Verificar e gerir o single sign-on com o AD FS 2.0

  • Artigo

Publicada: Junho de 2012

Atualizada: Fevereiro de 2013

Aplica-se a: Office 365, Windows Intune

Nota

Este tópico fornece conteúdo de ajuda online que é aplicável a vários serviços baseados na nuvem Microsoft, incluindo o Windows Intune e o Office 365.

Como administrador, antes de verificar e gerir o single sign-on (também denominado federação de identidades), deve rever as informações e efetuar os passos descritos nos seguintes artigos, para proceder à configuração do single sign-on:

Depois de configurar o single sign-on, deverá verificar se funciona corretamente. Há também várias outras tarefas de gestão que pode efetuar, periodicamente, para manter o bom funcionamento.

O que pretende fazer?

  • Verificar se o single sign-on foi configurado corretamente

  • Configurar uma tarefa agendada para atualizar automaticamente o Windows Azure AD quando é efetuada uma alteração ao certificado de assinatura de tokens

  • Gerir o single sign-on

Verificar se o single sign-on foi configurado corretamente

Para verificar se o single sign-on foi configurado corretamente, pode efetuar o seguinte procedimento para confirmar que consegue iniciar sessão no serviço baseado na nuvem com as suas credenciais empresariais, Testar o single sign-on em diferentes cenários de utilização e Utilizar o Microsoft Remote Connectivity Analyzer.

Nota

  • Caso tenha convertido (e não adicionado) um domínio, poderá demorar até 24 horas para configurar o single sign-on.

  • Antes de verificar o single sign-on, deverá concluir a configuração da sincronização do Active Directory, sincronizar os diretórios e ativar os utilizadores sincronizados. Para obter mais informações, consulte Informações gerais sobre a sincronização de diretórios.

Para verificar se o single sign-on foi configurado corretamente, execute os passos seguintes.

  1. Num computador associado a um domínio, aceda ao portal do Microsoft Office 365.

  2. Inicie sessão utilizando o mesmo nome de início de sessão das suas credenciais empresariais.

  3. Clique dentro da caixa de palavra-passe. Se o single sign-on estiver configurado, a caixa da palavra-passe aparece sombreada com a seguinte mensagem: “Agora, tem de iniciar sessão em <nome da empresa>”.

  4. Clique na hiperligação Iniciar sessão em <nome da empresa>.

    Se conseguir iniciar sessão, isso significa que o single sign-on foi configurado.

Testar o single sign-on em diferentes cenários de utilização

Depois de confirmar que o single sign-on está a funcionar, teste os seguintes cenários de início de sessão para garantir que o single sign-on e a implementação de AD FS 2.0 estão configurados corretamente. Peça a um grupo de utilizadores que teste o acesso aos serviços do serviço baseado na nuvem a partir de browsers, bem como de aplicações cliente avançadas, como o Microsoft Office 2010, nos seguintes ambientes:

  • Num computador associado a um domínio

  • Num computador não associado a um domínio, dentro da rede empresarial

  • Num computador associado a um domínio em roaming, fora da rede empresarial

  • Em diferentes sistemas operativos utilizados na empresa

  • Num computador doméstico

  • Num quiosque de Internet (o acesso ao serviço baseado na nuvem deve ser testado apenas através de um browser)

  • Num smartphone (por exemplo, um smartphone com o Microsoft Exchange ActiveSync)

Utilizar o Microsoft Remote Connectivity Analyzer

Para testar a conetividade single sign-on, pode utilizar o Microsoft Remote Connectivity Analyzer. Clique no separador Office 365, clique em Microsoft Single Sign-On e, em seguida, clique em Seguinte. Siga os pedidos apresentados no ecrã para efetuar o teste. O analisador valida a sua capacidade de início de sessão no serviço baseado na nuvem com as credenciais empresariais. Valida também a configuração básica do AD FS 2.0.

O que pretende fazer?

Configurar uma tarefa agendada para atualizar automaticamente o Windows Azure AD quando é efetuada uma alteração ao certificado de assinatura de tokens

Por predefinição, os AD FS 2.0 geram um novo certificado de assinatura de tokens - um certificado autoassinado - 20 dias antes da data de expiração do certificado, anualmente. O rollover de certificados (isto é, a geração de um novo certificado quando o existente está prestes a expirar e, em seguida, a sua promoção a certificado principal) aplica-se unicamente aos certificados autoassinados que são gerados pelos AD FS 2.0.

O certificado de assinatura de tokens é fundamental para a estabilidade do Serviço de Federação. Se for alterado, a alteração deve ser comunicada ao Windows Azure AD. Caso contrário, os pedidos efetuados aos serviços em nuvem irão falhar. É necessário transferir e configurar a Ferramenta de Instalação da Automatização de Atualização de Metadados de Federação da Microsoft no servidor de federação primário ou em qualquer servidor de federação gravável, que irá monitorizar e atualizar automaticamente os metadados de federação do Windows Azure AD a intervalos regulares, de modo a que quaisquer alterações efetuadas no certificado de assinatura de tokens do Serviço de Federação dos AD FS 2.0 sejam replicadas automaticamente no Windows Azure AD.

Para executar esta ferramenta com êxito:

  • Precisa de ter implementado pelo menos um Serviço de Federação dos AD FS 2.0.

  • Tem de concluir todos os passos em Definir uma fidedignidade entre o AD FS 2.0 e o Windows Azure AD.

  • Esta ferramenta tem de ser executada no servidor de federação primário ou num servidor de federação gravável.

  • Tem de ter acesso a credenciais de Administrador Global para o inquilino do Windows Azure AD.

    Nota

    Caso não tenha configurado as credenciais de Administrador Global para "não expirar palavra-passe", volte a executar esta ferramenta com a nova palavra-passe após a palavra-passe de Administrador Global ter expirado. Caso contrário, a tarefa agendada irá falhar.

Os passos para executar esta ferramenta são os seguintes:

  1. Transfira e guarde a Ferramenta de Instalação da Automatização de Atualização de Metadados de Federação da Microsoft no computador.

  2. Inicie o módulo de Administrador Windows Power Shell e, em seguida, altere para o diretório onde copiou a ferramenta.

  3. Na linha de comandos, digite .\O365-Fed-MetaData-Update-Task-Installation.ps1 e, em seguida, prima ENTER.

  4. Na linha de comandos, digite o nome de domínio federado e, em seguida, prima ENTER.

  5. Na linha de comandos, digite as credenciais de ID de utilizador e, em seguida, prima ENTER.

  6. Na linha de comandos, digite as credenciais de administrador local e, em seguida, prima ENTER.

Depois de concluir estes passos, o script cria uma tarefa agendada que será executada como as credenciais de administrador local fornecidas no passo 6. A tarefa agendada será executada uma vez por dia.

Nota

Esta ferramenta precisa de ser executada para cada domínio federado na conta e, atualmente, e não fornece suporte para vários domínios de nível superior. Para obter mais informações, consulte Suporte para Vários Domínios de Nível Superior. Recomendamos que verifique periodicamente se a tarefa agendada está a ser corretamente executada, certificando-se para isso de que o ficheiro de registo é criado com êxito.

Nota

É possível configurar o momento em que os AD FS 2.0 geram o novo certificado de assinatura de tokens. Quando for a altura do rollover de certificados, os AD FS 2.0 geram um novo certificado com o nome igual ao certificado prestes a expirar, mas com uma chave privada e thumbprint diferentes. Depois de ser gerado, o novo certificado permanece como certificado secundário durante cinco dias, antes de ser promovido a certificado principal. O período de cinco dias é a predefinição, mas pode ser alterado.

Gerir o single sign-on

Há outras tarefas opcionais e ocasionais que pode efetuar para manter o single sign-on em bom funcionamento.

Nesta secção

  • Adicionar URLs aos Sites Fidedignos no Internet Explorer

  • Restringir os utilizadores de iniciarem sessão no serviço em nuvem

  • Ver as definições atuais

  • Atualizar as propriedades de fidedignidade

  • Recuperar um servidor do AD FS 2.0

Adicionar URLs aos Sites Fidedignos no Internet Explorer

Depois de adicionar ou converter domínios durante o processo de configuração do single sign-on, poderá querer adicionar o nome de domínio completamente qualificado do seu servidor de AD FS 2.0 à lista de Sites Fidedignos no Internet Explorer. Tal irá garantir que não será pedido aos utilizadores que introduzam a palavra-passe para o servidor de AD FS 2.0. Esta alteração tem de ser efetuada no cliente. Também poderá fazer esta alteração em nome dos utilizadores ao especificar uma definição de Política de Grupo que adicione este URL automaticamente à lista de Sites Fidedignos dos computadores associados ao domínio. Para obter mais informações, consulte Definições de Política do Internet Explorer.

Restringir os utilizadores de iniciarem sessão no serviço em nuvem

AD FS 2.0 disponibiliza aos administradores a opção de definir regras personalizadas para conceder ou recusar o acesso a utilizadores. No caso do single sign-on, as regras personalizadas devem ser aplicadas à fidedignidade de entidade confiadora associada ao serviço baseado na nuvem. Esta fidedignidade foi criada quando executou os cmdlets no Windows PowerShell para configurar o single sign-on.

Para mais informações sobre como restringir os utilizadores de iniciarem sessão nos serviços, consulte Criar uma Regra para Permitir ou Recusar Utilizadores com Base numa Afirmação de Entrada. Para mais informações sobre como executar cmdlets para configurar o single sign-on, consulte Instalar o Windows PowerShell para o serviço single sign-on com o AD FS 2.0.

Ver as definições atuais

Se, em qualquer momento, pretender ver as definições atuais do servidor dos AD FS 2.0 e do serviço baseado na nuvem, pode abrir a Módulo do Windows Azure Active Directory para Windows PowerShell e executar Connect-MSOLService, seguido de Get-MSOLFederationProperty –DomainName <domain>. Isto permite-lhe verificar se as definições no servidor de AD FS 2.0 são consistentes com as do serviço baseado na nuvem. Se as definições não corresponderem, pode executar o Update-MsolFederatedDomain –DomainName <domain>. Para mais informações, consulte a secção seguinte “Atualizar as propriedades de fidedignidade”.

Nota

Se for necessário suporte para vários domínios de nível superior, como, por exemplo, contoso.com e fabrikam.com, terá de utilizar o parâmetro SupportMultipleDomain com quaisquer cmdlets. Para obter mais informações, consulte Suporte para Vários Domínios de Nível Superior.

O que pretende fazer?

Atualizar as propriedades de fidedignidade

É necessário atualizar as propriedades de fidedignidade do single sign-on no serviço baseado na nuvem quando:

  • O URL muda: Se efetuar alterações ao URL do servidor dos AD FS 2.0, terá de atualizar as propriedades de fidedignidade.

  • O certificado de assinatura de tokens principal foi alterado: a alteração do certificado de assinatura de tokens principal origina o evento ID 334 ou o evento ID 335 no Visualizador de Eventos do servidor dos AD FS 2.0 Recomenda-se que verifique o Visualizador de Eventos com regularidade, no mínimo, semanalmente.

    Para ver os eventos do servidor de AD FS 2.0, siga estes passos.

    1. Clique em Iniciar e, em seguida, clique em Painel de Controlo. Na vista Categoria, clique em Sistema e Segurança, clique em Ferramentas Administrativas e, em seguida, clique em Visualizador de Eventos.

    2. Para ver os eventos dos AD FS 2.0, no painel esquerdo do Visualizador de Eventos, clique em Registos de Serviços e Aplicações e, em seguida, clique em AD FS 2.0 e, em seguida, clique em Admin.

  • O certificado de assinatura de tokens expira anualmente: O certificado de assinatura de tokens é fundamental para a estabilidade do Serviço de Federação. Se for alterado, a alteração deve ser comunicada ao Windows Azure AD. Caso contrário, os pedidos efetuados aos serviços em nuvem irão falhar.

    Siga os passos indicados na secção Configurar tarefa agendada deste tópico, que lhe fornecem as instruções para transferir e configurar a Ferramenta de Instalação da Automatização de Atualização de Metadados de Federação da Microsoft. Esta ferramenta monitoriza e atualiza automaticamente os metadados de federação do Windows Azure AD a intervalos regulares, de modo a que quaisquer alterações efetuadas no certificado de assinatura de tokens do Serviço de Federação dos AD FS 2.0 sejam replicadas automaticamente no Windows Azure AD.

Para atualizar manualmente as propriedades de fidedignidade, siga estes passos.

Nota

Se for necessário suporte para vários domínios de nível superior, como, por exemplo, contoso.com e fabrikam.com, terá de utilizar o parâmetro SupportMultipleDomain com quaisquer cmdlets. Para obter mais informações, consulte Suporte para Vários Domínios de Nível Superior.

  1. Abra o Módulo do Windows Azure Active Directory para Windows PowerShell.

  2. Execute $cred=Get-Credential. Quando este cmdlet pedir as suas credenciais, digite as suas credenciais da conta de administrador do serviço em nuvem.

  3. Execute Connect-MsolService –Credential $cred. Este cmdlet liga-o ao serviço baseado na nuvem. É necessário criar um contexto de ligação ao serviço baseado na nuvem antes de executar qualquer outro dos cmdlets adicionais instalados pela ferramenta.

  4. Execute o Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>, em que <servidor primário AD FS 2.0> é o nome FQDN interno do servidor AD FS 2.0 primário. Este cmdlet cria um contexto que o liga ao AD FS 2.0.

    Nota

    Se tiver instalado o Módulo do Windows Azure Active Directory no servidor de AD FS 2.0 principal, não necessita de executar este cmdlet.

  5. Execute Update-MSOLFederatedDomain –DomainName <domain>. Este cmdlet atualiza as definições dos AD FS 2.0 no serviço baseado na nuvem e configura a relação de fidedignidade mútua.

O que pretende fazer?

Recuperar um servidor do AD FS 2.0

Em caso de perda, sem possibilidade de recuperação, do servidor principal, terá de promover outro servidor a servidor principal. Para obter mais informações, consulte AD FS 2.0 - Como Definir o Servidor de Federação Primário num Farm com WID.

Nota

Se um dos servidores dos AD FS 2.0 falhar e tiver definido uma configuração de farm de alta disponibilidade, os utilizadores continuarão a poder aceder ao serviço baseado na nuvem. Se o servidor que apresenta a falha for o servidor principal, não poderá efetuar quaisquer atualizações à configuração do farm até que promova outro servidor a principal.

Se perder todos os servidores do farm, terá de reconstruir a relação de fidedignidade seguindo estes passos.

Nota

Se for necessário suporte para vários domínios de nível superior, como, por exemplo, contoso.com e fabrikam.com, terá de utilizar o parâmetro SupportMultipleDomain com quaisquer cmdlets. Ao utilizar o parâmetro SupportMultipleDomain, geralmente é necessário executar o procedimento em cada domínio. No entanto, para recuperar o servidor de AD FS 2.0, apenas necessita de executar o procedimento uma vez para um dos domínios. Quando o servidor tiver recuperado, todos os restantes domínios single sign-on estabelecerão ligação ao serviço baseado na nuvem. Para obter mais informações, consulte Suporte para Vários Domínios de Nível Superior.

  1. Abra o Módulo do Windows Azure Active Directory.

  2. Execute $cred=Get-Credential. Quando o cmdlet pedir as suas credenciais, digite as credenciais da conta de administrador do serviço em nuvem.

  3. Execute Connect-MsolService –Credential $cred. Este cmdlet liga-o ao serviço baseado na nuvem. É necessário criar um contexto de ligação ao serviço baseado na nuvem antes de executar qualquer outro dos cmdlets adicionais instalados pela ferramenta.

  4. Execute o Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>, em que <servidor primário AD FS 2.0> é o nome FQDN interno do servidor AD FS 2.0 primário. Este cmdlet cria um contexto que o liga ao AD FS 2.0.

    Nota

    Se tiver instalado o Módulo do Windows Azure Active Directory no servidor de AD FS 2.0 principal, não necessita de executar este cmdlet.

  5. Execute Update-MsolFederatedDomain –DomainName <domain>, em que <domínio> é o domínio cujas propriedades pretende atualizar. Este cmdlet atualiza as propriedades e estabelece a relação de fidedignidade.

  6. Execute Get-MsolFederationProperty –DomainName <domain>, em que <domínio> é o domínio cujas propriedades pretende ver. Em seguida, pode comparar as propriedades do servidor principal de AD FS 2.0 e as propriedades no serviço baseado na nuvem para se certificar de que correspondem. Se não corresponderem, execute novamente Update-MsolFederatedDomain –DomainName <domain> para sincronizar as propriedades.

Ver Também

Conceitos

Plano do single sign-on
Preparar o single sign-on
Informações gerais sobre a sincronização de diretórios
Instalar o Windows PowerShell para o serviço single sign-on com o AD FS 2.0
Resolução de problemas de single sign-on

Outros Recursos

Plan for and deploy AD FS 2.0 for use with single sign-on