Настройка отношения доверия между Shibboleth и Azure AD

  • Статья

Обновлено: 25 июня 2015 г.

Область применения: Azure, Office 365, Power BI, Windows Intune

Azure AD домены федеративны с помощью модуля Microsoft Azure Active Directory для Windows PowerShell. Этот раздел будет использоваться для выполнения ряда командлетов в интерфейсе командной строки Windows PowerShell для добавления или преобразования доменов для единого входа.

Важно!

Прежде чем выполнить инструкции, описанные в этом разделе, необходимо ознакомиться с инструкциями по установке Windows PowerShell для единого входа в Shibboleth.

Каждый домен Active Directory, который необходимо включить в федерацию с помощью Shibboleth, должен быть добавлен как домен единого входа или преобразован из стандартного домена в домен единого входа. При добавлении или преобразовании домена между поставщиком удостоверений Shibboleth и Azure Active Directory настраивается отношение доверия.

В следующей процедуре содержатся указания по преобразованию существующего стандартного домена в федеративный домен.

  1. Откройте модуль Microsoft Azure Active Directory.

  2. Выполните команду $cred=Get-Credential. Когда этот командлет запросит учетные данные, введите учетные данные администратора облачной службы.

  3. Выполните команду Connect-MsolService –Credential $cred. Этот командлет подключает вас к Azure AD. Создание контекста, который подключает вас к Azure AD, требуется перед выполнением любых дополнительных командлетов, установленных средством.

  4. Чтобы преобразовать существующий домен (в этом примере — mail.contoso.com) для единого входа, запустите следующие команды:

    $dom = "mail.contoso.com”
$url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
$ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
$uri = "https://idp.contoso.com/idp/shibboleth"
$logouturl = "https://idp.contoso.com/logout/" 
$cert = "MIIFYzCCBEugAw...2tLRtyN"

Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

    Примечание

    Вы должны запустить $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP, только если настроили расширение ECP поставщика удостоверений Shibboleth. Хотя это и необязательный шаг, рекомендуется установить расширение ECP поставщика удостоверений Shibboleth, чтобы единый вход работал со смартфонами, Microsoft Outlook или другими клиентами. Дополнительные сведения см. в разделе "Необязательно. Установка расширения Shibboleth ECP" в разделе "Настройка Shibboleth для использования с единым вхоротом".

См. также:

Основные понятия

Установка Windows PowerShell для единого входа с помощью Shibboleth
Использование поставщика удостоверений Shibboleth для реализации единого входа