設定 Shibboleth 與 Azure AD 之間的信任

更新日期：2015 年 6 月 25 日

適用于：Azure、Office 365、Power BI、Windows Intune

Azure AD 網域是使用適用于 Windows PowerShell 的 Microsoft Azure Active Directory 模組建立同盟。 您將使用本主題在命令列介面 Windows PowerShell中執行一系列的 Cmdlet，以新增或轉換單一登入的網域。

您要使用 Shibboleth 來進行同盟的每個 Active Directory 網域，都必須新增為單一登入網域或從標準網域轉換成單一登入網域。 新增或轉換網域即可在 Shibboleth Identity Provider 與 Azure Active Directory 之間建立起信任。

下列程序會逐步引導您將現有的標準網域轉換成同盟網域。

1. 開啟 Microsoft Azure Active Directory 模組。

2. 執行 $cred=Get-Credential。 當指令程式提示您輸入認證時，請輸入雲端服務系統管理員帳戶認證。

3. 執行 Connect-MsolService –Credential $cred。 此 Cmdlet 會將您連線到 Azure AD。 在執行工具所安裝的任何其他 Cmdlet 之前，必須先建立將您連線到 Azure AD 的內容。

4. 執行下列命令，轉換現有的網域 (在此例中為 mail.contoso.com) 以供單一登入：

   $dom = "mail.contoso.com”
   $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
   $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
   $uri = "https://idp.contoso.com/idp/shibboleth"
   $logouturl = "https://idp.contoso.com/logout/" 
   $cert = "MIIFYzCCBEugAw...2tLRtyN"
   
   Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
   

   注意

   只有在設定 Shibboleth Identity Provider ECP 延伸模組時，才必須執行 $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP。 雖然這是一個選用步驟，但建議您安裝 Shibboleth Identity Provider ECP 延伸模組，以便透過智慧型手機、Microsoft Outlook 或其他用戶端進行單一登入。 For more information, see “Optional: Install the Shibboleth ECP Extension” in Configure Shibboleth for use with single sign-on.

另請參閱

概念

為使用 Shibboleth 的單一登入安裝 Windows PowerShell
使用 Shibboleth Identity Provider 來實作單一登入