Configurer une approbation entre Shibboleth et Azure AD
Mise à jour : 25 juin 2015
S’applique à : Azure, Office 365, Power BI, Windows Intune
Les domaines Azure AD sont fédérés à l’aide du module Microsoft Azure Active Directory pour Windows PowerShell. Vous allez utiliser cette rubrique pour exécuter une série d’applets de commande dans l’interface de ligne de commande Windows PowerShell pour ajouter ou convertir des domaines pour l’authentification unique.
Important
Avant de pouvoir suivre les instructions de cette rubrique, vous devez passer en revue et suivre les étapes décrites dans Install Windows PowerShell pour l’authentification unique avec Shibboleth.
Chaque domaine Active Directory que vous souhaitez fédérer à l'aide de Shibboleth doit être ajouté en tant que domaine à authentification unique ou converti en domaine à authentification unique à partir d'un domaine standard. L'ajout ou la conversion d'un domaine établit une relation d'approbation entre Shibboleth Identity Provider et Azure Active Directory.
La procédure suivante vous explique en détail comment convertir un domaine standard existant en domaine fédéré.
Ouvrez le module Microsoft Azure Active Directory.
Exécutez
$cred=Get-Credential. Lorsque cette cmdlet vous y invite, entrez vos informations d’identification de compte d’administrateur de service cloud.Exécutez
Connect-MsolService –Credential $cred. Cette applet de commande vous connecte à Azure AD. La création d’un contexte qui vous connecte à Azure AD est nécessaire avant d’exécuter l’une des applets de commande supplémentaires installées par l’outil.Exécutez les commandes suivantes pour convertir un domaine existant (dans cet exemple, mail.contoso.com) pour l'authentification unique :
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLPNotes
Vous devez exécuter
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECPuniquement si vous configurez l'extension Shibboleth Identity Provider ECP. Il est recommandé d'installer, au cours d'une étape facultative, l'extension Shibboleth Identity Provider ECP pour que l'authentification unique fonctionne avec un smartphone, Microsoft Outlook ou d'autres clients. Pour plus d’informations, consultez « Facultatif : Installer l’extension ECP Shibboleth » dans Configurer Shibboleth pour une utilisation avec l’authentification unique.
Voir aussi
Concepts
Installer Windows PowerShell pour l'authentification unique avec Shibboleth
Utiliser le fournisseur d'identité Shibboleth pour implémenter l'authentification unique