt.

Im folgenden Verfahren Konvertieren Sie schrittweise eine vorhandene Standarddomäne in eine Verbunddomäne.

  1. Öffnen Sie das Microsoft Azure Active Directory Modul.

  2. $cred=Get-Credential ausführen. Wenn Sie vom Cmdlet aufgefordert werden, Ihre Anmeldeinformationen einzugeben, geben Sie die Anmeldeinformationen für Ihr Clouddienst-Administratorkonto ein.

  3. Connect-MsolService –Credential $cred ausführen. Dieses Cmdlet verbindet Sie mit Azure AD. Das Erstellen eines Kontexts, der Sie mit Azure AD verbindet, ist erforderlich, bevor Sie eine der zusätzlichen Cmdlets ausführen, die vom Tool installiert sind.

  4. Führen Sie die folgenden Befehle aus, um eine vorhandene Domäne (in diesem Beispiel mail.contoso.com) für einmaliges Anmelden zu konvertieren:

    $dom = "mail.contoso.com”
$url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
$ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
$uri = "https://idp.contoso.com/idp/shibboleth"
$logouturl = "https://idp.contoso.com/logout/" 
$cert = "MIIFYzCCBEugAw...2tLRtyN"

Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

    Hinweis

    Sie müssen $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP nur ausführen, wenn Sie die ECP-Erweiterung des Shibboleth-Identitätsanbieters einrichten. Obwohl es sich dabei um einen optionalen Schritt handelt, wird empfohlen, die ECP-Erweiterung des Shibboleth-Identitätsanbieters zu installieren, damit einmaliges Anmelden mit einem Smartphone, Microsoft Outlook oder anderen Clients funktioniert. Weitere Informationen finden Sie unter "Optional: Installieren der Shibboleth ECP-Erweiterung" in Configure Shibboleth for use with single sign-on.

Weitere Informationen

Konzepte

Installieren von Windows PowerShell für einmaliges Anmelden mit Shibboleth
Verwenden des Shibboleth-Identitätsanbieters zum Implementieren von einmaligem Anmelden