为单一登录做准备
更新时间:2015 年 6 月 25 日
适用于:Azure、Office 365、Power BI、Windows Intune
注意
本主题可能不完全适用于中国的 Microsoft Azure 用户。 有关中国 Azure 服务的详细信息,请参阅 windowsazure.cn。
若要准备单一登录,请完成以下步骤:
步骤 1:查看单一登录的要求
步骤 2:准备 Active Directory
步骤 1:查看单一登录的要求
若要实施此 SSO 解决方案,必须满足以下要求:
在 Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 或具有混合模式或本机模式的功能级别Windows Server 2012 R2 中部署和运行 Active Directory。
如果计划将 AD FS 用作 STS,则需要执行以下操作之一:
在 Windows Server 2008 或 Windows Server 2008 R2 服务器上下载、安装和部署 AD FS 2.0。 此外,如果用户将从公司网络外部进行连接,则必须部署 AD FS 2.0 代理。
在 Windows Server 2012 或 Windows Server 2012 R2 服务器上安装 AD FS 角色服务。
如果计划将 Shibboleth 标识提供程序用作 STS,则需要安装并准备一个可正常运行的 Shibboleth 标识提供程序。
重要
Microsoft 支持这种单一登录体验,例如,将 Microsoft 云服务(如Microsoft Intune或Office 365)与已安装且可操作的 Shibboleth 标识提供者集成。 Shibboleth 标识提供程序是第三方产品,因此,Microsoft 不会对与 Shibboleth 标识提供程序相关的问题和疑问(例如部署、配置、故障排除、最佳实践等方面)提供支持。 有关 Shibboleth 标识提供者的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkID=256497。
根据要设置的 STS 类型,使用用于Windows PowerShell的 Microsoft Azure Active Directory 模块在本地 STS 和 Azure AD 之间建立联合信任。
安装 Microsoft 云服务订阅所需的更新,以确保用户运行 Windows 7、Windows Vista 或 Windows XP 的最新更新。 如果不安装适当版本的操作系统、浏览器和软件,某些功能可能无法正常工作。 有关详细信息,请参阅 附录 A:查看软件要求。
步骤 2:准备 Active Directory
Active Directory 必须配置某些设置才能正常使用单一登录。 具体而言,必须以特定的方式为每个用户设置用户主体名称 (UPN,又称为用户登录名)。
注意
若要为单一登录准备 Active Directory 环境,建议运行 Microsoft 部署准备工具。 此工具检查 Active Directory 环境,并提供一个报告,其中包含你是否准备好设置单一登录的信息。 如果未就绪,该报告将列出你为准备进行单一登录而需要做出的更改。 例如,该工具将检查用户是否具有 UPN,以及这些 UPN 是否采用了正确的格式。
根据每个域的情况,你可能需要执行以下操作:
必须设置 UPN,并且让用户知道该 UPN。
UPN 域后缀必须在你选择用于设置单一登录的域的下面。
必须在域注册机构或你自己的公共 DNS 服务器中,将选择用于联合的域注册为公共域。
若要创建 UPN,请按照 Active Directory 主题 “添加用户主体名称后缀”中的说明操作。 请记住,用于单一登录的 UPN 只能包含字母、数字、句点、短划线和下划线。
例如,如果 Active Directory 域名不是公共 Internet 域 (,则它以“.local”后缀结尾) ,则必须设置 UPN,使其具有一个域后缀,该后缀位于可公开注册的 Internet 域名下。 我们建议你使用用户熟悉的形式,例如,使用他们的电子邮件域。
如果你已设置 Active Directory 同步,用户的 UPN 可能与 Active Directory 中定义的用户本地 UPN 不匹配。 若要解决此问题,请使用 Microsoft Azure Active Directory 模块中用于Windows PowerShell的 Set-MsolUserPrincipalName cmdlet 重命名用户的 UPN。