Luottamuksen määrittäminen AD FS 2.0:n ja Windows Azure AD:n välille

  • Artikkeli

Julkaistu: kesäkuu 2012

Tuotteet: Office 365, Windows Azure Active Directory, Windows Intune

Kukin liitettävä toimialue on lisättävä kertakirjautumistoimialueeksi tai muunnettava sellaiseksi tavallisesta toimialueesta. Toimialueen lisääminen tai muuntaminen määrittää luottamuksen AD FS 2.0:n ja Windows Azure Active Directory:n valille.

Tärkeä

  • Jos käytät alitoimialuetta (esimerkiksi corp.contoso.com) ylimmän tason toimialueen (contoso.com) lisäksi, sinun on lisättävä ylimmän tason toimialue pilvipalvelu -palveluun ennen alitoimialueita. Kun ylimmän tason toimialue on määritetty kertakirjautumista varten, myös kaikki alitoimialueet määritetään automaattisesti.

  • Luottamuksen määrittäminen on kertaluontoinen toiminto. Sinun ei tarvitse suorittaa Windows Azure Active Directory -moduulia uudelleen, jos haluat lisätä lisää AD FS 2.0 -palvelimia palvelinklusteriin.

  • Jos lisäät ja tarkistat toimialueen Windows Azure Active Directory -moduulilla, sinun on määritettävä useita lisäasetuksia pilvipalvelu:een. Nämä asetukset tarvitaan niiden DNS-tietueiden näyttämiseksi, jotka on määritettävä toimialueen toimimisen varmistamiseksi pilvipalvelu -palveluiden kanssa.

Jos sinun on tuettava useita ylätason toimialueita, sinun on käytettävä SupportMultipleDomain-valitsinta kaikkien cmdlet-komentojen kanssa (esimerkiksi toimialueen lisäämisen tai muuntamisen cmdlet-komentojen kanssa).

Jos haluat esimerkiksi lisätä sekä contoso.com- että fabrikam.com-toimialueet kertakirjautumistoimialueiksi, toimi contoso.com-toimialueen lisäysohjeiden mukaisesti, mutta käytä SupportMultipleDomain-valitsinta kaikissa cmdlet-komennoissa. Joten vaiheessa 5 sinun olisi siis käytettävä komentoa New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Kun olet lisännyt contoso.com-toimialueen, tee samat toimet fabrikam.com-toimialueelle. Vaiheessa 5 sinun olisi käytettävä komentoa New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Lisätietoja: Useiden ylätason toimialueiden tukeminen.

Alla on kerrottu, miten voit lisätä uuden toimialueen tai muuntaa olemassa olevan toimialueen, kun määrität liittoutuneen luottamuksen Windows Azure AD -palvelussa.

  • Toimialueen lisääminen

  • Toimialueen muuntaminen

Toimialueen lisääminen

  1. Avaa Windows Azure Active Directory -moduuli.

  2. Suorita $cred=Get-Credential. Kun cmdlet-komento pyytää sinulta tunnistetietoja, anna pilvipalvelun järjestelmänvalvojatilin tunnistetiedot.

  3. Suorita Connect-MsolService –Credential $cred. Tämä cmdlet-komento liittää sinut pilvipalvelu:een. pilvipalvelu:een liittävä konteksti on luotava ennen muiden työkalun asentamien cmdlet-komentojen suorittamista.

  4. Suorita Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>, jossa <AD FS 2.0 primary server> on ensisijaisen AD FS 2.0 -palvelimen sisäinen täydellinen toimialuenimi. Tämä cmdlet-komento luo kontekstin, joka liittää sinut AD FS 2.0 -palveluun.

    Huomautus

    Jos olet asentanut Windows Azure Active Directory -moduulin ensisijaiseen AD FS 2.0 -palvelimeen, sinun ei tarvitse suorittaa tätä cmdlet-komentoa.

  5. Suorita New-MsolFederatedDomain –DomainName <domain>, jossa <domain> on lisättävä ja kertakirjautumisessa käyttöön otettava toimialue. Tämä cmdlet-komento lisää uuden ylätason toimialueen tai alitoimialueen, joka määritetään liittoutunutta todennusta varten.

    Huomautus

    Kun olet lisännyt ylätason toimialueen cmdlet-komennolla New-MsolFederatedDomain, et voi lisätä normaaleja (ei-liittoutuneita) toimialueita cmdlet-komennolla New-MsolDomain.

  6. Pyydä toimialuerekisteröijää luomaan tarvittava DNS-tietue cmdlet-komennon New-MsolFederatedDomain tuottamien tietojen perusteella. Näin voidaan tarkistaa, että olet toimialueen omistaja. Huomaa, että tämä saattaa kestää jopa 15 minuuttia (rekisteröintipalvelusta riippuen). Muutosten voimaantulo koko järjestelmässä saattaa kestää jopa 72 tuntia. Lisätietoja: Minkä tahansa toimialuenimirekisteröintipalvelun toimialueen tarkistaminen.

  7. Viimeistele toimet suorittamalla New-MsolFederatedDomain toisen kerran (määritä sama toimialuenimi).

Toimialueen muuntaminen

Kun muunnat olemassa olevan toimialueen kertakirjautumistoimialueeksi, kaikista laillisista käyttäjistä tulee liittoutuneita käyttäjiä, jotka käyttävät pilvipalvelu -portaalia Active Directory -yritystunnistetiedoillaan (käyttäjänimi ja salasana). Kertakirjautumista ei voi tällä hetkellä ottaa käyttöön vaiheittain. Voit kuitenkin suorittaa kertakirjautumisen pilottikokeilun vain tietyille tuotantoympäristösi Active Directory -toimialuepuuryhmän käyttäjäryhmille. Lisätietoja: Pilottikokeilun suorittaminen kertakirjautumisen testaamiseksi ennen käyttöönottoa (valinnainen).

Huomautus

Muunnos kannattaa tehdä, kun käyttäjiä on mahdollisimman vähän, esimerkiksi viikonloppuna, jotta vaikutus käyttäjille on mahdollisimman pieni.

Voit muuntaa olemassa olevan toimialueen kertakirjautumistoimialueeksi toimimalla seuraavasti:

  1. Avaa Windows Azure Active Directory -moduuli.

  2. Suorita $cred=Get-Credential. Kun cmdlet-komento pyytää sinulta tunnistetietoja, anna pilvipalvelun järjestelmänvalvojatilin tunnistetiedot.

  3. Suorita Connect-MsolService –Credential $cred. Tämä cmdlet-komento liittää sinut pilvipalvelu:een. pilvipalvelu:een liittävä konteksti on luotava ennen muiden työkalun asentamien cmdlet-komentojen suorittamista.

  4. Suorita Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>, jossa <AD FS 2.0 primary server> on ensisijaisen AD FS 2.0 -palvelimen sisäinen täydellinen toimialuenimi. Tämä cmdlet-komento luo kontekstin, joka liittää sinut AD FS 2.0 -palveluun.

    Huomautus

    Jos olet asentanut Windows Azure Active Directory -moduulin ensisijaiseen AD FS 2.0 -palvelimeen, sinun ei tarvitse suorittaa tätä cmdlet-komentoa.

  5. Suorita Convert-MsolDomainToFederated –DomainName <domain>, jossa <domain> on muunnettava toimialue. Tämä muuttaa toimialueen vakiotodennuksen toimialueesta kertakirjautumistoimialueeksi.

Huomautus

Jos haluat tarkistaa, että muunto on onnistunut, vertaa AD FS 2.0 -palvelimen ja pilvipalvelu -portaalin asetuksia suorittamalla Get-MsolFederationProperty –DomainName <domain>, jossa <domain> on toimialue, jonka asetuksia haluat tarkastella. Jos asetukset eivät ole samat, voit synkronoida ne suorittamalla komennon Update-MsolFederatedDomain –DomainName <domain>.

Jatkotoimenpiteet

Kun olet asentanut moduulin ja määrittänyt liittoutuneen luottamuksen kertakirjautumista varten, sinun on määritettävä Active Directory -synkronointi. Lisätietoja: Hakemistosynkronointi. Kun olet määrittänyt Active Directory -synkronoinnin, katso lisätietoja täältä: Kertakirjautumisen tarkistaminen ja hallinta AD FS 2.0:ssa.

Katso myös

Käsitteet

Kertakirjautuminen
Kertakirjautumiseen valmistautuminen
Windows PowerShellin asentaminen AD FS 2.0:n avulla tehtävää kertakirjautumista varten

Muita resursseja

Plan for and deploy AD FS 2.0 for use with single sign-on