Shibbolethi ja Windows Azure AD usaldussuhte seadistamine

Avaldatud: juuni 2012. a.

Uuendatud: veebruar 2013. a.

Kehtib järgmise programmi kohta:: Office 365, Windows Azure Active Directory, Windows Intune

noteMärkus.
Käesolev teema sisaldab veebispikri sisu, mis on kohaldatud mitmele Microsofti pilvteenusele (sh Windows Intune ja Office 365).

Windows Azure AD domeenide seostamisel rakendatakse moodulit Microsoft Online Services. Moodulit Microsoft Online Services saate kasutada cmdlettide seeria käivitamiseks Windows PowerShelli käsurealiideses seeria cmdlette, et lisada või teisendada domeene ühekordse sisselogimise jaoks.

ImportantNB!
Enne käesoleva teema juhistega lõpetamist peate üle vaatama ja läbima etapid, mis on toodud teemas Windows PowerShelli installimine Shibbolethiga ühekordse sisselogimise jaoks.

Iga Active Directory, mille soovite liita Shibbolethi abil, tuleb lisada ühekordse sisselogimise domeenina või teisendada standardsest domeenist ühekordse sisselogimisega domeeniks. Domeeni lisamine või teisendamine loob teenuste Shibboleth Identity Provider ja Windows Azure Active Directory vahel usalduse.

Järgmine protseduur kirjeldab üksikasjalikult olemasoleva standarddomeeni liitdomeeniks teisendamist.

  1. Avage Windows Azure Active Directory moodul.

  2. Käivitage $cred=Get-Credential. Kui cmdlet küsib teilt mandaati, tippige oma pilvteenuse administraatorikonto mandaat.

  3. Käivitage Connect-MsolService –Credential $cred. See cmdlet ühendab teid pilvteenus teenustega. Teid pilvteenus teenustega ühendava konteksti loomine on enne tööriista installitud täiendavate cmdlettide käivitamist nõutav.

  4. Käivitage järgmised käsud, et teisendada olemasolev domeen (praegusel juhul .contoso.com) ühekordse sisselogimisega domeeniks:

    $dom = "mail.contoso.com”
    $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
    $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
    $uri = "https://idp.contoso.com/idp/shibboleth"
    $logouturl = "https://idp.contoso.com/logout/" 
    $cert = "MIIFYzCCBEugAw...2tLRtyN"
    
    Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
    
    noteMärkus.
    Faili $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP peate käivitama ainult juhul, kui häälestate teenuse Shibboleth Identity Provider ECP-laienduse. Lisaetapina soovitame installida Shibbolethi Identity Provider ECP-laienduse, et kasutada ühekordset sisselogimist nutitelefoni, Microsoft Outlooki ja muude klientidega. Lisateavet vt teemast Valikuline: Shibbolethi ECP-laienduse installimine artiklis Shibbolethi konfigureerimine ühekordse sisselogimise kasutamiseks.

Vt ka

Mõisted

Windows PowerShelli installimine Shibbolethiga ühekordse sisselogimise jaoks
Shibboleth Identity Provideri kasutamine ühekordse sisselogimise rakendamiseks