設定 Shibboleth 與 Azure AD 之間的信任
更新日期:2015 年 6 月 25 日
適用于:Azure、Office 365、Power BI、Windows Intune
Azure AD 網域是使用適用于 Windows PowerShell 的 Microsoft Azure Active Directory 模組建立同盟。 您將使用本主題在命令列介面 Windows PowerShell中執行一系列的 Cmdlet,以新增或轉換單一登入的網域。
重要
您必須先檢閱並完成使用Shibboleth 安裝單一登入Windows PowerShell中的步驟,才能完成本主題中的指示。
您要使用 Shibboleth 來進行同盟的每個 Active Directory 網域,都必須新增為單一登入網域或從標準網域轉換成單一登入網域。 新增或轉換網域即可在 Shibboleth Identity Provider 與 Azure Active Directory 之間建立起信任。
下列程序會逐步引導您將現有的標準網域轉換成同盟網域。
開啟 Microsoft Azure Active Directory 模組。
執行
$cred=Get-Credential
。 當指令程式提示您輸入認證時,請輸入雲端服務系統管理員帳戶認證。執行
Connect-MsolService –Credential $cred
。 此 Cmdlet 會將您連線到 Azure AD。 在執行工具所安裝的任何其他 Cmdlet 之前,必須先建立將您連線到 Azure AD 的內容。執行下列命令,轉換現有的網域 (在此例中為 mail.contoso.com) 以供單一登入:
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
注意
只有在設定 Shibboleth Identity Provider ECP 延伸模組時,才必須執行
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP
。 雖然這是一個選用步驟,但建議您安裝 Shibboleth Identity Provider ECP 延伸模組,以便透過智慧型手機、Microsoft Outlook 或其他用戶端進行單一登入。 For more information, see “Optional: Install the Shibboleth ECP Extension” in Configure Shibboleth for use with single sign-on.
另請參閱
概念
為使用 Shibboleth 的單一登入安裝 Windows PowerShell
使用 Shibboleth Identity Provider 來實作單一登入