Teenusega AD FS 2.0 kasutatava ühekordse sisselogimise kinnitamine ja haldamine
Avaldatud: juuni 2012. a.
Uuendatud: veebruar 2013. a.
Kehtib järgmise programmi kohta:: Office 365, Windows Intune
.gif "note") Märkus. |
|---|
| Käesolev teema sisaldab veebispikri sisu, mis on kohaldatud mitmele Microsofti pilvteenusele (sh Windows Intune ja Office 365). |
Administraatorina peaksite enne ühekordse sisselogimise (isikute seostamise) kinnitamist ja haldamist vaatama ühekordse sisselogimise häälestamiseks läbi järgmistes artiklites toodud teabe ja täitma nendes kirjeldatud juhised.
Pärast ühekordse sisselogimise häälestamist peaksite kontrollima, kas see töötab õigesti. Samuti saate aeg-ajalt teha teatud haldustoiminguid, et tagada selle funktsiooni ladus töö ka edaspidi.
Selle artikli teemad
Ühekordse sisselogimise õige häälestamise kontrollimine
Ajastatud toimingu seadistamine Windows Azure AD automaatseks uuendamiseks, kui loa allkirjastamisserdis tehakse muudatusi
Ühekordse sisselogimise haldamine
Ühekordse sisselogimise õige häälestamise kontrollimine
Kui soovite kontrollida, kas ühekordne sisselogimine on õigesti häälestatud, aitavad järgmistes jaotistes kirjeldatud toimingud teil veenduda, et saate pilvteenus teenustesse sisse logida oma ettevõttemandaadiga: Ühekordse sisselogimise katsetamine erinevate kasutusstsenaariumide korral ja Microsoft Remote Connectivity Analyzeri kasutamine.
| Märkus. |
|---|
|
Ühekordse sisselogimise õige häälestamise kontrollimiseks toimige järgmiselt.
Domeeniga liitunud arvutis minge teenuse Microsoft Office 365 portaali.
Logige sisse sama sisselogimisnimega, mida kasutate oma ettevõttemandaadi jaoks.
Klõpsake parooliväljal. Kui ühekordne sisselogimine on seadistatud, kuvatakse varjutatud parooliväli ja järgmine teade: „Peate nüüd sisse logima <oma ettevõtte saidil>.”
Klõpsake linki Logi sisse <oma ettevõttes>.
Kui saate sisse logida, on ühekordne sisselogimine häälestatud.
Ühekordse sisselogimise katsetamine erinevate kasutusstsenaariumide korral
Kui olete veendunud, et ühekordne sisselogimine on häälestatud, saate järgmisi sisselogimisstsenaariume katsetades kontrollida, kas ühekordne sisselogimine ja AD FS 2.0 juurutus on õigesti konfigureeritud. Paluge mõnel oma kasutajal katsetada juurdepääsu pilvteenus teenustele nii brauseri kui ka klientrakenduste (nt Microsoft Office 2010) kaudu järgmistes keskkondades:
domeeni kuuluva arvuti kaudu;
domeeni mittekuuluva arvuti kaudu ettevõtte võrgus;
rändleva domeeni kuuluva arvuti kaudu väljaspool ettevõtte võrku;
erinevate operatsioonisüsteemide kaudu, mis on teie ettevõttes kasutusel;
koduarvuti kaudu;
Interneti-kioskist (pilvteenus juurdepääsu katsetamine ainult brauseri kaudu);
nutitelefoni kaudu (nt nutitelefon, kus on kasutusel Microsoft Exchange ActiveSync).
Microsoft Remote Connectivity Analyzeri kasutamine
Ühekordse sisselogimise ühenduvuse katsetamiseks saate kasutada Microsoft Remote Connectivity Analyzerit. Klõpsake vahekaarti Office 365, nuppu Microsoft Single Sign-On (Microsofti ühekordne sisselogimine) ja seejärel nuppu Next (Edasi). Katsetamiseks täitke ekraanil kuvatavad juhised. Analüüsiriist kontrollib, kas saate pilvteenus teenustesse sisse logida oma ettevõttemandaadiga. Samuti kontrollitakse mõnda AD FS 2.0 konfiguratsiooni põhipunkti.
Selle artikli teemad
Ajastatud toimingu seadistamine Windows Azure AD automaatseks uuendamiseks, kui loa allkirjastamisserdis tehakse muudatusi
Vaikimisi koostab AD FS 2.0 uue iseallkirjastatud loaallkirjastamisserdi 20 päeva enne üheks aastaks väljaantava serdi aegumist. Serdivahetus ehk uue serdi genereerimine praeguse serdi aegumise eel ja selle ülendamine esmaseks serdiks kehtib üksnes AD FS 2.0 genereeritud iseallkirjastatud sertide korral.
Loaallkirjastamissert on vajalik Federation Service'i stabiilsuse tagamiseks. Serdi muutmisel tuleb teenustekomplekti Windows Azure AD muudatusest teavitada. Muudatustest teavitamata jätmise korral nurjuvad pilvteenuste taotlused. Teil tuleb vahend Microsoft Federation Metadata Update Automation Installation Tool oma peamisesse või mistahes kirjutatavasse liiduserverisse alla laadida ja installida; see jälgib automaatselt ja värskendab regulaarselt Windows Azure AD liidu metaandmeid, nii et kõik loaallkirjastamisserdi muudatused AD FS 2.0 Federation Service'is kajastuvad automaatselt ka Windows Azure AD kataloogis.
Kõnealuse vahendi edukaks käivitamiseks peavad olema täidetud järgmised tingimused.
Peate olema juurutanud vähemalt ühe AD FS 2.0 Federation Service'i.
Peate olema läbinud artikli AD FS 2.0 ja Windows Azure AD usaldussuhte seadistamine etapid.
Vahend tuleb käivitada peamises liiduserveris või kirjutatavas liiduserveris.
Teil peab olema juurdepääs oma Windows Azure AD rentnikukonto üldadministraatori mandaadile.
Märkus.Kui te pole tähistanud üldadministraatori mandaati parooli mitteaegumise tähisega, siis üldadministraatori parooli aegumisel taaskäivitage see vahend uue parooliga. Vastasel korral ajastatud toiming nurjub.
Tööriista käivitamise etapid on järgmised.
Laadige ja salvestage Microsoft Federation Metadata Update Automation Installation Tool oma arvutisse.
Käivitage administraatori Windows PowerShelli moodul ja määrake kaust, kuhu vahend kopeeritakse.
Sisestage viibale .\O365-Fed-MetaData-Update-Task-Installation.ps1 ja vajutage klahvi ENTER.
Sisestage viibale liitdomeeni nimi ja vajutage klahvi ENTER.
Sisestage viibale oma kasutajaandmed ja vajutage klahvi ENTER.
Sisestage viibale oma kohaliku administraatori andmed ja vajutage klahvi ENTER.
Pärast nimetatud etappide läbimist koostab skript ajastatud toimingu, mis käivitatakse etapis 6 määratud kohaliku administraatori andmetega. Ajastatud toiming käivitatakse üks kord päevas.
| Märkus. |
|---|
| See tööriist tuleb käivitada iga liitdomeeni jaoks teie kontos ning hetkel puudub sel mitme üladomeeni tugi. Lisateavet leiate artiklist Mitme üladomeendi tugi. Soovitatav on aeg-ajalt kontrollida toiminguajasti tööd; selleks veenduge, et logifaili ikka edukalt koostatakse. |
| Märkus. |
|---|
| Soovi korral saate ise konfigureerida selle, millal AD FS 2.0 uue loaallkirjastamisserdi genereerib. Kui serdivahetuse aeg jõuab kätte, genereerib AD FS 2.0 uue serdi, millel on aeguva serdiga sama nimi, ent teistsugune privaatvõti ja sõrmejälg. Pärast uue serdi genereerimist jääb see viieks päevaks teiseseks serdiks ja seejärel ülendatakse esmaseks serdiks. Viis päeva on vaikeperiood, kuid seda ajavahemikku saab muuta. |
Ühekordse sisselogimise haldamine
Kui soovite tagada, et ühekordse sisselogimise kasutamine laabuks ladusalt ka edaspidi, saate teha teatud valikulisi või aeg-ajalt soovitatavaid haldustoiminguid.
Selle jaotise teemad
URL-ide lisamine Internet Exploreris usaldusväärsete saitide hulka
Pilvteenusesse kasutajate sisselogimise piiramine
Praeguste sätete kuvamine
Usaldusatribuutide värskendamine
AD FS 2.0 serveri taastamine
URL-ide lisamine Internet Exploreris usaldusväärsete saitide hulka
Pärast seda, kui olete oma domeenid ühekordse sisselogimise häälestamise raames lisanud või teisendanud, võiksite lisada oma AD FS 2.0 serveri täieliku domeeninime Internet Exploreri usaldusväärsete saitide loendisse. See tagab, et kasutajatelt ei küsita AD FS 2.0 serveri parooli. Muudatus tuleb teha klientseadmes. Soovi korral saate selle muudatuse oma kasutajate jaoks ise ära teha, määrates rühmapoliitika sätte, mis lisab selle URL-i domeeniga liitunud arvutites automaatselt usaldusväärsete saitide loendisse. Lisateavet leiate artiklist Internet Exploreri poliitikasätted.
Pilvteenusesse kasutajate sisselogimise piiramine
AD FS 2.0 annab administraatoritele võimaluse määratleda kohandatud reeglid, mis annavad või keelavad kasutajatele juurdepääsu. Ühekordse sisselogimise korral tuleks kohandatud reeglid rakendada pilvteenus vahendava osapoole usaldusele. Selle usalduse lõite ühekordse sisselogimise häälestamiseks Windows PowerShelli cmdlettide käitamisega.
Lisateavet teenusesse kasutajate sisselogimise piiramiseks leiate artiklist Reegli loomine kasutajate lubamiseks või keelamiseks sissetuleva taotluse põhjal. Lisateavet cmdlettide käivitamise kohta ühekordse sisselogimise seadistamiseks leiate artiklist Windows PowerShelli installimine AD FS 2.0-ga ühekordse sisselogimise jaoks.
Praeguste sätete kuvamine
Kui soovite mis tahes ajal vaadata AD FS 2.0 serveri ja pilvteenus praegusi sätteid, saate avada tööriista Windows Azure Active Directory moodul Windows PowerShellile ning käivitada esmalt cmdleti Connect-MSOLService ja seejärel cmdleti Get-MSOLFederationProperty –DomainName <domain>. Sel viisil saate kontrollida, kas AD FS 2.0 serveri sätted ühtivad pilvteenus sätetega. Kui sätted ei ühti, võite käivitada cmdleti Update-MsolFederatedDomain –DomainName <domain>. Lisateavet leiate lõigust "Usaldusatribuutide värskendamine".
| Märkus. |
|---|
| Kui vajate mitme ülataseme domeeni (nt contoso.com ja fabrikam.com) tuge, peate mis tahes cmdletiga koos kasutama parameetrit SupportMultipleDomain. Lisateavet leiate artiklist Mitme üladomeendi tugi. |
Selle artikli teemad
Usaldusatribuutide värskendamine
pilvteenus ühekordse sisselogimise usaldusatribuute tuleb värskendada järgmistel juhtudel.
URL-i on muudetud. Kui muudate AD FS 2.0 serveri URL-i, peate usaldusatribuute värskendama.
Primaarloa allkirjastamisserti on muudetud. Primaarloa allkirjastamisserdi muutmine käivitab AD FS 2.0 serveri sündmusevaaturis sündmuse, mille ID on 334 või 335. Soovitame sündmusevaaturit korrapäraselt kontrollida (vähemalt kord nädalas).
AD FS 2.0 serveri sündmuste kuvamiseks toimige järgmiselt.
Klõpsake nuppu Start ja seejärel linki Juhtpaneel. Klõpsake kategooriavaates linki Süsteem ja turve, siis linki Haldusriistad ja seejärel linki Event Viewer (Sündmusevaatur).
AD FS 2.0 sündmuste kuvamiseks klõpsake sündmusevaaturi vasakpoolsel paanil väärtust Applications and Services Logs (Rakenduste ja teenuste logid), siis väärtust AD FS 2.0 ja seejärel nuppu Admin (Administraator).
Loa allkirjastamissert aegub igal aastal. Loa allkirjastamissert on vajalik Federation Service'i stabiilsuse tagamiseks. Serdi muutmise korral tuleb teenustekomplekti Windows Azure AD muudatusest teavitada. Muudatustest teavitamata jätmise korral nurjuvad pilvteenuste taotlused.
Järgige eeltoodud alajaotises Ajastatud toimingu seadistamine olevaid etappe, mis kirjeldavad vahendi Microsoft Federation Metadata Update Automation Installation Tool allalaadimist ja seadistamist. See jälgib automaatselt ja uuendab regulaarselt Windows Azure AD liidu metaandmeid, nii et kõik loa allkirjastamisserdi muudatused AD FS 2.0 Federation Service'is kajastuvad automaatselt ka Windows Azure AD kataloogis.
Usaldusatribuutide käsitsi värskendamiseks toimige järgmiselt.
| Märkus. |
|---|
| Kui vajate mitme ülataseme domeeni (nt contoso.com ja fabrikam.com) tuge, peate mis tahes cmdletiga koos kasutama parameetrit SupportMultipleDomain. Lisateavet leiate artiklist Mitme üladomeendi tugi. |
Avage Windows Azure Active Directory moodul Windows PowerShellile.
Käivitage
$cred=Get-Credential. Kui cmdlet küsib teilt mandaati, tippige oma pilvteenuse administraatorikonto mandaat.Käivitage
Connect-MsolService –Credential $cred. See cmdlet ühendab teid pilvteenus teenustega. Teid pilvteenus teenustega ühendava konteksti loomine on enne tööriista installitud täiendavate cmdlettide käivitamist nõutav.Käivitage
Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>, kus <AD FS 2.0 primary server> on AD FS 2.0 põhiserveri sisemine FQDN-nimi. See cmdlet loob konteksti, mis ühendab teid AD FS 2.0 teenustega.Märkus.Kui Windows Azure Active Directory moodul on installitud AD FS 2.0 põhiserverisse, pole teil vaja seda cmdletti käivitada. Käivitage
Update-MSOLFederatedDomain –DomainName <domain>. See cmdlet värskendab AD FS 2.0 sätted ka pilvteenus teenustes ja konfigureerib nende kahe vahelise usaldusseose.
Selle artikli teemad
AD FS 2.0 serveri taastamine
Juhul, kui peaksite oma põhiserveri kaotama ega saa seda taastada, peate mõne muu serveri põhiserveriks ülendama. Lisateavet leiate artiklist AD FS 2.0 – põhiliitserveri määramine WID pargis.
| Märkus. |
|---|
| Kui mõnes teie AD FS 2.0 serveritest tekib rike ja olete häälestanud kõrge käideldavusega pargikonfiguratsiooni, pääsevad kasutajad siiski endiselt pilvteenus teenustele juurde. Kui rikkega server on põhiserver, et saa te pargi konfiguratsiooni värskendada enne mõne muu serveri põhiserveriks ülendamist. |
Kõigi pargi serverite kaotamise korral tuleb usaldus järgmiste toimingute abil uuesti luua.
| Märkus. |
|---|
| Kui vajate mitme ülataseme domeeni (nt contoso.com ja fabrikam.com) tuge, peate mis tahes cmdletiga koos kasutama parameetrit SupportMultipleDomain. Parameetri SupportMultipleDomain kasutamisel peate seda protseduuri üldjuhul käitama igas oma domeenis. AD FS 2.0 serveri taastamiseks peate aga need juhised täitma ainult üks kord ühes oma domeenis. Pärast serveri taastamist loovad kõik muud teie ühekordse sisselogimisega domeenid pilvteenus teenustega ühenduse. Lisateavet leiate artiklist Mitme üladomeendi tugi. |
Avage Windows Azure Active Directory moodul.
Käivitage
$cred=Get-Credential. Kui cmdlet küsib teilt mandaati, tippige oma pilvteenuse administraatorikonto mandaat.Käivitage
Connect-MsolService –Credential $cred. See cmdlet ühendab teid pilvteenus teenustega. Teid pilvteenus teenustega ühendava konteksti loomine on enne tööriista installitud täiendavate cmdlettide käivitamist nõutav.Käivitage
Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>, kus <AD FS 2.0 primary server> on AD FS 2.0 põhiserveri sisemine FQDN-nimi. See cmdlet loob konteksti, mis ühendab teid AD FS 2.0 teenustega.Märkus.Kui Windows Azure Active Directory moodul on installitud AD FS 2.0 põhiserverisse, pole teil vaja seda cmdletti käivitada. Käivitage
Update-MsolFederatedDomain –DomainName <domain>, kus <domain> on domeen, mille atribuute soovite uuendada. See cmdlet värskendab atribuudid ja loob usaldusseose.Käivitage
Get-MsolFederationProperty –DomainName <domain>, kus <domain> on domeen, mille atribuute soovite kuvada. Seejärel saate AD FS 2.0 põhiserveri ja pilvteenus atribuute omavahel võrrelda ja kontrollida, kas need on vastavuses. Kui atribuudid pole vastavuses, käivitage atribuutide sünkroonimiseks uuestiUpdate-MsolFederatedDomain –DomainName <domain>.
Vt ka
Mõisted
Ühekordse sisselogimise teejuht
Ühekordse sisselogimise ettevalmistamine
Kataloogisünkroonimise teekaart
Windows PowerShelli installimine AD FS 2.0-ga ühekordse sisselogimise jaoks
Ühekordse sisselogimise tõrkeotsing