Esporta (0) Stampa
Espandi tutto

Configurazione di un trust tra ADFS e Windows Azure AD

Pubblicato: giugno 2012

Aggiornamento: giugno 2014

Si applica a: Azure, Office 365, Windows Intune

Ogni dominio di cui si desidera attuare la federazione deve essere aggiunto come dominio Single Sign-On o convertito da dominio standard a dominio Single Sign-On. L'aggiunta o la conversione di un dominio comporta la configurazione di una relazione di trust tra ADFS e Microsoft Azure Active Directory (Microsoft Azure AD).

ImportantImportante
  • Se si utilizza un sottodominio (ad esempio corp.contoso.com) oltre a un dominio di primo livello (ad esempio contoso.com), sarà necessario aggiungere il dominio di primo livello nel servizio cloud prima di aggiungere eventuali sottodomini. Se il dominio di primo livello è configurato per Single Sign-On, tutti i sottodomini verranno automaticamente configurati nello stesso modo.

  • La configurazione di una relazione di trust è un'operazione che si esegue una sola volta. Se pertanto si aggiungono più server ADFS a una server farm, non sarà necessario eseguire di nuovo i cmdlet del Modulo di Microsoft Azure Active Directory per Windows PowerShell.

  • Se si aggiunge e si verifica un dominio con il Modulo di Microsoft Azure Active Directory, sarà necessario specificare alcune impostazioni aggiuntive. Queste impostazioni sono necessarie per visualizzare i record DNS che devono essere configurati per consentire al dominio di interagire con il servizio cloud.

Se è necessario supportare più domini di primo livello, utilizzare l'opzione SupportMultipleDomain con i cmdlet, ad esempio con quelli utilizzati nelle procedure "Aggiungere un dominio" e "Convertire un dominio".

Per aggiungere ad esempio sia contoso.com sia fabrikam.com come domini Single Sign-On, eseguire la procedura descritta in "Aggiungere un dominio" per contoso.com utilizzando l'opzione SupportMultipleDomain in tutti i passaggi in cui viene utilizzato un cmdlet. Per il passaggio 5 ad esempio utilizzare New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Dopo aver eseguito tutti i passaggi descritti nella procedura per contoso.com, ripetere la procedura per il dominio fabrikam.com e al passaggio 5 utilizzare New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Per altre informazioni, vedere la pagina relativa al supporto per più domini di primo livello.

Eseguire una delle procedure descritte di seguito per configurare la relazione di trust federativa con Azure AD, a seconda che si desideri aggiungere un nuovo dominio o convertirne uno esistente.

  1. Aprire il Modulo di Microsoft Azure Active Directory.

  2. Eseguire $cred=Get-Credential. Quando il cmdlet richiede di specificare le credenziali, digitare le credenziali dell'account amministratore del servizio cloud.

  3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet consente di connettersi a Azure AD. È necessario creare un contesto per la connessione a Azure AD per poter eseguire i cmdlet aggiuntivi installati dallo strumento.

  4. Eseguire Set-MsolAdfscontext -Computer <AD FS primary server>, dove <AD FS primary server> è il nome FQDN interno del server ADFS primario. Questo cmdlet consente di creare un contesto per la connessione ad ADFS.

    noteNota
    Se è stato installato il Modulo di Microsoft Azure Active Directory nel server ADFS primario, non sarà necessario eseguire questo cmdlet.

  5. Eseguire New-MsolFederatedDomain –DomainName <domain>, dove <domain> è il dominio da aggiungere e abilitare per Single Sign-On. Questo cmdlet consente di aggiungere un nuovo dominio di primo livello o un sottodominio che verrà configurato per l'autenticazione federata.

    noteNota
    Dopo aver utilizzato il cmdlet New-MsolFederatedDomain per aggiungere un dominio di primo livello, non sarà possibile utilizzare il cmdlet New-MsolDomain per aggiungere domini standard (non federati).

  6. Utilizzando le informazioni fornite dai risultati del cmdlet New-MsolFederatedDomain, contattare il registrar per creare il record DNS necessario, con cui viene verificato che si è proprietari del dominio. Si noti che possono trascorrere fino a 15 minuti per la propagazione, a seconda del registrar. Possono essere necessarie fino a 72 ore per la propagazione delle modifiche nel sistema. Per altre informazioni, vedere Verifica di un dominio presso qualsiasi registrar.

  7. Eseguire New-MsolFederatedDomain una seconda volta, specificando lo stesso nome di dominio per finalizzare il processo.

Quando si converte un dominio esistente in un dominio Single Sign-On, ogni utente con licenza diventa un utente federato e può accedere ai servizi cloud utilizzando le proprie credenziali aziendali Active Directory (nome utente e password) esistenti. Non è attualmente possibile eseguire una distribuzione a fasi di Single Sign-On. È tuttavia possibile effettuare una distribuzione pilota di Single Sign-On con un insieme di utenti di produzione dalla foresta Active Directory di produzione. Per altre informazioni, vedere Run a pilot to test single signon before setting it up (optional).

noteNota
È consigliabile effettuare una conversione quando è connesso il numero minimo di utenti, ad esempio durante un fine settimana, in modo da ridurre l'impatto dell'operazione.

Per convertire un dominio esistente in un dominio Single Sign-On, effettuare le seguenti operazioni.

  1. Aprire il Modulo di Microsoft Azure Active Directory.

  2. Eseguire $cred=Get-Credential. Quando il cmdlet richiede di specificare le credenziali, digitare le credenziali dell'account amministratore del servizio cloud.

  3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet consente di connettersi a Azure AD. È necessario creare un contesto per la connessione a Azure AD per poter eseguire i cmdlet aggiuntivi installati dallo strumento.

  4. Eseguire Set-MsolAdfscontext -Computer <AD FS primary server>, dove <AD FS primary server> è il nome FQDN interno del server ADFS primario. Questo cmdlet consente di creare un contesto per la connessione ad ADFS.

    noteNota
    Se è stato installato il Modulo di Microsoft Azure Active Directory nel server ADFS primario, non sarà necessario eseguire questo cmdlet.

  5. Eseguire Convert-MsolDomainToFederated –DomainName <domain>, dove <domain> è il dominio da convertire. Questo cmdlet cambia il dominio passando dall'autenticazione standard a Single Sign-On.

noteNota
Per verificare che la conversione sia stata effettuata correttamente, confrontare le impostazioni del server ADFS e di Azure AD eseguendo Get-MsolFederationProperty –DomainName <domain>, dove <domain> è il dominio di cui si desidera visualizzare le impostazioni. Se le impostazioni non corrispondono, è possibile eseguire Update-MsolFederatedDomain –DomainName <domain> per sincronizzarle.

Dopo avere configurato una relazione di trust tra ADFS e Azure AD, è necessario configurare la sincronizzazione di Active Directory. Per altre informazioni, vedere Roadmap sulla sincronizzazione della directory. Dopo aver configurato la sincronizzazione di Active Directory, vedere Verifica e gestione dell'accesso Single Sign-On con ADFS.

Vedere anche

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft