Luottamuksen määrittäminen Shibboleth- ja Windows Azure AD -palvelun välille
Julkaistu: kesäkuu 2012
Tuotteet: Office 365, Windows Azure Active Directory, Windows Intune
Huomautus
Tässä ohjeaiheessa on online-ohjesisältöä, joka liittyy useisiin Microsoftin pilvipalveluihin, kuten Windows Intune -palveluun ja Office 365:een.
Windows Azure AD -toimialueet ovat liittoutuneet käyttämään Microsoft Online Services -moduulia. Microsoft Online Services -moduulilla voi suorittaa Windows PowerShell -komentorivikäyttöliittymässä cmdlet-komentoja, joilla lisätään tai muunnetaan toimialueita kertakirjautumista varten.
Tärkeä
Ennen kuin voit suorittaa tässä ohjeaiheessa mainitut toimet, tarkista ja suorita nämä toimet: Windows PowerShellin asentaminen Shibbolethin avulla tehtävää kertakirjautumista varten.
Kukin Shibbolethin avulla yhdistettävä Active Directory -toimialue on lisättävä kertakirjautumistoimialueeksi tai muunnettava sellaiseksi normaalista toimialueesta. Kun toimialue lisätään tai muunnetaan, Shibboleth-tunnistuspalvelun ja Windows Azure Active Directory -palvelun välille muodostuu luottamussuhde.
Seuraavat ohjeet opastavat normaalin toimialueen muunnossa liittoutuneeksi toimialueeksi.
Avaa Windows Azure Active Directory -moduuli.
Suorita
$cred=Get-Credential
. Kun cmdlet-komento pyytää sinulta tunnistetietoja, anna pilvipalvelun järjestelmänvalvojatilin tunnistetiedot.Suorita
Connect-MsolService –Credential $cred
. Tämä cmdlet-komento liittää sinut pilvipalvelu:een. pilvipalvelu:een liittävä konteksti on luotava ennen muiden työkalun asentamien cmdlet-komentojen suorittamista.Muunna olemassa oleva toimialue (tässä esimerkissä mail.contoso.com) kertakirjautumistoimialueeksi suorittamalla seuraavat komennot:
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
Huomautus
Suorita
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP
vain siinä tapauksessa, että otat käyttöön Shibboleth-tunnistuspalvelun ECP-laajennuksen. Vaikka kyseessä on valinnainen toimi, on suositeltavaa asentaa Shibboleth-tunnistuspalvelun ECP-laajennus, jotta kertakirjautumista voi käyttää älypuhelimella, Microsoft Outlookilla ja muilla asiakasohjelmilla. Lisätietoja on seuraavan ohjeartikkelin kohdassa: Optional: Install the Shibboleth ECP Extension (valinnainen: Shibboleth ECP -laajennuksen asentaminen): Shibboleth-palvelun määrittäminen kertakirjautumista varten.
Katso myös
Käsitteet
Windows PowerShellin asentaminen Shibbolethin avulla tehtävää kertakirjautumista varten
Shibboleth-tunnistuspalvelun käyttäminen kertakirjautumisen toteutuksessa