Kertakirjautumisen tarkistaminen ja hallinta AD FS 2.0:ssa
Julkaistu: kesäkuu 2012
Tuotteet: Office 365, Windows Intune
Huomautus
Tässä ohjeaiheessa on online-ohjesisältöä, joka liittyy useisiin Microsoftin pilvipalveluihin, kuten Windows Intune -palveluun ja Office 365:een.
Järjestelmänvalvojana sinun tulisi tutustua seuraavien artikkeleiden tietoihin ja suorittaa niissä mainitut vaiheet kertakirjautumisen (jota kutsutaan myös tunnistetietojen yhdistämiseksi) määrittämiseksi, ennen kuin tarkistat kertakirjautumisen ja aloitat sen hallinnan:
Kun olet määrittänyt kertakirjautumisen, tarkista, että se toimii oikein. Voit myös suorittaa ajoittain erilaisia ylläpitotehtäviä, jotka varmistavat kertakirjautumisen toiminnan sujuvuuden.
Tässä käsiteltävät aiheet
Kertakirjautumisen määrityksen tarkistaminen
Ajoitetun tehtävän määrittäminen Windows Azure AD -hakemiston automaattiseksi päivittämiseksi allekirjoitusvarmennetta muuttuessa
Kertakirjautumisen hallinta
Kertakirjautumisen määrityksen tarkistaminen
Voit tarkistaa, että kertakirjautuminen on määritetty oikein, varmistamalla, että voit kirjautua pilvipalvelupalveluun yrityksesi tunnistetiedoilla. Ohjeet tähän löytyvät seuraavista ohjeartikkeleista: Kertakirjautumisen testaaminen erilaisissa käyttötilanteissa ja Microsoftin etäyhteyksien analysointitoiminnon käyttäminen.
Huomautus
- Jos olet muuntanut toimialueen (lisäämisen sijaan), kertakirjautumisen määritysten voimaantulo saattaa kestää jopa 24 tuntia.
- Ennen kertakirjautumisen määrityksen tarkistamista sinun tulee määrittää Active Directory -synkronointi, synkronoida hakemistot ja aktivoida synkronoidut käyttäjät. Lisätietoja: Hakemistosynkronointi.
Voit tarkistaa, että kertakirjautuminen on määritetty onnistuneesti, tekemällä seuraavat toimet.
Siirry toimialueeseen liitetyssä tietokoneessa Microsoft Office 365 -portaaliin.
Kirjaudu samalla kirjautumistunnuksella, jota käytät yritystunnistetiedoissasi.
Napsauta salasanaruutua. Jos kertakirjautuminen on määritetty, salasanaruutu on himmennetty ja saat viestin, jossa sinulle ilmoitetaan, että sinun on kirjauduttava oman yrityksesi verkkoon.
Napsauta oman yrityksen verkkoon kirjautumisen linkkiä.
Jos kirjautuminen onnistuu, kertakirjautuminen on määritetty.
Kertakirjautumisen testaaminen erilaisissa käyttötilanteissa
Kun olet tarkistanut, että kertakirjautuminen on tehty, kokeile seuraavia kirjautumisskenaarioita. Niillä voit varmistaa, että AD FS 2.0 -käyttöönotto on määritetty oikein. Pyydä käyttäjien ryhmää testaamaan, voivatko he käyttää pilvipalvelu -palveluja selaimista sekä monipuolisista asiakassovelluksista, kuten Microsoft Office 2010:stä, seuraavissa ympäristöissä:
toimialueeseen liitetty tietokone
toimialueeseen liittämätön tietokone yrityksen omassa verkossa
toimialueeseen liitetty tietokone yrityksen oman verkon ulkopuolella
yrityksen käytössä olevat eri käyttöjärjestelmät
kotitietokone
nettikahvila (pilvipalvelu -koekäyttö vain selaimella)
älypuhelin (esimerkiksi Microsoft Exchange ActiveSynciä käyttävä älypuhelin).
Microsoftin etäyhteyksien analysointitoiminnon käyttäminen
Kertakirjausyhteyden testaamisessa voi käyttää Microsoftin etäyhteyksien analysointitoimintoa. Valitse Office 365 -välilehdellä Microsoft-kertakirjautuminen ja valitse sitten Seuraava. Tee testi näytön ohjeiden mukaisesti. Analysointitoiminto testaa, voitko kirjautua pilvipalvelu -palveluun yritystunnistetiedoillasi. Lisäksi se tarkistaa AD FS 2.0 -määritykset.
Tässä käsiteltävät aiheet
Ajoitetun tehtävän määrittäminen Windows Azure AD -hakemiston automaattiseksi päivittämiseksi allekirjoitusvarmennetta muuttuessa
AD FS 2.0 luo oletusarvoisesti uuden itse allekirjoitetun allekirjoitusvarmenteen joka vuosi 20 päivää ennen varmenteen vanhentumista. Varmenteen korvaamisella tarkoitetaan uuden varmenteen luomista ennen nykyisen varmenteen vanhentumista ja luodun varmenteen nostamista ensisijaiseksi varmenteeksi. Varmenteen korvaaminen koskee vain itse allekirjoitettuja varmenteita, jotka AD FS 2.0 on luonut.
Tunnuksen allekirjoitusvarmenne on kriittinen osa liittoutumispalvelun vakautta. Jos varmenne muuttuu, Windows Azure AD -palvelulle on ilmoitettava asiasta. Muuten pilvipalvelupyynnöt epäonnistuvat. Lataa ja määritä ensisijaiseen liittoutumispalvelimeen tai mihin tahansa kirjoitettavissa olevaan liittoutumispalvelimeen Microsoftin liittoutumismetatietojen päivitysautomaation asennustyökalu, joka tarkkailee ja päivittää Windows Azure AD -liittoutumismetatietoja säännöllisin välein niin, että allekirjoitusvarmenteeseen AD FS 2.0 -liittoutumispalvelussa tehdyt muutokset replikoidaan Windows Azure AD -hakemistoon automaattisesti.
Työkalun käytön edellytykset:
Käytössä on oltava vähintään yksi AD FS 2.0 -liittoutumispalvelu.
Ohjeartikkelissa Luottamuksen määrittäminen AD FS 2.0:n ja Windows Azure AD:n välille kuvatut toimet on suoritettava.
Tämä työkalu täytyy suorittaa ensisijaisessa liittoutumispalvelimessa tai sellaisessa liittoutumispalvelimessa, johon voidaan kirjoittaa.
Käytössäsi on oltava Windows Azure AD -vuokraajasi yleisen järjestelmänvalvojan tunnistetiedot.
Huomautus
Jos et ole määrittänyt yleisen järjestelmänvalvojan tunnistetietoihin vanhentumatonta salasanaa, varmista, että suoritat tämän työkalun uudella salasanalla, kun yleisen järjestelmänvalvojan salasana vanhenee. Muuten ajoitettu tehtävä epäonnistuu.
Tämän työkalun suoritustoimet:
Lataa ja tallenna Microsoftin liittoutumismetatietojen päivitysautomaation asennustyökalu tietokoneeseesi.
Käynnistä järjestelmänvalvojan Windows PowerShell -moduuli ja siirry sitten hakemistoon, johon olet kopioinut työkalun.
Kirjoita kehotteeseen .\O365-Fed-MetaData-Update-Task-Installation.ps1 ja paina ENTER-näppäintä.
Kirjoita kehotteeseen liittoutunut toimialuenimi ja paina sitten ENTER-näppäintä.
Kirjoita kehotteeseen käyttäjätunnuksen tunnistetiedot ja paina sitten ENTER-näppäintä.
Kirjoita kehotteeseen paikallisen järjestelmänvalvojan tunnistetiedot ja paina sitten ENTER-näppäintä.
Kun olet suorittanut nämä toimet, komentosarja luo ajoitetun tehtävän, joka suoritetaan edellä vaiheessa 6 annetuilla järjestelmänvalvojan tunnistetiedoilla. Ajoitettu tehtävä suoritetaan kerran päivässä.
Huomautus
Tämä työkalu on suoritettava jokaiselle tilisi liittoutuneelle toimialueelle, eikä se tällä hetkellä tue useita ylätason toimialueita. Lisätietoja: Useiden ylätason toimialueiden tukeminen. On suositeltavaa aina toisinaan tarkistaa, että ajoitettu työ toimii oikein. Tämän voi tehdä varmistamalla, että lokitiedosto tulee luotua.
Huomautus
Voit määrittää, milloin AD FS 2.0 luo uuden allekirjoitusvarmenteen. Varmenteen korvaamisajankohdan lähestyessä AD FS 2.0 luo uuden varmenteen, jolla on vanhenevan varmenteen kanssa yhteneväinen nimi mutta eri allekirjoitus ja yksityinen avain. Uusi varmenne toimii toissijaisena varmenteena viiden päivän ajan, minkä jälkeen se nousee ensisijaiseksi varmenteeksi. Viisi päivää on oletusaika, mutta sitä voidaan muuttaa.
Kertakirjautumisen hallinta
Voit varmistaa kertakirjautumisen sujuvan toiminnon tietyillä muilla valinnaisilla tai silloin tällöin suorittavilla tehtävillä.
Tässä osassa
Luotettavien sivustojen URL-osoitteiden lisääminen Internet Explorerissa
Käyttäjien pilvipalveluun kirjautumisen rajoittaminen
Nykyisten asetusten tarkasteleminen
Luottamuksen ominaisuuksien päivittäminen
AD FS 2.0 -palvelimen palauttaminen
Luotettavien sivustojen URL-osoitteiden lisääminen Internet Explorerissa
Kun olet lisännyt tai muuntanut toimialueet osana kertakirjautumisen määrittämistä, sinun kannattaa ehkä lisätä AD FS 2.0 -palvelimen täydellinen toimialuenimi Internet Explorerin Luotetut sivustot -luetteloon. Näin voit varmistaa, että käyttäjiltä ei kysytä AD FS 2.0 -palvelimen salasanaa. Tämä muutos on tehtävä asiakasohjelmistossa. Voit tehdä tämän muutoksen käyttäjille myös määrittämällä ryhmäkäytäntöasetuksen, joka lisää tämän URL-osoitteen automaattisesti toimialueeseen liitettyjen tietokoneiden asiakassovellusten Luotetut sivustot -luetteloon. Lisätietoja: Internet Explorer Policy Settings (Internet Explorerin käytäntöasetukset).
Käyttäjien pilvipalveluun kirjautumisen rajoittaminen
AD FS 2.0 tarjoaa järjestelmänvalvojille mahdollisuuden määrittää mukautettuja sääntöjä, jotka antavat käyttäjille käyttöoikeuden tai estävät käytön. Kertakirjautumisessa mukautetut säännöt tulisi ottaa käyttöön pilvipalveluun liittyvässä luottavan osapuolen luottamuksessa. Loit tämän luottamuksen, kun suoritit Windows PowerShell-cmdlet-komennot kertakirjautumisen määrittämiseksi.
Lisätietoja siitä, miten palveluihin kirjautuvia käyttäjiä voi rajoittaa, on ohjeartikkelissa Create a Rule to Permit or Deny Users Based on an Incoming Claim (saapuvaan vaatimukseen pohjautuvan, käyttäjät sallivan tai estävän säännön luominen). Lisätietoja cmdlet-komentojen suorituksesta kertakirjautumisen käyttöönotossa: Windows PowerShellin asentaminen AD FS 2.0:n avulla tehtävää kertakirjautumista varten.
Nykyisten asetusten tarkasteleminen
Jos haluat nähdä AD FS 2.0 -palvelimen ja pilvipalvelun nykyiset asetukset, voit avata Windows Azure Active Directoryn Windows PowerShell -moduulin ja suorittaa ensin komennon Connect-MSOLService
ja sitten komennon Get-MSOLFederationProperty –DomainName <domain>
. Näin voit tarkistaa, että AD FS 2.0 -palvelimen asetukset vastaavat pilvipalvelu:n asetuksia. Jos asetukset eivät täsmää, suorita Update-MsolFederatedDomain –DomainName <domain>
. Saat lisätietoja seuraavasta Luottamuksen ominaisuuksien päivittäminen -kohdasta.
Huomautus
Jos sinun on tuettava useita ylätason toimialueita, kuten contoso.com ja fabrikam.com, sinun on käytettävä SupportMultipleDomain-valitsinta kaikkien cmdlet-komentojen kanssa. Lisätietoja: Useiden ylätason toimialueiden tukeminen.
Tässä käsiteltävät aiheet
Luottamuksen ominaisuuksien päivittäminen
Kertakirjautumisen luottamuksen ominaisuudet on päivitettävä pilvipalvelu -palvelussa seuraavissa tilanteissa:
URL-osoite muuttuu: Jos AD FS 2.0 -palvelimen URL-osoite muuttuu, päivitä luottamuksen ominaisuudet.
Ensisijainen allekirjoitusvarmenne muuttuu: Ensisijaisen allekirjoitusvarmenteen muuttaminen käynnistää tapahtuman, jonka tunnus on 334, tai tapahtuman, jonka tunnus on 335, AD FS 2.0 -palvelimen Tapahtumienvalvonnassa. Suosittelemme, että tarkistat tapahtumienvalvonnan vähintään kerran viikossa.
Voit tarkastella AD FS 2.0 -palvelimen tapahtumia seuraavasti.
Napsauta Käynnistä-painiketta ja valitse Ohjauspaneeli. Valitse Luokka-näkymästä Järjestelmä ja suojaus, valitse Valvontatyökalut ja valitse sitten Tapahtumienvalvonta.
Jos haluat tarkastella AD FS 2.0 -palvelimen tapahtumia, valitse Tapahtumienvalvonnan vasemmanpuoleisesta ruudusta Sovellus- ja palvelulokit, valitse AD FS 2.0 ja valitse sitten Järjestelmänvalvoja.
Allekirjoitusvarmenne vanhentuu kerran vuodessa: Tunnuksen allekirjoitusvarmenne on kriittinen osa liittoutumispalvelun vakautta. Jos varmenne muuttuu, Windows Azure AD -palvelulle on ilmoitettava asiasta. Muuten pilvipalvelupyynnöt epäonnistuvat.
Toimi edellä tämän ohjeaiheen jaksossa Ajoitetun tehtävän määrittäminen annettujen ohjeiden mukaisesti eli lataa ja määritä Microsoftin liittoutumismetatietojen päivitysautomaation asennustyökalu. Tämä työkalu valvoo tilannetta ja päivittää Windows Azure AD -liittoutumismetatiedot säännöllisin välein niin, että AD FS 2.0 -liittoutumispalvelun allekirjoitusvarmenteeseen tehdyt muutokset replikoidaan Windows Azure AD -palveluun automaattisesti.
Jos haluat päivittää luottamuksen ominaisuudet manuaalisesti, toimi alla kuvatulla tavalla.
Huomautus
Jos sinun on tuettava useita ylätason toimialueita, kuten contoso.com ja fabrikam.com, sinun on käytettävä SupportMultipleDomain-valitsinta kaikkien cmdlet-komentojen kanssa. Lisätietoja: Useiden ylätason toimialueiden tukeminen.
Avaa Windows Azure Active Directoryn Windows PowerShell -moduuli.
Suorita
$cred=Get-Credential
. Kun tämä cmdlet-komento pyytää sinulta tunnistetietoja, anna pilvipalvelun järjestelmänvalvojatilin tunnistetiedot.Suorita
Connect-MsolService –Credential $cred
. Tämä cmdlet-komento liittää sinut pilvipalvelu:een. pilvipalvelu:een liittävä konteksti on luotava ennen muiden työkalun asentamien cmdlet-komentojen suorittamista.Suorita
Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>
, jossa <AD FS 2.0 primary server> on ensisijaisen AD FS 2.0 -palvelimen sisäinen täydellinen toimialuenimi. Tämä cmdlet-komento luo kontekstin, joka liittää sinut AD FS 2.0 -palveluun.Huomautus
Jos olet asentanut Windows Azure Active Directory -moduulin ensisijaiseen AD FS 2.0 -palvelimeen, sinun ei tarvitse suorittaa tätä cmdlet-komentoa.
Suorita
Update-MSOLFederatedDomain –DomainName <domain>
. Tämä komentosovelma päivittää AD FS 2.0 -asetukset pilvipalvelu:een ja määrittää luottamussuhteen näiden välille.
Tässä käsiteltävät aiheet
AD FS 2.0 -palvelimen palauttaminen
Jos menetät ensisijaisen palvelimesi etkä pysty palauttamaan sitä, sinun on muunnettava jokin toissijainen palvelin ensisijaiseksi palvelimeksi. Lisätietoja: AD FS 2.0 - How to Set the Primary Federation Server in a WID Farm (AD FS 2.0 – ensisijaisen liittoutumispalvelimen määrittäminen WID-palvelinklusterissa).
Huomautus
Jos jokin AD FS 2.0 -palvelimesi kaatuu ja olet määrittänyt erittäin hyvän käytettävyyden tarjoavan palvelinklusterikokoonpanon, käyttäjät voivat silti jatkaa pilvipalvelun käyttöä. Jos kaatunut palvelin on ensisijainen palvelin, et voi suorittaa mitään päivityksiä palvelinklusterikokoonpanossa, ennen kuin muunnat jonkin toisen palvelimen ensisijaiseksi palvelimeksi.
Jos kaikki palvelinklusterin palvelimet kaatuvat, sinun on muodostettava luottamus uudelleen alla olevien ohjeiden mukaisesti.
Huomautus
Jos sinun on tuettava useita ylätason toimialueita, kuten contoso.com ja fabrikam.com, sinun on käytettävä SupportMultipleDomain-valitsinta kaikkien cmdlet-komentojen kanssa. Kun käytät SupportMultipleDomain-valitsinta, sinun on yleensä suoritettava komennot kaikissa toimialueissa. Jos haluat palauttaa AD FS 2.0 -palvelimen, sinun tarvitsee kuitenkin suorittaa komennot vain yhdessä toimialueessa. Kun palvelin on palautettu, kaikki muut kertakirjautumistoimialueet muodostavat yhteyden pilvipalvelu -palveluun. Lisätietoja: Useiden ylätason toimialueiden tukeminen.
Avaa Windows Azure Active Directory -moduuli.
Suorita
$cred=Get-Credential
. Kun cmdlet-komento pyytää sinulta tunnistetietoja, anna pilvipalvelun järjestelmänvalvojatilin tunnistetiedot.Suorita
Connect-MsolService –Credential $cred
. Tämä cmdlet-komento liittää sinut pilvipalvelu:een. pilvipalvelu:een liittävä konteksti on luotava ennen muiden työkalun asentamien cmdlet-komentojen suorittamista.Suorita
Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>
, jossa <AD FS 2.0 primary server> on ensisijaisen AD FS 2.0 -palvelimen sisäinen täydellinen toimialuenimi. Tämä cmdlet-komento luo kontekstin, joka liittää sinut AD FS 2.0 -palveluun.Huomautus
Jos olet asentanut Windows Azure Active Directory -moduulin ensisijaiseen AD FS 2.0 -palvelimeen, sinun ei tarvitse suorittaa tätä cmdlet-komentoa.
Suorita
Update-MsolFederatedDomain –DomainName <domain>
, jossa <domain> on päivitettävät ominaisuudet sisältävä toimialue. Tämä cmdlet-komento päivittää ominaisuudet ja muodostaa luottamussuhteen.Suorita
Get-MsolFederationProperty –DomainName <domain>
, jossa <domain> on tarkasteltavat ominaisuudet sisältävä toimialue. Voit verrata ensisijaisen AD FS 2.0 -palvelimen ja pilvipalvelu -palvelun ominaisuuksia varmistaaksesi, että ne täsmäävät. Jos ominaisuudet eivät täsmää, synkronoi ne suorittamalla komentoUpdate-MsolFederatedDomain –DomainName <domain>
uudelleen.
Katso myös
Käsitteet
Kertakirjautuminen
Kertakirjautumiseen valmistautuminen
Hakemistosynkronointi
Windows PowerShellin asentaminen AD FS 2.0:n avulla tehtävää kertakirjautumista varten
Kertakirjautumisen vianmääritys