Настройка отношения доверия между Shibboleth и Azure AD
Обновлено: 25 июня 2015 г.
Область применения: Azure, Office 365, Power BI, Windows Intune
Azure AD домены федеративны с помощью модуля Microsoft Azure Active Directory для Windows PowerShell. Этот раздел будет использоваться для выполнения ряда командлетов в интерфейсе командной строки Windows PowerShell для добавления или преобразования доменов для единого входа.
Важно!
Прежде чем выполнить инструкции, описанные в этом разделе, необходимо ознакомиться с инструкциями по установке Windows PowerShell для единого входа в Shibboleth.
Каждый домен Active Directory, который необходимо включить в федерацию с помощью Shibboleth, должен быть добавлен как домен единого входа или преобразован из стандартного домена в домен единого входа. При добавлении или преобразовании домена между поставщиком удостоверений Shibboleth и Azure Active Directory настраивается отношение доверия.
В следующей процедуре содержатся указания по преобразованию существующего стандартного домена в федеративный домен.
Откройте модуль Microsoft Azure Active Directory.
Выполните команду
$cred=Get-Credential
. Когда этот командлет запросит учетные данные, введите учетные данные администратора облачной службы.Выполните команду
Connect-MsolService –Credential $cred
. Этот командлет подключает вас к Azure AD. Создание контекста, который подключает вас к Azure AD, требуется перед выполнением любых дополнительных командлетов, установленных средством.Чтобы преобразовать существующий домен (в этом примере — mail.contoso.com) для единого входа, запустите следующие команды:
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
Примечание
Вы должны запустить
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP
, только если настроили расширение ECP поставщика удостоверений Shibboleth. Хотя это и необязательный шаг, рекомендуется установить расширение ECP поставщика удостоверений Shibboleth, чтобы единый вход работал со смартфонами, Microsoft Outlook или другими клиентами. Дополнительные сведения см. в разделе "Необязательно. Установка расширения Shibboleth ECP" в разделе "Настройка Shibboleth для использования с единым вхоротом".
См. также:
Основные понятия
Установка Windows PowerShell для единого входа с помощью Shibboleth
Использование поставщика удостоверений Shibboleth для реализации единого входа