在 AD FS 和 Azure AD 之间建立信任

  • 项目

更新时间:2015 年 6 月 25 日

适用于:Azure、Office 365、Power BI、Windows Intune

你想要联盟的每个域必须或者作为单一登录域添加,或者从标准域转换为单一登录域。 添加或转换域设置 AD FS 与Microsoft Azure Active Directory (Microsoft Azure AD) 之间的信任。

重要

  • 如果你除了顶级域(例如,contoso.com)外还使用了子域(例如,corp.contoso.com),则必须在添加任何子域前先将顶级域添加到云服务中。 在为单一登录设置一级域名时,也会自动设置所有子域。

  • 设置信任是一次性操作,如果将更多 AD FS 服务器添加到服务器场,则无需再次为 Windows PowerShell cmdlet 运行 Microsoft Azure Active Directory 模块。

  • 如果使用 Microsoft Azure Active Directory 模块添加和验证域,则需要指定多个其他设置。 必须完成这些设置,这样你才可以看到使域与云服务兼容所必须配置的 DNS 记录。

如果你需要支持多个顶级域,则必须将 SupportMultipleDomain 开关用于所有 cmdlet,例如在“添加域”和“转换域”过程中使用的 cmdlet。

例如,若要同时将 contoso.com 和 fabrikam.com 添加为单一登录域,需对 contoso.com 执行“添加域”过程,并在使用 cmdlet 的每一步中使用 SupportMultipleDomain 开关。 因此,对于第 5 步,你会使用 New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain。 在为 contoso.com 完成过程中的所有步骤后,可以为 fabrikam.com 域再次重复此过程。 在第 5 步中,你会使用 New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain

有关详细信息,请参阅支持多个顶级域

完成以下过程之一,以设置与 Azure AD 的联合信任,具体取决于是否需要添加新域或转换现有域。

  • 添加域

  • 转换域

添加域

  1. 打开Microsoft Azure Active Directory模块。

  2. 运行 $cred=Get-Credential。 在此 cmdlet 提示你输入凭据后,键入你的云服务管理员帐户凭据。

  3. 运行 Connect-MsolService –Credential $cred。 此 cmdlet 将连接到 Azure AD。 在运行该工具安装的任何其他 cmdlet 之前,需要创建连接到 Azure AD 的上下文。

  4. 运行 Set-MsolAdfscontext -Computer <AD FS primary server>,其中 <AD FS 主服务器> 是主 AD FS 服务器的内部 FQDN 名称。 此 cmdlet 会创建你将连接到 AD FS 的上下文。

    注意

    如果在主 AD FS 服务器上安装了Microsoft Azure Active Directory模块,则无需运行此 cmdlet。

  5. 运行 New-MsolFederatedDomain –DomainName <domain>,其中 <域> 是要添加并启用单一登录的域。 此 cmdlet 会添加将为联合身份验证配置的新一级域名或子域。

    注意

    使用 New-MsolFederatedDomain cmdlet 添加一级域名之后,将无法使用 New-MsolDomain cmdlet 添加标准域(非联合)。

  6. 请使用 New-MsolFederatedDomain cmdlet 的结果提供的信息,联系域注册机构以创建所需的 DNS 记录。 这将验证你是否拥有域。 请注意,根据你的注册机构,此操作可能最长需要 15 分钟以便传播。 所做更改可能需要长达 72 个小时才能传遍整个系统。 有关详细信息,请参阅 验证任何域名注册机构的域

  7. 再次运行 New-MsolFederatedDomain,并指定同一域名以完成此过程。

转换域

将现有域转换为单一登录域时,每个许可用户都将成为联合用户,其现有的 Active Directory 公司凭据 (用户名和密码) 访问云服务。 目前无法执行单一登录的暂存推出;但是,可以使用生产 Active Directory 林中的一组生产用户试点单一登录。 有关详细信息,请参阅 运行试点以测试单一登录,然后再设置 (可选)

注意

最好在用户最少时(例如在周末)进行转换,以便减轻对用户的影响。

若要将现有域转换为单一登录域,请执行以下步骤。

  1. 打开Microsoft Azure Active Directory模块。

  2. 运行 $cred=Get-Credential。 在此 cmdlet 提示你输入凭据后,键入你的云服务管理员帐户凭据。

  3. 运行 Connect-MsolService –Credential $cred。 此 cmdlet 将连接到 Azure AD。 在运行该工具安装的任何其他 cmdlet 之前,需要创建连接到 Azure AD 的上下文。

  4. 运行 Set-MsolAdfscontext -Computer <AD FS primary server>,其中 <AD FS 主服务器> 是主 AD FS 服务器的内部 FQDN 名称。 此 cmdlet 会创建你将连接到 AD FS 的上下文。

    注意

    如果在主 AD FS 服务器上安装了Microsoft Azure Active Directory模块,则无需运行此 cmdlet。

  5. 运行 Convert-MsolDomainToFederated –DomainName <domain>,其中 <域> 是要转换的域。 该 cmdlet 会将域从标准身份验证更改为单一登录。

注意

若要验证转换是否正常工作,请运行 Get-MsolFederationProperty –DomainName <domain>AD FS 服务器和 Azure AD 中的设置,其中 <域是要查看设置的域> 。 如果设置不匹配,你可以运行 Update-MsolFederatedDomain –DomainName <domain> 来同步设置。

后续步骤

你已在 AD FS 与 Azure AD 之间建立信任,因此必须设置 Active Directory 同步。 有关详细信息,请参阅 目录同步路线图。 设置 Active Directory 同步后,请参阅 “验证和管理 AD FS 的单一登录”。

另请参阅

概念

清单:使用 AD FS 实现和管理单一登录
单一登录路线图