Luottamuksen määrittäminen Shibboleth- ja Windows Azure AD -palvelun välille

  • Artikkeli

Julkaistu: kesäkuu 2012

Tuotteet: Office 365, Windows Azure Active Directory, Windows Intune

Huomautus

Tässä ohjeaiheessa on online-ohjesisältöä, joka liittyy useisiin Microsoftin pilvipalveluihin, kuten Windows Intune -palveluun ja Office 365:een.

Windows Azure AD -toimialueet ovat liittoutuneet käyttämään Microsoft Online Services -moduulia. Microsoft Online Services -moduulilla voi suorittaa Windows PowerShell -komentorivikäyttöliittymässä cmdlet-komentoja, joilla lisätään tai muunnetaan toimialueita kertakirjautumista varten.

Tärkeä

Ennen kuin voit suorittaa tässä ohjeaiheessa mainitut toimet, tarkista ja suorita nämä toimet: Windows PowerShellin asentaminen Shibbolethin avulla tehtävää kertakirjautumista varten.

Kukin Shibbolethin avulla yhdistettävä Active Directory -toimialue on lisättävä kertakirjautumistoimialueeksi tai muunnettava sellaiseksi normaalista toimialueesta. Kun toimialue lisätään tai muunnetaan, Shibboleth-tunnistuspalvelun ja Windows Azure Active Directory -palvelun välille muodostuu luottamussuhde.

Seuraavat ohjeet opastavat normaalin toimialueen muunnossa liittoutuneeksi toimialueeksi.

  1. Avaa Windows Azure Active Directory -moduuli.

  2. Suorita $cred=Get-Credential. Kun cmdlet-komento pyytää sinulta tunnistetietoja, anna pilvipalvelun järjestelmänvalvojatilin tunnistetiedot.

  3. Suorita Connect-MsolService –Credential $cred. Tämä cmdlet-komento liittää sinut pilvipalvelu:een. pilvipalvelu:een liittävä konteksti on luotava ennen muiden työkalun asentamien cmdlet-komentojen suorittamista.

  4. Muunna olemassa oleva toimialue (tässä esimerkissä mail.contoso.com) kertakirjautumistoimialueeksi suorittamalla seuraavat komennot:

    $dom = "mail.contoso.com”
$url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
$ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
$uri = "https://idp.contoso.com/idp/shibboleth"
$logouturl = "https://idp.contoso.com/logout/" 
$cert = "MIIFYzCCBEugAw...2tLRtyN"

Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

    Huomautus

    Suorita $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP vain siinä tapauksessa, että otat käyttöön Shibboleth-tunnistuspalvelun ECP-laajennuksen. Vaikka kyseessä on valinnainen toimi, on suositeltavaa asentaa Shibboleth-tunnistuspalvelun ECP-laajennus, jotta kertakirjautumista voi käyttää älypuhelimella, Microsoft Outlookilla ja muilla asiakasohjelmilla. Lisätietoja on seuraavan ohjeartikkelin kohdassa: Optional: Install the Shibboleth ECP Extension (valinnainen: Shibboleth ECP -laajennuksen asentaminen): Shibboleth-palvelun määrittäminen kertakirjautumista varten.

Katso myös

Käsitteet

Windows PowerShellin asentaminen Shibbolethin avulla tehtävää kertakirjautumista varten
Shibboleth-tunnistuspalvelun käyttäminen kertakirjautumisen toteutuksessa