AD FS 2.0 ja Windows Azure AD usaldussuhte seadistamine

  • Artikkel

Avaldatud: juuni 2012. a.

Uuendatud: veebruar 2013. a.

Kehtib järgmise programmi kohta:: Office 365, Windows Azure Active Directory, Windows Intune

Iga domeen, mille soovite liita, tuleb lisada ühekordse sisselogimise domeenina või teisendada standardsest domeenist ühekordse sisselogimisega domeeniks. Domeeni lisamine või teisendamine häälestab AD FS 2.0 ja Windows Azure Active Directory vahel usalduse.

ImportantNB!
  • Kui kasutate lisaks üladomeenile (nt contoso.com) ka alamdomeeni (nt corp.contoso.com), peate lisama üladomeeni teenusekomplekti pilvteenus enne alamdomeenide lisamist. Kui üladomeen on ühekordse sisselogimise jaoks häälestatud, häälestatakse automaatselt ka kõik alamdomeenid.

  • Usalduse häälestamine on ühekordne toiming ja te ei pea enam Windows Azure Active Directory moodulit käivitama, kui lisate oma serveriparki veel AD FS 2.0 servereid.

  • Kui lisate ja kinnitate domeeni Windows Azure Active Directory mooduliga, peate määrama teenusekomplektis pilvteenus mitmesugused täiendavad sätted. Need sätted on nõutavad, et näeksite DNS-i kirjeid, mille peate konfigureerima oma domeeni töötamiseks pilvteenus teenustega.

Kui peate toetama mitut üladomeeni, peate kasutama kõigi cmdlettide (nt toimingutes Domeeni lisamine ja Domeeni teisendamine kasutatavate cmdlettide) puhul lülitit SupportMultipleDomain.

Nt selleks, et lisada ühekordse sisselogimisega domeenideks nii contoso.com kui ka fabrikam.com, peate järgima domeeni contoso.com puhul Domeeni lisamise protseduuri, kasutades parameetrit SupportMultipleDomain igal etapil, millel on cmdlet. Seega peaksite 5. etapi juures kasutama parameetreid New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Kui olete kõik protseduuri etapid domeeni contoso.com jaoks teinud, peaksite kordama protseduuri uuesti domeeniga fabrikam.com. 5. etapi juures peaksite kasutama parameetreid New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Lisateavet leiate artiklist Mitme üladomeendi tugi.

Tehke üks järgmistest protseduuridest, et häälestada seostatud usaldus teenusega Windows Azure AD, olenevalt sellest, kas peate lisama uue domeeni või teisendama olemasolevat domeeni.

  • Domeeni lisamine

  • Domeeni teisendamine

Domeeni lisamine

  1. Avage Windows Azure Active Directory moodul.

  2. Käivitage $cred=Get-Credential. Kui cmdlet küsib teilt mandaati, tippige oma pilvteenuse administraatorikonto mandaat.

  3. Käivitage Connect-MsolService –Credential $cred. See cmdlet ühendab teid pilvteenus teenustega. Teid pilvteenus teenustega ühendava konteksti loomine on enne tööriista installitud täiendavate cmdlettide käivitamist nõutav.

  4. Käivitage Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>, kus <AD FS 2.0 primary server> on AD FS 2.0 põhiserveri sisemine FQDN-nimi. See cmdlet loob konteksti, mis ühendab teid AD FS 2.0 teenustega.

    noteMärkus.
    Kui Windows Azure Active Directory moodul on installitud AD FS 2.0 põhiserverisse, pole teil vaja seda cmdletti käivitada.

  5. Käivitage New-MsolFederatedDomain –DomainName <domain>, kus <domain> on domeen, mis tuleb lisada ja ühekordseks sisselogimiseks lubada. See cmdlet lisab uue ülataseme domeni või alamdomeeni, mis konfigureeritakse seostatud autoriseerimiseks.

    noteMärkus.
    Kui olete cmdletti New-MsolFederatedDomain ülataseme domeeni lisamiseks kasutanud, ei saa te kasutada cmdletti New-MsolDomain standardsete (seostamiseta) domeenide lisamiseks.

  6. Pöörduge cmdleti New-MsolFederatedDomain esitatud tulemuste teabega oma domeeniregistraatori poole, et luua nõutav DNS-i kirje. Nii kinnitate oma domeeni omanikustaatust. Arvestage, et selle levimiseks kulub olenevalt registraatorist kuni 15 minutit. Muudatuste levimiseks kogu süsteemis võib kuluda kuni 72 tundi. Lisateavet leiate artiklist Domeeninime kinnitamine mis tahes domeeninimeregistraatori juures.

  7. Käivitage New-MsolFederatedDomain teist korda, määrates protsessi lõpuleviimiseks sama domeeninime.

Domeeni teisendamine

Kui teisendate olemasoleva domeeni ühekordse sisselogimisega domeeniks, muutuvad kõik litsentsitud kasutajad seostatud kasutajateks, pääsedes olemasoleva Active Directory ettevõttemandaadiga (kasutajanime ja parooliga) juurde teenusekomplektile pilvteenus. Praegu ei saa ühekordset sisselogimist etapiviisiliselt läbi viia; küll aga saate läbi viia ühekordse sisselogimise katseprojekti, kasutades Active Directory töökeskkonna metsa tegelike kasutajate kogumit. Lisateavet leiate teemast Katseprojekti läbiviimine ühekordse sisselogimise katsetamiseks enne selle häälestamist (valikuline).

noteMärkus.
Kõige parem on teisendamist läbi viia ajal, mil kasutajaid on kõige vähem (nt nädalavahetusel), et see neid võimalikult vähe mõjutaks.

Olemasoleva domeeni teisendamiseks ühekordse sisselogimisega domeeniks tehke järgmist.

  1. Avage Windows Azure Active Directory moodul.

  2. Käivitage $cred=Get-Credential. Kui cmdlet küsib teilt mandaati, tippige oma pilvteenuse administraatorikonto mandaat.

  3. Käivitage Connect-MsolService –Credential $cred. See cmdlet ühendab teid pilvteenus teenustega. Teid pilvteenus teenustega ühendava konteksti loomine on enne tööriista installitud täiendavate cmdlettide käivitamist nõutav.

  4. Käivitage Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>, kus <AD FS 2.0 primary server> on AD FS 2.0 põhiserveri sisemine FQDN-nimi. See cmdlet loob konteksti, mis ühendab teid AD FS 2.0 teenustega.

    noteMärkus.
    Kui Windows Azure Active Directory moodul on installitud AD FS 2.0 põhiserverisse, pole teil vaja seda cmdletti käivitada.

  5. Käivitage Convert-MsolDomainToFederated –DomainName <domain>, kus <domain> on teisendatav domeen. See cmdlet muudab domeeni standardse autentimise ühekordseks sisselogimiseks.

noteMärkus.
Kontrollimaks, kas teisendamine õnnestus, võrrelge AD FS 2.0 serveri ja pilvteenus sätteid, käivitades protseduuri Get-MsolFederationProperty –DomainName <domain>, kus <domain> on domeen, mille sätteid soovite vaadata. Kui need ei kattu, võite käivitada sätete sünkroonimiseks protseduuri Update-MsolFederatedDomain –DomainName <domain>.

Edasine tegevus

Kui olete mooduli installinud ja häälestanud seostatud usalduse, mis on ühekordse sisselogimise jaoks vajalik, peate häälestama Active Directory sünkroonimise. Lisateavet leiate artiklist Kataloogisünkroonimise teekaart. Kui olete Active Directory sünkrooninud, leiate lisateavet teemast Teenusega AD FS 2.0 kasutatava ühekordse sisselogimise kinnitamine ja haldamine.

Vt ka

Mõisted

Ühekordse sisselogimise teejuht
Ühekordse sisselogimise ettevalmistamine
Windows PowerShelli installimine AD FS 2.0-ga ühekordse sisselogimise jaoks

Muud ressursid

Plan for and deploy AD FS 2.0 for use with single sign-on