Kertakirjautumisen tarkistaminen ja hallinta AD FS 2.0:ssa

  • Artikkeli

Julkaistu: kesäkuu 2012

Tuotteet: Office 365, Windows Intune

Huomautus

Tässä ohjeaiheessa on online-ohjesisältöä, joka liittyy useisiin Microsoftin pilvipalveluihin, kuten Windows Intune -palveluun ja Office 365:een.

Järjestelmänvalvojana sinun tulisi tutustua seuraavien artikkeleiden tietoihin ja suorittaa niissä mainitut vaiheet kertakirjautumisen (jota kutsutaan myös tunnistetietojen yhdistämiseksi) määrittämiseksi, ennen kuin tarkistat kertakirjautumisen ja aloitat sen hallinnan:

Kun olet määrittänyt kertakirjautumisen, tarkista, että se toimii oikein. Voit myös suorittaa ajoittain erilaisia ylläpitotehtäviä, jotka varmistavat kertakirjautumisen toiminnan sujuvuuden.

Tässä käsiteltävät aiheet

  • Kertakirjautumisen määrityksen tarkistaminen

  • Ajoitetun tehtävän määrittäminen Windows Azure AD -hakemiston automaattiseksi päivittämiseksi allekirjoitusvarmennetta muuttuessa

  • Kertakirjautumisen hallinta

Kertakirjautumisen määrityksen tarkistaminen

Voit tarkistaa, että kertakirjautuminen on määritetty oikein, varmistamalla, että voit kirjautua pilvipalvelupalveluun yrityksesi tunnistetiedoilla. Ohjeet tähän löytyvät seuraavista ohjeartikkeleista: Kertakirjautumisen testaaminen erilaisissa käyttötilanteissa ja Microsoftin etäyhteyksien analysointitoiminnon käyttäminen.

Huomautus

  • Jos olet muuntanut toimialueen (lisäämisen sijaan), kertakirjautumisen määritysten voimaantulo saattaa kestää jopa 24 tuntia.

  • Ennen kertakirjautumisen määrityksen tarkistamista sinun tulee määrittää Active Directory -synkronointi, synkronoida hakemistot ja aktivoida synkronoidut käyttäjät. Lisätietoja: Hakemistosynkronointi.

Voit tarkistaa, että kertakirjautuminen on määritetty onnistuneesti, tekemällä seuraavat toimet.

  1. Siirry toimialueeseen liitetyssä tietokoneessa Microsoft Office 365 -portaaliin.

  2. Kirjaudu samalla kirjautumistunnuksella, jota käytät yritystunnistetiedoissasi.

  3. Napsauta salasanaruutua. Jos kertakirjautuminen on määritetty, salasanaruutu on himmennetty ja saat viestin, jossa sinulle ilmoitetaan, että sinun on kirjauduttava oman yrityksesi verkkoon.

  4. Napsauta oman yrityksen verkkoon kirjautumisen linkkiä.

    Jos kirjautuminen onnistuu, kertakirjautuminen on määritetty.

Kertakirjautumisen testaaminen erilaisissa käyttötilanteissa

Kun olet tarkistanut, että kertakirjautuminen on tehty, kokeile seuraavia kirjautumisskenaarioita. Niillä voit varmistaa, että AD FS 2.0 -käyttöönotto on määritetty oikein. Pyydä käyttäjien ryhmää testaamaan, voivatko he käyttää pilvipalvelu -palveluja selaimista sekä monipuolisista asiakassovelluksista, kuten Microsoft Office 2010:stä, seuraavissa ympäristöissä:

  • toimialueeseen liitetty tietokone

  • toimialueeseen liittämätön tietokone yrityksen omassa verkossa

  • toimialueeseen liitetty tietokone yrityksen oman verkon ulkopuolella

  • yrityksen käytössä olevat eri käyttöjärjestelmät

  • kotitietokone

  • nettikahvila (pilvipalvelu -koekäyttö vain selaimella)

  • älypuhelin (esimerkiksi Microsoft Exchange ActiveSynciä käyttävä älypuhelin).

Microsoftin etäyhteyksien analysointitoiminnon käyttäminen

Kertakirjausyhteyden testaamisessa voi käyttää Microsoftin etäyhteyksien analysointitoimintoa. Valitse Office 365 -välilehdellä Microsoft-kertakirjautuminen ja valitse sitten Seuraava. Tee testi näytön ohjeiden mukaisesti. Analysointitoiminto testaa, voitko kirjautua pilvipalvelu -palveluun yritystunnistetiedoillasi. Lisäksi se tarkistaa AD FS 2.0 -määritykset.

Tässä käsiteltävät aiheet

Ajoitetun tehtävän määrittäminen Windows Azure AD -hakemiston automaattiseksi päivittämiseksi allekirjoitusvarmennetta muuttuessa

AD FS 2.0 luo oletusarvoisesti uuden itse allekirjoitetun allekirjoitusvarmenteen joka vuosi 20 päivää ennen varmenteen vanhentumista. Varmenteen korvaamisella tarkoitetaan uuden varmenteen luomista ennen nykyisen varmenteen vanhentumista ja luodun varmenteen nostamista ensisijaiseksi varmenteeksi. Varmenteen korvaaminen koskee vain itse allekirjoitettuja varmenteita, jotka AD FS 2.0 on luonut.

Tunnuksen allekirjoitusvarmenne on kriittinen osa liittoutumispalvelun vakautta. Jos varmenne muuttuu, Windows Azure AD -palvelulle on ilmoitettava asiasta. Muuten pilvipalvelupyynnöt epäonnistuvat. Lataa ja määritä ensisijaiseen liittoutumispalvelimeen tai mihin tahansa kirjoitettavissa olevaan liittoutumispalvelimeen Microsoftin liittoutumismetatietojen päivitysautomaation asennustyökalu, joka tarkkailee ja päivittää Windows Azure AD -liittoutumismetatietoja säännöllisin välein niin, että allekirjoitusvarmenteeseen AD FS 2.0 -liittoutumispalvelussa tehdyt muutokset replikoidaan Windows Azure AD -hakemistoon automaattisesti.

Työkalun käytön edellytykset:

  • Käytössä on oltava vähintään yksi AD FS 2.0 -liittoutumispalvelu.

  • Ohjeartikkelissa Luottamuksen määrittäminen AD FS 2.0:n ja Windows Azure AD:n välille kuvatut toimet on suoritettava.

  • Tämä työkalu täytyy suorittaa ensisijaisessa liittoutumispalvelimessa tai sellaisessa liittoutumispalvelimessa, johon voidaan kirjoittaa.

  • Käytössäsi on oltava Windows Azure AD -vuokraajasi yleisen järjestelmänvalvojan tunnistetiedot.

    Huomautus

    Jos et ole määrittänyt yleisen järjestelmänvalvojan tunnistetietoihin vanhentumatonta salasanaa, varmista, että suoritat tämän työkalun uudella salasanalla, kun yleisen järjestelmänvalvojan salasana vanhenee. Muuten ajoitettu tehtävä epäonnistuu.

Tämän työkalun suoritustoimet:

  1. Lataa ja tallenna Microsoftin liittoutumismetatietojen päivitysautomaation asennustyökalu tietokoneeseesi.

  2. Käynnistä järjestelmänvalvojan Windows PowerShell -moduuli ja siirry sitten hakemistoon, johon olet kopioinut työkalun.

  3. Kirjoita kehotteeseen .\O365-Fed-MetaData-Update-Task-Installation.ps1 ja paina ENTER-näppäintä.

  4. Kirjoita kehotteeseen liittoutunut toimialuenimi ja paina sitten ENTER-näppäintä.

  5. Kirjoita kehotteeseen käyttäjätunnuksen tunnistetiedot ja paina sitten ENTER-näppäintä.

  6. Kirjoita kehotteeseen paikallisen järjestelmänvalvojan tunnistetiedot ja paina sitten ENTER-näppäintä.

Kun olet suorittanut nämä toimet, komentosarja luo ajoitetun tehtävän, joka suoritetaan edellä vaiheessa 6 annetuilla järjestelmänvalvojan tunnistetiedoilla. Ajoitettu tehtävä suoritetaan kerran päivässä.

Huomautus

Tämä työkalu on suoritettava jokaiselle tilisi liittoutuneelle toimialueelle, eikä se tällä hetkellä tue useita ylätason toimialueita. Lisätietoja: Useiden ylätason toimialueiden tukeminen. On suositeltavaa aina toisinaan tarkistaa, että ajoitettu työ toimii oikein. Tämän voi tehdä varmistamalla, että lokitiedosto tulee luotua.

Huomautus

Voit määrittää, milloin AD FS 2.0 luo uuden allekirjoitusvarmenteen. Varmenteen korvaamisajankohdan lähestyessä AD FS 2.0 luo uuden varmenteen, jolla on vanhenevan varmenteen kanssa yhteneväinen nimi mutta eri allekirjoitus ja yksityinen avain. Uusi varmenne toimii toissijaisena varmenteena viiden päivän ajan, minkä jälkeen se nousee ensisijaiseksi varmenteeksi. Viisi päivää on oletusaika, mutta sitä voidaan muuttaa.

Kertakirjautumisen hallinta

Voit varmistaa kertakirjautumisen sujuvan toiminnon tietyillä muilla valinnaisilla tai silloin tällöin suorittavilla tehtävillä.

Tässä osassa

  • Luotettavien sivustojen URL-osoitteiden lisääminen Internet Explorerissa

  • Käyttäjien pilvipalveluun kirjautumisen rajoittaminen

  • Nykyisten asetusten tarkasteleminen

  • Luottamuksen ominaisuuksien päivittäminen

  • AD FS 2.0 -palvelimen palauttaminen

Luotettavien sivustojen URL-osoitteiden lisääminen Internet Explorerissa

Kun olet lisännyt tai muuntanut toimialueet osana kertakirjautumisen määrittämistä, sinun kannattaa ehkä lisätä AD FS 2.0 -palvelimen täydellinen toimialuenimi Internet Explorerin Luotetut sivustot -luetteloon. Näin voit varmistaa, että käyttäjiltä ei kysytä AD FS 2.0 -palvelimen salasanaa. Tämä muutos on tehtävä asiakasohjelmistossa. Voit tehdä tämän muutoksen käyttäjille myös määrittämällä ryhmäkäytäntöasetuksen, joka lisää tämän URL-osoitteen automaattisesti toimialueeseen liitettyjen tietokoneiden asiakassovellusten Luotetut sivustot -luetteloon. Lisätietoja: Internet Explorer Policy Settings (Internet Explorerin käytäntöasetukset).

Käyttäjien pilvipalveluun kirjautumisen rajoittaminen

AD FS 2.0 tarjoaa järjestelmänvalvojille mahdollisuuden määrittää mukautettuja sääntöjä, jotka antavat käyttäjille käyttöoikeuden tai estävät käytön. Kertakirjautumisessa mukautetut säännöt tulisi ottaa käyttöön pilvipalveluun liittyvässä luottavan osapuolen luottamuksessa. Loit tämän luottamuksen, kun suoritit Windows PowerShell-cmdlet-komennot kertakirjautumisen määrittämiseksi.

Lisätietoja siitä, miten palveluihin kirjautuvia käyttäjiä voi rajoittaa, on ohjeartikkelissa Create a Rule to Permit or Deny Users Based on an Incoming Claim (saapuvaan vaatimukseen pohjautuvan, käyttäjät sallivan tai estävän säännön luominen). Lisätietoja cmdlet-komentojen suorituksesta kertakirjautumisen käyttöönotossa: Windows PowerShellin asentaminen AD FS 2.0:n avulla tehtävää kertakirjautumista varten.

Nykyisten asetusten tarkasteleminen

Jos haluat nähdä AD FS 2.0 -palvelimen ja pilvipalvelun nykyiset asetukset, voit avata Windows Azure Active Directoryn Windows PowerShell -moduulin ja suorittaa ensin komennon Connect-MSOLService ja sitten komennon Get-MSOLFederationProperty –DomainName <domain>. Näin voit tarkistaa, että AD FS 2.0 -palvelimen asetukset vastaavat pilvipalvelu:n asetuksia. Jos asetukset eivät täsmää, suorita Update-MsolFederatedDomain –DomainName <domain>. Saat lisätietoja seuraavasta Luottamuksen ominaisuuksien päivittäminen -kohdasta.

Huomautus

Jos sinun on tuettava useita ylätason toimialueita, kuten contoso.com ja fabrikam.com, sinun on käytettävä SupportMultipleDomain-valitsinta kaikkien cmdlet-komentojen kanssa. Lisätietoja: Useiden ylätason toimialueiden tukeminen.

Tässä käsiteltävät aiheet

Luottamuksen ominaisuuksien päivittäminen

Kertakirjautumisen luottamuksen ominaisuudet on päivitettävä pilvipalvelu -palvelussa seuraavissa tilanteissa:

  • URL-osoite muuttuu: Jos AD FS 2.0 -palvelimen URL-osoite muuttuu, päivitä luottamuksen ominaisuudet.

  • Ensisijainen allekirjoitusvarmenne muuttuu: Ensisijaisen allekirjoitusvarmenteen muuttaminen käynnistää tapahtuman, jonka tunnus on 334, tai tapahtuman, jonka tunnus on 335, AD FS 2.0 -palvelimen Tapahtumienvalvonnassa. Suosittelemme, että tarkistat tapahtumienvalvonnan vähintään kerran viikossa.

    Voit tarkastella AD FS 2.0 -palvelimen tapahtumia seuraavasti.

    1. Napsauta Käynnistä-painiketta ja valitse Ohjauspaneeli. Valitse Luokka-näkymästä Järjestelmä ja suojaus, valitse Valvontatyökalut ja valitse sitten Tapahtumienvalvonta.

    2. Jos haluat tarkastella AD FS 2.0 -palvelimen tapahtumia, valitse Tapahtumienvalvonnan vasemmanpuoleisesta ruudusta Sovellus- ja palvelulokit, valitse AD FS 2.0 ja valitse sitten Järjestelmänvalvoja.

  • Allekirjoitusvarmenne vanhentuu kerran vuodessa: Tunnuksen allekirjoitusvarmenne on kriittinen osa liittoutumispalvelun vakautta. Jos varmenne muuttuu, Windows Azure AD -palvelulle on ilmoitettava asiasta. Muuten pilvipalvelupyynnöt epäonnistuvat.

    Toimi edellä tämän ohjeaiheen jaksossa Ajoitetun tehtävän määrittäminen annettujen ohjeiden mukaisesti eli lataa ja määritä Microsoftin liittoutumismetatietojen päivitysautomaation asennustyökalu. Tämä työkalu valvoo tilannetta ja päivittää Windows Azure AD -liittoutumismetatiedot säännöllisin välein niin, että AD FS 2.0 -liittoutumispalvelun allekirjoitusvarmenteeseen tehdyt muutokset replikoidaan Windows Azure AD -palveluun automaattisesti.

Jos haluat päivittää luottamuksen ominaisuudet manuaalisesti, toimi alla kuvatulla tavalla.

Huomautus

Jos sinun on tuettava useita ylätason toimialueita, kuten contoso.com ja fabrikam.com, sinun on käytettävä SupportMultipleDomain-valitsinta kaikkien cmdlet-komentojen kanssa. Lisätietoja: Useiden ylätason toimialueiden tukeminen.

  1. Avaa Windows Azure Active Directoryn Windows PowerShell -moduuli.

  2. Suorita $cred=Get-Credential. Kun tämä cmdlet-komento pyytää sinulta tunnistetietoja, anna pilvipalvelun järjestelmänvalvojatilin tunnistetiedot.

  3. Suorita Connect-MsolService –Credential $cred. Tämä cmdlet-komento liittää sinut pilvipalvelu:een. pilvipalvelu:een liittävä konteksti on luotava ennen muiden työkalun asentamien cmdlet-komentojen suorittamista.

  4. Suorita Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>, jossa <AD FS 2.0 primary server> on ensisijaisen AD FS 2.0 -palvelimen sisäinen täydellinen toimialuenimi. Tämä cmdlet-komento luo kontekstin, joka liittää sinut AD FS 2.0 -palveluun.

    Huomautus

    Jos olet asentanut Windows Azure Active Directory -moduulin ensisijaiseen AD FS 2.0 -palvelimeen, sinun ei tarvitse suorittaa tätä cmdlet-komentoa.

  5. Suorita Update-MSOLFederatedDomain –DomainName <domain>. Tämä komentosovelma päivittää AD FS 2.0 -asetukset pilvipalvelu:een ja määrittää luottamussuhteen näiden välille.

Tässä käsiteltävät aiheet

AD FS 2.0 -palvelimen palauttaminen

Jos menetät ensisijaisen palvelimesi etkä pysty palauttamaan sitä, sinun on muunnettava jokin toissijainen palvelin ensisijaiseksi palvelimeksi. Lisätietoja: AD FS 2.0 - How to Set the Primary Federation Server in a WID Farm (AD FS 2.0 – ensisijaisen liittoutumispalvelimen määrittäminen WID-palvelinklusterissa).

Huomautus

Jos jokin AD FS 2.0 -palvelimesi kaatuu ja olet määrittänyt erittäin hyvän käytettävyyden tarjoavan palvelinklusterikokoonpanon, käyttäjät voivat silti jatkaa pilvipalvelun käyttöä. Jos kaatunut palvelin on ensisijainen palvelin, et voi suorittaa mitään päivityksiä palvelinklusterikokoonpanossa, ennen kuin muunnat jonkin toisen palvelimen ensisijaiseksi palvelimeksi.

Jos kaikki palvelinklusterin palvelimet kaatuvat, sinun on muodostettava luottamus uudelleen alla olevien ohjeiden mukaisesti.

Huomautus

Jos sinun on tuettava useita ylätason toimialueita, kuten contoso.com ja fabrikam.com, sinun on käytettävä SupportMultipleDomain-valitsinta kaikkien cmdlet-komentojen kanssa. Kun käytät SupportMultipleDomain-valitsinta, sinun on yleensä suoritettava komennot kaikissa toimialueissa. Jos haluat palauttaa AD FS 2.0 -palvelimen, sinun tarvitsee kuitenkin suorittaa komennot vain yhdessä toimialueessa. Kun palvelin on palautettu, kaikki muut kertakirjautumistoimialueet muodostavat yhteyden pilvipalvelu -palveluun. Lisätietoja: Useiden ylätason toimialueiden tukeminen.

  1. Avaa Windows Azure Active Directory -moduuli.

  2. Suorita $cred=Get-Credential. Kun cmdlet-komento pyytää sinulta tunnistetietoja, anna pilvipalvelun järjestelmänvalvojatilin tunnistetiedot.

  3. Suorita Connect-MsolService –Credential $cred. Tämä cmdlet-komento liittää sinut pilvipalvelu:een. pilvipalvelu:een liittävä konteksti on luotava ennen muiden työkalun asentamien cmdlet-komentojen suorittamista.

  4. Suorita Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>, jossa <AD FS 2.0 primary server> on ensisijaisen AD FS 2.0 -palvelimen sisäinen täydellinen toimialuenimi. Tämä cmdlet-komento luo kontekstin, joka liittää sinut AD FS 2.0 -palveluun.

    Huomautus

    Jos olet asentanut Windows Azure Active Directory -moduulin ensisijaiseen AD FS 2.0 -palvelimeen, sinun ei tarvitse suorittaa tätä cmdlet-komentoa.

  5. Suorita Update-MsolFederatedDomain –DomainName <domain>, jossa <domain> on päivitettävät ominaisuudet sisältävä toimialue. Tämä cmdlet-komento päivittää ominaisuudet ja muodostaa luottamussuhteen.

  6. Suorita Get-MsolFederationProperty –DomainName <domain>, jossa <domain> on tarkasteltavat ominaisuudet sisältävä toimialue. Voit verrata ensisijaisen AD FS 2.0 -palvelimen ja pilvipalvelu -palvelun ominaisuuksia varmistaaksesi, että ne täsmäävät. Jos ominaisuudet eivät täsmää, synkronoi ne suorittamalla komento Update-MsolFederatedDomain –DomainName <domain> uudelleen.

Katso myös

Käsitteet

Kertakirjautuminen
Kertakirjautumiseen valmistautuminen
Hakemistosynkronointi
Windows PowerShellin asentaminen AD FS 2.0:n avulla tehtävää kertakirjautumista varten
Kertakirjautumisen vianmääritys

Muita resursseja

Plan for and deploy AD FS 2.0 for use with single sign-on