Een vertrouwensrelatie instellen tussen Shibboleth en Windows Azure AD
Gepubliceerd: juni 2012
Van toepassing op: Office 365, Windows Azure Active Directory, Windows Intune
Notitie
Dit onderwerp biedt online hulpinhoud die toepasselijk is op vele Microsoft cloud services, inclusief Windows Intune en Office 365.
Federatieve Windows Azure AD-domeinen worden gemaakt met de Microsoft Online Services-module. Met de Microsoft Online Services-module kunt u een reeks cmdlets uitvoeren in de opdrachtregelinterface van Windows PowerShell om domeinen toe te voegen of om te zetten.
Belangrijk
Voordat u de instructies in dit onderwerp kunt voltooien, moet u de stappen in Windows PowerShell installeren voor eenmalige aanmelding met Shibboleth bekijken en voltooien.
Elk federatief Active Directory-domein dat u wilt maken met Shibboleth, moet worden toegevoegd als een domein met eenmalige aanmelding of moet van een standaarddomein worden omgezet in een domein met eenmalige aanmelding. Door een domein toe te voegen of om te zetten, stelt u een vertrouwensrelatie in tussen de Shibboleth-identiteitsprovider en Windows Azure Active Directory.
Met de volgende procedure doorloopt u de stappen om een bestaand standaarddomein om te zetten in een federatief domein.
Open het Windows Azure Active Directory-module.
Voer
$cred=Get-Credential
uit. Wanneer u door de cmdlet om referenties wordt gevraagd, typt u de referenties voor het beheerdersaccount van de cloudservice.Voer
Connect-MsolService –Credential $cred
uit. Deze cmdlet verbindt u met de cloud service. Voordat u extra cmdlets kunt uitvoeren die door het hulpprogramma zijn geïnstalleerd, moet u een context maken die u verbindt met de cloud service.Voer de volgende opdrachten uit om een bestaand domein (in dit voorbeeld mail.contoso.com) om te zetten voor eenmalige aanmelding:
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
Notitie
Voer
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP
alleen uit als u de ECP-extensie van de Shibboleth-identiteitsprovider hebt ingesteld. Hoewel dit een optionele stap is, wordt u aanbevolen de ECP-extensie van de Shibboleth-identiteitsprovider te installeren, zodat eenmalige aanmelding correct werkt met smartphones, Microsoft Outlook of andere clients. Zie 'Optioneel: de ECP-extensie van Shibboleth installeren' in Shibboleth configureren voor gebruik met eenmalige aanmelding voor meer informatie.
Zie ook
Concepten
Windows PowerShell installeren voor eenmalige aanmelding met Shibboleth
Eenmalige aanmelding implementeren met de Shibboleth-identiteitsprovider