Verifiera och hantera enkel inloggning med AD FS 2.0

  • Artikel

Utgivet: juni 2012

Gäller för: Office 365, Windows Intune

Anteckning

Det här avsnittet innehåller onlinehjälp som gäller flera Microsoft-molntjänster, däribland Windows Intune och Office 365.

Som administratör ska du, innan du verifierar och hanterar enkel inloggning (även kallat identitetsfederation), granska informationen och genomföra stegen i följande artiklar för att konfigurera enkel inloggning:

När du har konfigurerat enkel inloggning måste du verifiera att det fungerar korrekt. Det finns flera hanteringsuppgifter som du kan utföra då och då för att det ska fungera smidigt.

Vad vill du göra?

  • Verifiera att enkel inloggning har konfigurerats korrekt

  • Konfigurera en schemalagd aktivitet för automatisk uppdatering av Windows Azure AD när en ändring görs i tokensigneringscertifikatet

  • Hantera enkel inloggning

Verifiera att enkel inloggning har konfigurerats korrekt

Du kan verifiera att enkel inloggning har konfigurerats korrekt genom att utföra följande procedur för att bekräfta att du kan logga in i molntjänsten med dina företagsautentiseringsuppgifter, Testa enkel inloggning för olika användningsscenarion och Använda Microsoft Remote Connectivity Analyzer.

Anteckning

  • Om du har konverterat en domän, snarare än lagt till någon, kan enkel inloggning ta upp till 24 timmar att konfigurera.

  • Innan du verifierar enkel inloggning bör du slutföra konfigurationen av Active Directory-synkronisering, synkronisera dina kataloger och aktivera dina synkroniserade användare. Mer information finns i Översikt över katalogsynkronisering.

Du verifierar att enkel inloggning har konfigurerats korrekt genom följande steg.

  1. På en domänansluten dator går du till Microsoft Office 365-portalen.

  2. Logga in med samma inloggningsnamn som du använder för dina företagsinloggningsuppgifter.

  3. Klicka i lösenordsrutan. Om enkel inloggning har konfigurerats är lösenordsrutan nedtonad, och följande meddelande visas: Du måste nu logga in på <ditt företag>.

  4. Klicka på länken Logga in på <ditt företag>.

    Om du kan logga in, innebär det att enkel inloggning har konfigurerats.

Testa enkel inloggning för olika användningsscenarion

När du har verifierat att enkel inloggning fungerar som det ska, testar du följande inloggningsscenarion för att kontrollera att enkel inloggning och distributionen av AD FS 2.0 har konfigurerats korrekt. Be en grupp användare att testa åtkomsten till molntjänsten-tjänsterna från såväl webbläsare som avancerade klientprogram, till exempel Microsoft Office 2010, i följande miljöer:

  • Från en domänansluten dator

  • Från en icke-domänansluten dator i företagets nätverk

  • Från en nätverksväxlande domänansluten dator utanför företagets nätverk

  • Från de olika operativsystem som används inom företaget

  • Från en hemdator

  • Från ett Internetcafé (endast teståtkomst till molntjänsten via en webbläsare)

  • Från en smart phone (t.ex. en smart phone som använder Microsoft Exchange ActiveSync)

Använda Microsoft Remote Connectivity Analyzer

Om du vill testa anslutningen för enkel inloggning kan du använda Microsoft Remote Connectivity Analyzer. Klicka på fliken Office 365, klicka på Microsoft Enkel inloggning, och klickar sedan på Nästa. Följ anvisningarna på skärmen och genomför testen. Analysfunktionen verifierar din behörighet att logga in till molntjänsten med dina företagsautentiseringsuppgifter. Den verifierar också vissa grundläggande AD FS 2.0-konfigurationer.

Vad vill du göra?

Konfigurera en schemalagd aktivitet för automatisk uppdatering av Windows Azure AD när en ändring görs i tokensigneringscertifikatet

Som standard genereras ett nytt självsignerat tokensigneringscertifikat av AD FS 2.0 20 dagar innan certifikatet upphör att gälla varje år. Certifikatförnyelse, eller generering av ett nytt certifikat när det befintliga certifikatet håller på att upphöra att gälla och därefter uppgradera det till det primära certifikatet, är en funktion som endast används för självsignerade certifikat som har genererats av AD FS 2.0.

Tokensigneringscertifikatet är av avgörande betydelse för federationstjänstens stabilitet. Om det ändras måste Windows Azure AD meddelas om ändringen. I annat fall kommer förfrågningar till molntjänsten att misslyckas. Du måste hämta och konfigurera Microsoft Federation Metadata Update Automation Installation Tool på din primära federationsserver eller på valfri skrivbar federationsserver. Det här verktyget övervakar och uppdaterar Windows Azure AD-federationsmetadata automatiskt och regelbundet så att alla ändringar som görs i tokensigneringscertifikatet i AD FS 2.0-federationstjänsten replikeras automatiskt till Windows Azure AD.

Så här kör du det här verktyget:

  • Du måste ha distribuerat minst en AD FS 2.0-federationstjänst.

  • Du måste ha slutfört stegen i Skapa ett förtroende mellan AD FS 2.0 och Windows Azure AD.

  • Det här verktyget måste köras på din primära federationsserver eller på en skrivbar federationsserver.

  • Du måste ha åtkomst till autentiseringsuppgifter för en global administratör för din Windows Azure AD-klientorganisation.

    Anteckning

    Om du inte har angett autentiseringsuppgifter med ett lösenord som inte upphör att gälla för den globala administratören, måste du köra det här verktyget på nytt med det nya lösenordet när lösenordet för den globala administratören har upphört att gälla. I annat fall kommer den schemalagda aktiviteten att misslyckas.

Stegen för att köra det här verktyget är följande:

  1. Hämta och spara Microsoft Federation Metadata Update Automation Installation Tool på datorn.

  2. Starta Windows PowerShell-modulen Administratör och ändra sedan till katalogen som du kopierade verktyget till.

  3. Skriv .\O365-Fed-MetaData-Update-Task-Installation.ps1 vid prompten och tryck sedan på RETUR.

  4. Skriv namnet på den federerade domänen vid prompten och tryck sedan på RETUR.

  5. Skriv autentiseringsuppgifterna för ditt användar-ID vid prompten och tryck sedan på RETUR.

  6. Skriv autentiseringsuppgifterna för den lokala administratören vid prompten och tryck sedan på RETUR.

När du har slutfört de här stegen skapar skriptet en schemalagd aktivitet som körs med autentiseringsuppgifterna för den lokala administratören som angavs i steg 6 ovan. Den schemalagda aktiviteten körs en gång om dagen.

Anteckning

Det här verktyget måste köras för samtliga federerade domäner i ditt konto och det finns för närvarande inget stöd för flera toppnivådomäner. Mer information finns i Support for Multiple Top Level Domains (Stöd för flera toppnivådomäner). Du rekommenderas att regelbundet kontrollera att den schemalagda aktiviteten körs korrekt genom att försäkra dig om att loggfilen genereras som den ska.

Anteckning

Du kan konfigurera när det nya tokensigneringscertifikatet ska genereras av AD FS 2.0. När tidpunkten för certifikatförnyelse närmar sig genereras ett nytt certifikat av AD FS 2.0, med samma namn som det gamla men med en annan privat nyckel och ett annat tumavtryck. När ett nytt certifikat genereras förblir det sekundärt under fem dagar innan det görs till primärt certifikat. Fem dagar är standardalternativet, men det går att konfigurera om.

Hantera enkel inloggning

Det finns andra frivilliga eller sporadiska uppgifter som du kan utföra för att enkel inloggning ska fungera smidigt.

I det här avsnittet

  • Lägga till webbadresser till Tillförlitliga platser i Internet Explorer

  • Begränsa användare från att logga in i molntjänsten

  • Visa aktuella inställningar

  • Uppdatera förtroendeegenskaper

  • Återställa en AD FS 2.0-server

Lägga till webbadresser till Tillförlitliga platser i Internet Explorer

När du har lagt till eller konverterat dina domäner som en del av konfigurationen av enkel inloggning vill du kanske lägga till det helt fullständiga kvalificerade domännamnet för din AD FS 2.0-server till listan Tillförlitliga platser i Internet Explorer. Detta garanterar att användare inte uppmanas ange sina lösenord till AD FS 2.0-servern. Denna ändring måste göras på klienten. Du kan också göra denna ändring för användarna genom att ange en grupprincipsinställning som automatiskt läggs till den här URL:en i listan Tillförlitliga platser för domänanslutna datorer. Mer information finns i Internet Explorer Policy Settings (Principinställningar för Internet Explorer).

Begränsa användare från att logga in i molntjänsten

AD FS 2.0 ger administratörer möjlighet att själva definiera regler som beviljar eller nekar åtkomst för användare. När det gäller enkel inloggning används de anpassade reglerna för det förtroende för förlitande part som är kopplat till molntjänsten. Du skapade detta förtroende när du körde cmdlet:erna i Windows PowerShell för att konfigurera enkel inloggning.

Mer information om hur du begränsar användare från att logga in i tjänster finns i Create a Rule to Permit or Deny Users Based on an Incoming Claim (Skapa en regel för att tillåta eller neka användare baserat på ett inkommande anspråk). Mer information om hur du kör cmdlet:ar för att konfigurera enkel inloggning finns i Installera Windows PowerShell för enkel inloggning med AD FS 2.0.

Visa aktuella inställningar

Om du vid något tillfälle vill visa aktuell AD FS 2.0-server och aktuella molntjänsten-inställningar, kan du öppna Windows Azure Active Directory-modulen för Windows PowerShell och köra Connect-MSOLService och därefter köra Get-MSOLFederationProperty –DomainName <domain>. Detta gör att du kan kontrollera att inställningarna på AD FS 2.0-servern stämmer överens med inställningarna i molntjänsten. Om inställningarna inte stämmer överens kan du köra Update-MsolFederatedDomain –DomainName <domain>. Mer information finns i nästa avsnitt, "Uppdatera förtroendeegenskaper".

Anteckning

Om du måste stödja flera toppnivådomäner, t.ex. contoso.com och fabrikam.com måste du använda SupportMultipleDomain-växeln med eventuella cmdlet:ar. Mer information finns i Support for Multiple Top Level Domains (Stöd för flera toppnivådomäner).

Vad vill du göra?

Uppdatera förtroendeegenskaper

Du måste uppdatera förtroendeegenskaperna för enkel inloggning i molntjänsten när:

  • URL-adressen ändras: Om du gör ändringar i URL-adressen för AD FS 2.0-servern måste du uppdatera förtroendeegenskaperna.

  • Det primära tokensigneringscertifikatet har ändrats: Om det primära tokensigneringscertifikatet ändras utlöses händelse-ID 334 eller händelse-ID 335 i Loggboken för AD FS 2.0-servern. Du rekommenderas att kontrollera Loggboken regelbundet, minst en gång i veckan.

    Om du vill visa händelserna för AD FS 2.0-servern ska du göra så här.

    1. Klicka på Start och sedan på Kontrollpanelen. Gå till läget Kategori, klicka på System och säkerhet, sedan på Administrationsverktyg och till sist Loggboken.

    2. Om du vill visa händelserna för AD FS 2.0 klickar du på Program- och tjänstloggar i den vänstra rutan i loggboken, klickar på AD FS 2.0 och sedan på Admin.

  • Tokensigneringscertifikatet upphör att gälla varje år: Tokensigneringscertifikatet har en avgörande betydelse för federationstjänstens stabilitet. Om det ändras måste Windows Azure AD meddelas om ändringen. I annat fall kommer förfrågningar till molntjänsten att misslyckas.

    Följ stegen ovan i avsnittet om att konfigurera en schemalagd aktivitet i det här ämnet, där du får instruktioner om hur du hämtar och konfigurerar Microsoft Federation Metadata Update Automation Installation Tool. Det här verktyget övervakar och uppdaterar Windows Azure AD-federationsmetadata automatiskt och regelbundet, så att alla ändringar som görs i tokensigneringscertifikatet i AD FS 2.0-federationstjänsten replikeras automatiskt till Windows Azure AD.

Följ stegen nedan om du vill uppdatera förtroendeegenskaper manuellt.

Anteckning

Om du måste stödja flera toppnivådomäner, t.ex. contoso.com och fabrikam.com måste du använda SupportMultipleDomain-växeln med eventuella cmdlet:ar. Mer information finns i Support for Multiple Top Level Domains (Stöd för flera toppnivådomäner).

  1. Öppna Windows Azure Active Directory-modulen för Windows PowerShell.

  2. Kör $cred=Get-Credential. När du uppmanas att ange autentiseringsuppgifter skriver du in autentiseringsuppgifterna för molntjänstens administratörskonto.

  3. Kör Connect-MsolService –Credential $cred. Denna cmdlet ansluter dig till molntjänsten. Att skapa ett sammanhang som kopplar dig till molntjänsten krävs för att ska kunna köra några av de extra cmdletar som installerades av verktyget.

  4. Kör Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>, där <AD FS 2.0 primary server> är det interna fullständiga domännamnet för den primära AD FS 2.0-servern. Denna cmdlet skapar ett sammanhang som förbinder dig till AD FS 2.0.

    Anteckning

    Om du har installerat Windows Azure Active Directory-modul på den primära AD FS 2.0-servern behöver du inte köra den här cmdleten.

  5. Kör Update-MSOLFederatedDomain –DomainName <domain>. Denna cmdlet uppdaterar inställningarna från AD FS 2.0 till molntjänsten och konfigurerar förtroenderelationen mellan dem.

Vad vill du göra?

Återställa en AD FS 2.0-server

Om du skulle förlora den primära servern och inte kan återvinna den, måste du lyfta fram en annan server som primär server. Mer information finns i AD FS 2.0 - How to Set the Primary Federation Server in a WID Farm (AD FS 2.0 - Konfigurera primär federationsserver i ett WID-kluster).

Anteckning

Om en av dina AD FS 2.0-servrar slutar fungera och du har skapat en servergruppskonfiguration för hög tillgänglighet, kommer användarna fortfarande att kunna komma åt molntjänsten. Om den inaktiverade servern är den primära servern kan du inte genomföra några uppdateringar av servergruppskonfigurationen förrän du har gjort en annan server till primär.

Om du förlorar alla servrar i servergruppen måste du återskapa servergruppen enligt stegen nedan.

Anteckning

Om du måste stödja flera toppnivådomäner, t.ex. contoso.com och fabrikam.com måste du använda SupportMultipleDomain-växeln med eventuella cmdlet:ar. När du använder växeln SupportMultipleDomain måste du vanligtvis köra proceduren för var och en av dina domäner. Men om du vill återställa din AD FS 2.0-server behöver du bara följa proceduren en gång för en av dina domäner. När din server har återställts ansluts alla dina övriga domäner med enkel inloggning till molntjänsten. Mer information finns i Support for Multiple Top Level Domains (Stöd för flera toppnivådomäner).

  1. Öppna Windows Azure Active Directory-modul.

  2. Kör $cred=Get-Credential. När du uppmanas att ange dina autentiseringsuppgifter skriver du in autentiseringsuppgifterna för molntjänstens administratörskonto.

  3. Kör Connect-MsolService –Credential $cred. Denna cmdlet ansluter dig till molntjänsten. Att skapa ett sammanhang som kopplar dig till molntjänsten krävs för att ska kunna köra några av de extra cmdletar som installerades av verktyget.

  4. Kör Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>, där <AD FS 2.0 primary server> är det interna fullständiga domännamnet för den primära AD FS 2.0-servern. Denna cmdlet skapar ett sammanhang som förbinder dig till AD FS 2.0.

    Anteckning

    Om du har installerat Windows Azure Active Directory-modul på den primära AD FS 2.0-servern behöver du inte köra den här cmdleten.

  5. Kör Update-MsolFederatedDomain –DomainName <domain>, där <domain> är den domän som du vill uppdatera egenskaperna för. Den här cmdlet:en uppdaterar egenskaperna och upprättar förtroendet.

  6. Kör Get-MsolFederationProperty –DomainName <domain>, där <domain> är den domän som du vill visa egenskaperna för. Du kan sedan jämföra egenskaperna för den primära AD FS 2.0-servern med egenskaperna i molntjänsten för att kontrollera att de överensstämmer. Om de inte stämmer överens kör du Update-MsolFederatedDomain –DomainName <domain> igen för att synkronisera egenskaperna.

Se även

Koncept

Översikt över enkel inloggning
Förbereda för enkel inloggning
Översikt över katalogsynkronisering
Installera Windows PowerShell för enkel inloggning med AD FS 2.0
Felsöka enkel inloggning

Övriga resurser

Plan for and deploy AD FS 2.0 for use with single sign-on