Esporta (0) Stampa
Espandi tutto

Configurazione di un trust tra ADFS e Windows Azure AD

Pubblicato: giugno 2012

Aggiornamento: gennaio 2014

Si applica a: Azure, Office 365, Windows Intune

noteNota
In questo argomento vengono fornite informazioni relative ai servizi cloud, quali Windows Intune e Office 365, che sono basati su Microsoft Azure Active Directory per i servizi di identità e directory.

Ogni dominio di cui si desidera impostare la federazione deve essere aggiunto come dominio con accesso Single Sign-On o convertito da dominio standard in dominio con accesso Single Sign-On. Attraverso l'aggiunta o la conversione di un dominio, si imposta un trust tra ADFS e Microsoft Azure Active Directory (Microsoft Azure AD).

ImportantImportante
  • Se oltre a un dominio di primo livello (ad esempio contoso.com) si utilizza un sottodominio (ad esempio corp.contoso.com), prima di aggiungere eventuali sottodomini è necessario aggiungere il dominio di primo livello al servizio cloud. Quando il dominio di primo livello è configurato per Single Sign-On, vengono configurati automaticamente anche tutti i sottodomini.

  • La configurazione di un trust viene eseguita una sola volta e non è necessario eseguire nuovamente i cmdlet dello Modulo di Microsoft Azure Active Directory per Windows PowerShell se si aggiungono altri server AD FS alla server farm.

  • Se si aggiunge e si verifica un dominio con lo Modulo di Azure Active Directory, è necessario specificare diverse impostazioni aggiuntive. Tali impostazioni consentono di visualizzare i record DNS da configurare per abilitare il dominio in modo che funzioni con i servizi cloud.

Per supportare diversi domini di primo livello, è necessario utilizzare l'opzione SupportMultipleDomain con qualsiasi cmdlet, come quelli utilizzati nelle procedure di aggiunta o conversione di un dominio.

Ad esempio, per aggiungere contoso.com e fabrikam.com come domini Single Sign-On, si seguirà la procedura "Aggiungi un dominio" per contoso.com, utilizzando l'opzione SupportMultipleDomain in ogni passaggio con un cmdlet. Pertanto, nel passaggio 5 si utilizzerà New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Dopo aver completato tutti i passaggi della procedura per contoso.com, si ripeterà la procedura per il dominio fabrikam.com. Nel passaggio 5 si utilizzerà New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Per ulteriori informazioni, consultare l'argomento Support for Multiple Top Level Domains (Supporto per domini di primo livello).

Completare una delle seguenti procedure per configurare il trust federativo con Microsoft Azure AD, in base alla necessità di aggiungere un nuovo dominio o convertirne uno esistente.

  1. Aprire lo Modulo di Azure Active Directory.

  2. Eseguire $cred=Get-Credential. Alla richiesta delle credenziali, digitare quelle dell'account amministratore di servizi cloud.

  3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet consente di connettersi a Microsoft Azure AD. Prima di eseguire ulteriori cmdlet eventualmente installati dallo strumento, è necessario creare un contesto che consenta di connettersi a Microsoft Azure AD.

  4. Eseguire Set-MsolAdfscontext -Computer <AD FS primary server>, dove <AD FS primary server> è il nome di dominio completo (FQDN) interno del server ADFS primario. Questo cmdlet crea un contesto che consente la connessione a ADFS.

    noteNota
    Se il Modulo di Azure Active Directory è stato installato nel server ADFS primario, non è necessario eseguire questo cmdlet.

  5. Eseguire New-MsolFederatedDomain –DomainName <domain>, dove <domain> è il dominio da aggiungere e attivare per consentire l'accesso Single Sign-On. Questo cmdlet consente di aggiungere un nuovo dominio o sottodominio di primo livello che verrà configurato per l'autenticazione federata.

    noteNota
    Una volta utilizzato il cmdlet New-MsolFederatedDomain per aggiungere un dominio di primo livello, non sarà possibile utilizzare il cmdlet New-MsolDomain per aggiungere domini standard (non federati).

  6. Utilizzando le informazioni fornite dai risultati del cmdlet New-MsolFederatedDomain, contattare il registrar per creare il record DNS necessario. In tal modo si dimostra di essere proprietari del dominio. La propagazione potrebbe richiedere fino a 15 minuti, a seconda del registrar. La propagazione delle modifiche nel sistema potrebbe richiedere fino a 72 ore. Per ulteriori informazioni, consultare Verifica di un dominio presso qualsiasi registrar.

  7. Eseguire nuovamente New-MsolFederatedDomain, specificando lo stesso nome di dominio per completare la procedura.

Quando si converte un dominio esistente in un dominio Single Sign-On, ogni utente con licenza diventerà un utente federato e potrà accedere ai servizi cloud utilizzando le credenziali aziendali esistenti di Active Directory (nome utente e password). Attualmente non è possibile eseguire un'implementazione per fasi di Single Sign-On; è tuttavia possibile eseguire il progetto pilota di Single Sign-On con una serie di utenti di produzione nella foresta di Active Directory. Per ulteriori informazioni, vedere Esecuzione di un progetto pilota per provare l'accesso Single Sign-On prima della configurazione (facoltativo).

noteNota
È consigliabile eseguire una conversione quando il numero di utenti è ridotto al minimo, ad esempio nei weekend, per limitare l'impatto.

Per convertire un dominio esistente in un dominio con accesso Single Sign-On, effettuare le seguenti operazioni:

  1. Aprire lo Modulo di Azure Active Directory.

  2. Eseguire $cred=Get-Credential. Alla richiesta delle credenziali, digitare quelle dell'account amministratore di servizi cloud.

  3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet consente di connettersi a Microsoft Azure AD. Prima di eseguire ulteriori cmdlet eventualmente installati dallo strumento, è necessario creare un contesto che consenta di connettersi a Microsoft Azure AD.

  4. Eseguire Set-MsolAdfscontext -Computer <AD FS primary server>, dove <AD FS primary server> è il nome di dominio completo (FQDN) interno del server ADFS primario. Questo cmdlet crea un contesto che consente la connessione a ADFS.

    noteNota
    Se il Modulo di Azure Active Directory è stato installato nel server ADFS primario, non è necessario eseguire questo cmdlet.

  5. Eseguire Convert-MsolDomainToFederated –DomainName <domain>, dove <domain> è il dominio da convertire. Questo cmdlet consente di trasformare il dominio con autenticazione standard in dominio Single Sign-On.

noteNota
Per verificare l'esito della conversione, confrontare le impostazioni sul server ADFS e su Microsoft Azure AD eseguendo Get-MsolFederationProperty –DomainName <domain>, dove <domain> è il dominio di cui si desidera visualizzare le impostazioni. Se le impostazioni non corrispondono, è possibile eseguire Update-MsolFederatedDomain –DomainName <domain> per sincronizzarle.

Ora che è stato impostato un trust tra AD FS e Windows Azure AD, è necessario configurare la sincronizzazione di Active Directory. Per ulteriori informazioni, vedere Roadmap sulla sincronizzazione della directory. Dopo aver configurato la sincronizzazione di Active Directory, consultare Verifica e gestione dell'accesso Single Sign-On con ADFS.

Vedere anche

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2014 Microsoft