Подготовка к использованию единого входа

Обновлено: 25 июня 2015 г.

Область применения: Azure, Office 365, Power BI, Windows Intune

Примечание

Этот раздел может быть частично неприменим к пользователям Microsoft Azure в Китае. Дополнительные сведения о службе Azure в Китае см. в windowsazure.cn.

Чтобы подготовить систему к единому входу, выполните следующие шаги.

  • Шаг 1. Проверка требований к единому входу

  • Шаг 2. Подготовка Active Directory

Шаг 1. Проверка требований к единому входу

Для применения этого решения SSO необходимо обеспечить соответствие следующим требованиям.

  • Развернуты и запущены Active Directory в Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2 с функциональным уровнем смешанного или собственного режима.

  • Если AD FS планируется использовать как STS, необходимо выполнить одно из следующих действий.

    • Скачайте, установите и разверните AD FS 2.0 на сервере Windows Server 2008 или Windows Server 2008 R2. Кроме того, если пользователи будут подключаться за пределами сети вашей компании, необходимо развернуть прокси-сервер AD FS 2.0.

    • Установить службу роли AD FS на сервере с Windows Server 2012 или Windows Server 2012 R2.

  • Если в качестве STS планируется использовать поставщика Shibboleth Identity Provider, следует выполнить установку и подготовку этого поставщика.

    Важно!

    Корпорация Майкрософт поддерживает этот единый вход в качестве интеграции облачной службы Майкрософт, например Microsoft Intune или Office 365, с уже установленным и операционным поставщиком удостоверений Shibboleth. Поставщик удостоверений Shibboleth является сторонним продуктом, поэтому корпорация Майкрософт не предоставляет поддержку по развертыванию, конфигурации, устранению неполадок, рекомендациям, а также другим проблемам и вопросам, касающимся этого поставщика удостоверений. Дополнительные сведения о поставщике удостоверений Shibboleth см. в разделе https://go.microsoft.com/fwlink/?LinkID=256497.

  • В зависимости от типа настраиваемой службы маркеров безопасности используйте модуль Microsoft Azure Active Directory для Windows PowerShell для установления федеративного доверия между локальной службой маркеров безопасности и Azure AD.

  • Установите требуемые обновления в подписках на облачные службы Майкрософт, чтобы на компьютерах пользователей были установлены самые последние обновления Windows 7, Windows Vista или Windows XP. Некоторые функции облачных служб могут работать некорректно без соответствующих версий операционных систем, браузеров и программного обеспечения. Дополнительные сведения см. в приложении А. Проверка требований к программному обеспечению.

Шаг 2. Подготовка Active Directory

Active Directory должен иметь определенные параметры, настроенные для правильной работы с единым входом. В частности, имя участника-пользователя, которое также называют именем входа пользователя, должно быть настроено определенным образом для каждого пользователя.

Примечание

Чтобы подготовить среду Active Directory для единого входа, рекомендуется запустить средство проверки готовности к развертыванию Майкрософт. Это средство проверяет среду Active Directory и предоставляет отчет, содержащий сведения о том, готовы ли вы настроить единый вход. Если система не готова, в отчете приводится список изменений, которые необходимо внести, чтобы подготовить ее к единому входу. Например, средство проверяет наличие у пользователей имен участников-пользователей и правильность формата этих имен.

В зависимости от конкретного домена может потребоваться выполнить следующие действия.

  • Необходимо задать имя участника-пользователя и сообщить о нем пользователю.

  • Суффикс домена имени участника-пользователя должен быть в домене, выбранном для единого входа.

  • Домен, выбранный для федерации, должен быть зарегистрирован как общедоступный домен у регистратора имен доменов или на собственных общедоступных DNS-серверах.

  • Чтобы создать имена участников-пользователей, следуйте инструкциям в разделе "Добавление суффиксов имени участника-пользователя" в разделе Active Directory. Помните, что имена участников-пользователей, используемые для единого входа, могут содержать только буквы, цифры, точки, дефисы и символы подчеркивания.

  • Если доменное имя Active Directory не является общедоступным доменом Интернета (например, оно заканчивается суффиксом ".local"), необходимо настроить имя участника-пользователя так, чтобы у него был доменный суффикс, который находится под доменным именем Интернета, которое может быть зарегистрировано публично. Рекомендуется использовать домен, известный пользователям, например домен электронной почты.

  • Если синхронизация Active Directory уже настроена, имя участника-пользователя пользователя может не совпадать с его локальным именем участника-пользователя, заданным в Active Directory. Чтобы устранить эту проблему, переименуйте имя участника-пользователя с помощью командлета Set-MsolUserPrincipalName в модуле Microsoft Azure Active Directory для Windows PowerShell.

См. также:

Основные понятия

DirSync с единым входом