Eenmalige aanmelding verifiëren en beheren met AD FS 2.0

Gepubliceerd: juni 2012

Van toepassing op: Office 365, Windows Intune

Voordat u als beheerder eenmalige aanmelding (ook wel identiteitsfederatie genoemd) controleert en beheert, bekijkt u de informatie en voert u de stappen in de volgende artikelen uit om eenmalige aanmelding in te stellen.

• Eenmalige aanmelding voorbereiden

• Plan for and deploy AD FS 2.0 for use with single sign-on

• Routekaart voor adreslijstsynchronisatie

• Windows PowerShell installeren voor eenmalige aanmelding met AD FS 2.0

Na het instellen van eenmalige aanmelding, moet u controleren of deze correct werkt. Er zijn ook verschillende beheertaken die u af en toe kunt uitvoeren zodat eenmalige aanmelding probleemloos blijft verlopen.

Wat wilt u doen?

• Verifiëren of eenmalige aanmelding correct is ingesteld

• Een geplande taak instellen om Windows Azure AD automatisch bij te werken wanneer een wijziging is aangebracht in het certificaat voor token-ondertekening.

• Eenmalige aanmelding beheren

Verifiëren of eenmalige aanmelding correct is ingesteld

Om te controleren of eenmalige aanmelding juist is ingesteld, kunt u de volgende procedure volgen om te bevestigen dat u zich kunt aanmelden de cloud service met uw bedrijfsreferenties, Eenmalige aanmelding testen voor andere gebruiksscenario's, en Microsoft Remote Connectivity Analyzer gebruiken.

Als u wilt verifiëren of eenmalige aanmelding correct is ingesteld, voltooit u de volgende stappen.

1. Ga op een computer in het domein naar de Microsoft Office 365 Portal.

2. Meld u aan met dezelfde aanmeldingsnaam als voor uw bedrijfsreferenties.

3. Klik in het wachtwoordvak. Als eenmalige aanmelding is ingesteld, wordt het wachtwoordvak grijs weergegeven en ziet u het volgende bericht: 'Aanmelden moet nu bij <uw bedrijf> plaatsvinden.'

4. Klik op de koppeling Aanmelden bij <uw bedrijf>.

   Als u zich kunt aanmelden, is eenmalige aanmelding ingesteld.

Eenmalige aanmelding testen voor andere gebruiksscenario's

Nadat u hebt gecontroleerd dat eenmalige aanmelding is voltooid, test u de volgende scenario's voor aanmelding om ervoor te zorgen dat eenmalige aanmelding en de implementatie van AD FS 2.0 juist zijn geconfigureerd. Vraag een groep gebruikers om zowel vanaf browsers als vanaf rijke clienttoepassingen, zoals Microsoft Office 2010, toegang tot de cloud service-services te testen in de volgende omgevingen:

• Vanaf een computer in het domein

• Vanaf een computer in het bedrijfsnetwerk die geen lid is van het domein

• Vanaf een zwervende computer buiten het bedrijfsnetwerk die lid is van het domein

• Met de verschillende besturingssystemen die in uw bedrijf worden gebruikt

• Vanaf een computer thuis

• Uit een internetkiosk (toegang tot de cloud service alleen testen vanaf een browser)

• Vanaf een smartphone (bijvoorbeeld een smartphone met Microsoft Exchange ActiveSync)

Microsoft Remote Connectivity Analyzer gebruiken

Om de connectiviteit van eenmalige aanmelding te testen, kunt u de Microsoft Remote Connectivity Analyzer gebruiken. Klik op het tabblad Office 365, klik op Microsoft Single Sign-On-en klik vervolgens op Volgende. Volg de aanwijzingen op het scherm om de test uit te voeren. De Analyzer valideert of u zich kunt aanmelden bij de cloud service met uw bedrijfsreferenties. Ook wordt eenvoudige AD FS 2.0-configuratie gevalideerd.

Wat wilt u doen?

Een geplande taak instellen om Windows Azure AD automatisch bij te werken wanneer een wijziging is aangebracht in het certificaat voor token-ondertekening.

AD FS 2.0 genereert elk jaar standaard een nieuw zelfondertekend certificaat voor token-ondertekening 20 dagen voordat het certificaat verloopt. Rollover van het certificaat, of het genereren van een nieuw certificaat wanneer het bestaande certificaat bijna verloopt en hiervan het primaire certificaat maken, is alleen van toepassing op zelfondertekende certificaten die zijn gegenereerd door AD FS 2.0.

Het tokenhandtekeningcertificaat is essentieel voor de stabiliteit van de Federation Service. Als dit wordt gewijzigd, moet de wijziging worden gemeld aan Windows Azure AD . Anders mislukken de aanvragen voor uw cloudservices. U moet de Microsoft Federation Metadata Update Automation Installation Tool downloaden en configureren op uw primaire federatieserver of een andere beschrijfbare federatieserver, die de Windows Azure AD Federation Metadata regelmatig automatisch controleert en bijwerkt zodat wijzigingen in het certificaat voor token-ondertekening in de AD FS 2.0 Federation Service automatisch naar Windows Azure AD worden gekopieerd.

Om dit hulpprogramma succesvol uit te voeren:

• Moet u ten minste één AD FS 2.0 Federation Service hebben geïmplementeerd.

• Moet u de stappen in Vertrouwensrelatie instellen tussen AD FS 2.0 en Windows Azure ADhebben voltooid.

• Moet dit hulpprogramma worden uitgevoerd op uw primaire federatieserver of op een beschrijfbare federatieserver.

• Moet u toegang hebben tot de hoofdbeheerderreferenties voor de huurder Windows Azure AD .

  Notitie

  Als u de hoofdbeheerderreferenties niet op 'wachtwoord – niet laten verlopen' hebt ingesteld, zorgt u ervoor dat u dit hulpprogramma opnieuw uitvoert met het nieuwe wachtwoord nadat het wachtwoord voor hoofdbeheerder is verlopen. Anders mislukt de geplande taak.

Dit zijn de stappen voor het uitvoeren van dit hulpprogramma:

1. Download de Microsoft Federation Metadata Update Automation Installation Tool en sla deze op uw computer op.

2. Start de Windows PowerShell/beheerdersmodule op en ga vervolgens naar de map waarin u het hulpprogramma hebt gekopieerd.

3. Typ .\O365-Fed-MetaData-Update-Task-Installation.ps1bij de opdrachtprompt en druk op ENTER.

4. Typ de federatieve domeinnaam bij de opdrachtprompt en druk op ENTER.

5. Typ uw gebruikers-ID-referenties bij de opdrachtprompt en druk op ENTER.

6. Typ uw lokale beheerderreferenties bij de opdrachtprompt en druk op ENTER.

Na het voltooien van deze stappen creëert het script een geplande taak voor uitvoering door de lokale beheerderreferenties die in stap 6 hierboven zijn gegeven. De geplande taak wordt eenmaal per dag uitgevoerd.

Eenmalige aanmelding beheren

Er zijn andere optionele of incidentele taken die u kunt uitvoeren zodat eenmalige aanmelding probleemloos blijft verlopen.

In deze sectie

• URL's toevoegen aan vertrouwde websites in Internet Explorer

• Voorkomen dat gebruikers zich aanmelden bij de cloudservice

• Huidige instellingen weergeven

• Vertrouwensrelatie-eigenschappen bijwerken

• Een AD FS 2.0-server herstellen

URL's toevoegen aan vertrouwde websites in Internet Explorer

Na het toevoegen of converteren van uw domeinen als onderdeel van het instellen van eenmalige aanmelding, kunt u de volledig gekwalificeerde domeinnaam van uw server AD FS 2.0 aan de lijst van vertrouwde websites in Internet Explorer toevoegen. Dit zorgt ervoor dat gebruikers niet om hun wachtwoord voor de server AD FS 2.0 worden gevraagd. Deze wijziging moet worden aangebracht op de client. U kunt deze wijziging ook aanbrengen voor uw gebruikers door een groepsbeleidsinstelling op te geven die automatisch deze URL aan de lijst met vertrouwde websites toevoegt voor computers die deel uitmaken van een domein. Zie Internet Explorer-beleidsinstellingen voor meer informatie.

Voorkomen dat gebruikers zich aanmelden bij de cloudservice

AD FS 2.0 biedt beheerders de mogelijkheid om aangepaste regels te definiëren die gebruikers toegang verlenen of juist weigeren. Voor eenmalige aanmelding moeten aangepaste regels worden toegepast op de vertrouwensrelatie met de partij gekoppeld aan de cloud service. U hebt deze vertrouwensrelatie gecreëerd toen u de cmdlets in Windows PowerShell uitvoerde om eenmalige aanmelding in te stellen.

Zie Een regel creëren om gebruikers toegang te verlenen of te weigeren op basis van een binnenkomend verzoek voor meer informatie over hoe u kunt voorkomen dat gebruikers zich bij services aanmelden. Zie voor meer informatie over de cmdlets voor het instellen van eenmalige aanmelding Windows PowerShell installeren voor eenmalige aanmelding met AD FS 2.0.

Huidige instellingen weergeven

Wanneer u de huidige AD FS 2.0-server en de cloud service-instellingen wilt bekijken, kunt u het Windows Azure Active Directory-module voor Windows PowerShell openen, Connect-MSOLService uitvoeren, en vervolgens Get-MSOLFederationProperty –DomainName <domain> uitvoeren. Hiermee kunt u controleren of de instellingen op de AD FS 2.0-server overeenkomen met die in de cloud service. Als de instellingen niet overeenkomen, kunt u Update-MsolFederatedDomain –DomainName <domain>uitvoeren. Zie de volgende sectie “Vertrouwensrelatie-eigenschappen bijwerken” voor meer informatie.

Wat wilt u doen?

Vertrouwensrelatie-eigenschappen bijwerken

U moet de vertrouwensrelatie-eigenschappen voor eenmalige aanmelding in de cloud service bijwerken wanneer:

• De URL wijzigt: Als u wijzigingen aanbrengt in de URL voor de AD FS 2.0-server, moet u de vertrouwensrelatie-eigenschappen bijwerken.

• Het primaire certificaat voor token-ondertekening is gewijzigd: Wijziging van het primaire certificaat voor token-ondertekening veroorzaakt gebeurtenis-ID 334 of gebeurtenis-ID 335 in Logboeken voor AD FS 2.0-server. Het is raadzaam dat u regelmatig en ten minste wekelijks Logboeken controleert.

  Volg deze stappen voor het weergeven van de gebeurtenissen voor de server AD FS 2.0.

  1. Klik op Starten klik vervolgens op Configuratiescherm. Klik in Categorieweergave op Systeem en beveiliging, klik dan op Systeembeheer, en klik vervolgens op Logboeken.

  2. Om de gebeurtenissen voor AD FS 2.0 in het linker deelvenster van Logboeken weer te geven, klikt u op Logboeken toepassingen en services, dan op AD FS 2.0, en vervolgens op Admin.

• Het certificaat voor token-ondertekening verloopt jaarlijks: Het certificaat voor token-ondertekening is essentieel voor de stabiliteit van de Federation-Service. Als dit wordt gewijzigd, moet de wijziging worden gemeld aan Windows Azure AD . Anders mislukken de aanvragen voor uw cloudservices.

  Volg de stappen hierboven in de sectie Geplande taak instellen van dit onderwerp, waarin wordt uitgelegd hoe u het Microsoft Federation Metadata Update Automation Installation Tool kunt downloaden en configureren. Dit hulpprogramma zal de Windows Azure AD Federation Metadata regelmatig controleren en bijwerken zodat wijzigingen in het certificaat voor token-ondertekening in de AD FS 2.0 Federation Service automatisch naar Windows Azure AD worden gekopieerd.

Volg deze stappen om vertrouwensrelatie-eigenschappen handmatig bij te werken.

1. Open het Windows Azure Active Directory-module voor Windows PowerShell.

2. Voer $cred=Get-Credential uit. Wanneer deze cmdlet u vraagt om referenties, typt u de accountreferenties van uw cloudservicebeheerder in.

3. Voer Connect-MsolService –Credential $cred uit. Deze cmdlet verbindt u met de cloud service. Voordat u extra cmdlets kunt uitvoeren die door het hulpprogramma zijn geïnstalleerd, moet u een context maken die u verbindt met de cloud service.

4. Voer Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server> uit. Hierbij is <AD FS 2.0 primary server> de interne FQDN-naam van de primaire AD FS 2.0-server. Deze cmdlet maakt een context die u verbindt met AD FS 2.0.

   Notitie

   Als u het Windows Azure Active Directory-module hebt geïnstalleerd op de primaire AD FS 2.0-server, hoeft u deze cmdlet niet uit te voeren.

5. Voer Update-MSOLFederatedDomain –DomainName <domain> uit. Deze cmdlet werkt de instellingen vanaf AD FS 2.0 bij in de cloud service en configureert de vertrouwensrelatie tussen de twee.

Wat wilt u doen?

Een AD FS 2.0-server herstellen

In geval u uw primaire server verliest en deze niet kunt herstellen, moet u van een andere server de primaire server maken. Zie AD FS 2.0 - De primaire federatieserver in een WID Farm zetten voor meer informatie.

Als u alle servers in de farm verliest, moet u de vertrouwensrelatie met de volgende stappen opnieuw opbouwen.

1. Open het Windows Azure Active Directory-module.

2. Voer $cred=Get-Credential uit. Wanneer u door de cmdlet om referenties wordt gevraagd, typt u de referenties voor het beheerdersaccount van de cloudservice.

3. Voer Connect-MsolService –Credential $cred uit. Deze cmdlet verbindt u met de cloud service. Voordat u extra cmdlets kunt uitvoeren die door het hulpprogramma zijn geïnstalleerd, moet u een context maken die u verbindt met de cloud service.

4. Voer Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server> uit. Hierbij is <AD FS 2.0 primary server> de interne FQDN-naam van de primaire AD FS 2.0-server. Deze cmdlet maakt een context die u verbindt met AD FS 2.0.

   Notitie

   Als u het Windows Azure Active Directory-module hebt geïnstalleerd op de primaire AD FS 2.0-server, hoeft u deze cmdlet niet uit te voeren.

5. Voer Update-MsolFederatedDomain –DomainName <domain> uit, waar <domein> het domein is waarvan u de eigenschappen wilt bijwerken. Deze cmdlet werkt de eigenschappen bij en stelt de vertrouwensrelatie vast.

6. Voer Get-MsolFederationProperty –DomainName <domain> uit, waar <domein> het domein is waarvan u de eigenschappen wilt bekijken. Vervolgens kunt u de eigenschappen van de primaire server AD FS 2.0 vergelijken met de eigenschappen in de cloud service om ervoor te zorgen dat ze overeenkomen. Als ze niet overeenkomen, voert u Update-MsolFederatedDomain –DomainName <domain> opnieuw uit om de eigenschappen te synchroniseren.

Zie ook

Concepten

Routekaart voor eenmalige aanmelding
Eenmalige aanmelding voorbereiden
Routekaart voor adreslijstsynchronisatie
Windows PowerShell installeren voor eenmalige aanmelding met AD FS 2.0
Problemen met eenmalige aanmelding oplossen

Andere bronnen

Plan for and deploy AD FS 2.0 for use with single sign-on