Een vertrouwensrelatie instellen tussen Shibboleth en Windows Azure AD

  • Artikel

Gepubliceerd: juni 2012

Van toepassing op: Office 365, Windows Azure Active Directory, Windows Intune

Notitie

Dit onderwerp biedt online hulpinhoud die toepasselijk is op vele Microsoft cloud services, inclusief Windows Intune en Office 365.

Federatieve Windows Azure AD-domeinen worden gemaakt met de Microsoft Online Services-module. Met de Microsoft Online Services-module kunt u een reeks cmdlets uitvoeren in de opdrachtregelinterface van Windows PowerShell om domeinen toe te voegen of om te zetten.

Belangrijk

Voordat u de instructies in dit onderwerp kunt voltooien, moet u de stappen in Windows PowerShell installeren voor eenmalige aanmelding met Shibboleth bekijken en voltooien.

Elk federatief Active Directory-domein dat u wilt maken met Shibboleth, moet worden toegevoegd als een domein met eenmalige aanmelding of moet van een standaarddomein worden omgezet in een domein met eenmalige aanmelding. Door een domein toe te voegen of om te zetten, stelt u een vertrouwensrelatie in tussen de Shibboleth-identiteitsprovider en Windows Azure Active Directory.

Met de volgende procedure doorloopt u de stappen om een bestaand standaarddomein om te zetten in een federatief domein.

  1. Open het Windows Azure Active Directory-module.

  2. Voer $cred=Get-Credential uit. Wanneer u door de cmdlet om referenties wordt gevraagd, typt u de referenties voor het beheerdersaccount van de cloudservice.

  3. Voer Connect-MsolService –Credential $cred uit. Deze cmdlet verbindt u met de cloud service. Voordat u extra cmdlets kunt uitvoeren die door het hulpprogramma zijn geïnstalleerd, moet u een context maken die u verbindt met de cloud service.

  4. Voer de volgende opdrachten uit om een bestaand domein (in dit voorbeeld mail.contoso.com) om te zetten voor eenmalige aanmelding:

    $dom = "mail.contoso.com”
$url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
$ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
$uri = "https://idp.contoso.com/idp/shibboleth"
$logouturl = "https://idp.contoso.com/logout/" 
$cert = "MIIFYzCCBEugAw...2tLRtyN"

Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

    Notitie

    Voer $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP alleen uit als u de ECP-extensie van de Shibboleth-identiteitsprovider hebt ingesteld. Hoewel dit een optionele stap is, wordt u aanbevolen de ECP-extensie van de Shibboleth-identiteitsprovider te installeren, zodat eenmalige aanmelding correct werkt met smartphones, Microsoft Outlook of andere clients. Zie 'Optioneel: de ECP-extensie van Shibboleth installeren' in Shibboleth configureren voor gebruik met eenmalige aanmelding voor meer informatie.

Zie ook

Concepten

Windows PowerShell installeren voor eenmalige aanmelding met Shibboleth
Eenmalige aanmelding implementeren met de Shibboleth-identiteitsprovider