Configuración de una relación de confianza entre Shibboleth y Azure AD

  • Artículo

Actualizado: 25 de junio de 2015

Se aplica a: Azure, Office 365, Power BI, Windows Intune

Los dominios de Azure AD se federan mediante el módulo Microsoft Azure Active Directory para Windows PowerShell. Usará este tema para ejecutar una serie de cmdlets en la interfaz de la línea de comandos de Windows PowerShell para agregar o convertir dominios para el inicio de sesión único.

Importante

Para poder completar las instrucciones de este tema, debe revisar y completar los pasos descritos en Instalación de Windows PowerShell para el inicio de sesión único con Shibboleth.

Cada dominio de Active Directory que desee federar mediante Shibboleth deberá agregarse como dominio de inicio de sesión único o convertirse para ser un dominio de inicio de sesión único a partir de un dominio estándar. Agregar o convertir un dominio permite establecer una relación de confianza entre Shibboleth Identity Provider y Azure Active Directory.

El siguiente procedimiento le indica cómo convertir un dominio estándar existente en un dominio federado.

  1. Abra el módulo Microsoft Azure Active Directory.

  2. Ejecute $cred=Get-Credential. Cuando el cmdlet solicite las credenciales, especifique las de su cuenta de administrador de servicio de nube.

  3. Ejecute Connect-MsolService –Credential $cred. Este cmdlet le conecta a Azure AD. Se necesita crear un contexto que le conecte a Azure AD antes de ejecutar cualquiera de los cmdlets adicionales instalados por la herramienta.

  4. Ejecute los siguientes comandos para convertir un dominio existente (en este ejemplo, mail.contoso.com) para el inicio de sesión único:

    $dom = "mail.contoso.com”
$url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
$ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
$uri = "https://idp.contoso.com/idp/shibboleth"
$logouturl = "https://idp.contoso.com/logout/" 
$cert = "MIIFYzCCBEugAw...2tLRtyN"

Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

    Nota

    Deberá ejecutar $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP únicamente si configura la extensión Shibboleth Identity Provider ECP. A través de un paso opcional, es recomendable instalar la extensión Shibboleth Identity Provider ECP para que el inicio de sesión único funcione con un smartphone, Microsoft Outlook u otros clientes. Para obtener más información, vea "Opcional: Instalar la extensión ECP de Shibboleth" en Configuración de Shibboleth para su uso con el inicio de sesión único.

Consulte también

Conceptos

Instalar Windows PowerShell para el inicio de sesión único con Shibboleth
Utilizar Shibboleth Identity Provider para implementar el inicio de sesión único