Az egyszeri bejelentkezés hitelesítése és kezelése az AD FS 2.0 segítéségével.
Közzétéve: 2012. június
Hatókör: Office 365, Windows Intune
Megjegyzés
A témakör online súgótartalmat biztosít, mely több felhőalapú Microsoft-szolgáltatáshoz, például a Windows Intune és az Office 365 szolgáltatáshoz is használható.
Rendszergazdaként felügyelheti az egyszeri bejelentkezési (másként: identitás-összevonási) funkciót, azonban előtte be kell állítania. Ehhez nyújtanak segítséget és útmutatást az alábbi cikkek:
Az egyszeri bejelentkezés telepítése után érdemes ellenőrizni, hogy az megfelelő módon működik-e. Emellett számos felügyeleti feladat áll rendelkezésre, amelyeket időnként futtatva biztosíthatja a zavartalan működést.
Mit kíván tenni?
Az egyszeri bejelentkezés megfelelő telepítésének ellenőrzése
Ütemezett feladat beállítása a Windows Azure AD automatikus frissítésére, amikor a jogkivonat-aláíró tanúsítvány módosul
Az egyszeri bejelentkezés kezelése
Az egyszeri bejelentkezés megfelelő telepítésének ellenőrzése
Az egyszeri bejelentkezés megfelelő beállításának ellenőrzéséhez elvégezheti a következő eljárásokat, hogy meggyőződjön arról, valóban be tud-e jelentkezni az a felhőalapú szolgáltatás rendszerbe vállalati hitelesítő adataival: Az egyszeri bejelentkezés tesztelése különböző felhasználási forgatókönyvek esetén és A Microsoft Remote Connectivity Analyzer használata.
Megjegyzés
- Ha nem hozzáadott, hanem átalakított egy tartományt, az egyszeri bejelentkezés telepítése akár 24 órát is igénybe vehet.
- Az egyszeri bejelentkezés ellenőrzése előtt végezze el az Active Directory-szinkronizálás telepítését, szinkronizálja a címtárakat és aktiválja a szinkronizált felhasználókat. További információkért lásd: Címtár-szinkronizálási menetrend.
Az egyszeri bejelentkezés megfelelő telepítésének ellenőrzéséhez végezze el az alábbi lépéseket.
Egy tartományhoz csatlakoztatott számítógépről keresse fel a Microsoft Office 365 portált.
Jelentkezzen be ugyanazzal a bejelentkezési névvel, amelyet a vállalati hitelesítő adataihoz használ.
Kattintson a jelszó mezőben. Ha be van állítva az egyszeri bejelentkezés, a jelszómező halványan jelenik meg, és a következő üzenet látható: „Be kell jelentkeznie a(z) <vállalat> webhelyén.”
Kattintson a Bejelentkezés a(z)<vállalat webhelyén> hivatkozásra.
Ha képes bejelentkezni, akkor az egyszeri bejelentkezés telepítve van.
Az egyszeri bejelentkezés tesztelése különböző felhasználási forgatókönyvek esetén
Miután meggyőződött arról, hogy az egyszeri bejelentkezés beállítása sikeresen befejeződött, ellenőrizze az egyszeri bejelentkezés és az AD FS 2.0 konfigurációjának helyességét az alábbi szituációkban. Kérjen meg néhány felhasználót, hogy próbáljanak hozzáférni az a felhőalapú szolgáltatás szolgáltatásaihoz az alábbi környezetekben futó böngészőikből és asztali alkalmazásaikból (például a Microsoft Office 2010 alkalmazásaiból):
Tartományhoz csatlakoztatott számítógép
Vállalati hálózaton belüli, de tartományhoz nem csatlakoztatott számítógép
Vállalati hálózaton kívülre helyezett, de tartományhoz csatlakoztatott (barangoló) számítógép
A vállalatnál használt különböző operációs rendszerek
Otthoni számítógép
Internetes kioszk (ebben az esetben csak az a felhőalapú szolgáltatás böngészős elérését kell tesztelni)
Okostelefon (például egy Microsoft Exchange ActiveSync szolgáltatást használó okostelefonról)
A Microsoft Remote Connectivity Analyzer használata
Az egyszeri bejelentkezés kapcsolatának ellenőrzéséhez a Microsoft Remote Connectivity Analyzer programot használhatja. Kattintson az Office 365 fülre, aztán a Microsoft egyszeri bejelentkezés elemre, majd a Tovább gombra. A teszt elvégzéséhez kövesse a képernyőn megjelenő utasításokat. Az elemző eszköz ellenőrzi, hogy be tud-e jelentkezni a vállalati hitelesítő adataival az a felhőalapú szolgáltatás rendszerbe. Ezenkívül néhány alapvető AD FS 2.0 beállítást is ellenőriz.
Mit kíván tenni?
Ütemezett feladat beállítása a Windows Azure AD automatikus frissítésére, amikor a jogkivonat-aláíró tanúsítvány módosul
Alapértelmezésben az AD FS 2.0 egy új önaláírt jogkivonat-aláíró tanúsítványt hoz létre évente, a tanúsítvány lejárta előtt 20 nappal. A tanúsítványváltás – azaz egy új tanúsítvány létrehozása a meglévő tanúsítvány lejárta előtt, majd annak előléptetése elsődleges tanúsítvánnyá – csak az AD FS 2.0 által generált önaláírt tanúsítványokra alkalmazható eljárás.
A jogkivonat-aláíró tanúsítvány kritikus az összevonási szolgáltatás stabilitása szempontjából. Amennyiben megváltozik, az Windows Azure AD szolgáltatást erről a változásról értesíteni kell. Ellenkező esetben a felhőalapú szolgáltatásnak címzett kérelmek sikertelenek lesznek. Le kell töltenie és konfigurálnia kell a Microsoft Federation Metadata Update Automation Installation eszközt az elsődleges összevonási kiszolgálón vagy bármely más írható összevonási kiszolgálón, amely automatikusan figyelni és rendszeresen frissíteni fogja az Windows Azure AD összevonási metaadatokat, így minden módosítás, amit a jogkivonat-aláíró tanúsítványon végez az AD FS 2.0 összevonási szolgáltatásban, automatikusan replikálódik az Windows Azure AD-ben.
Az eszköz megfelelő futtatása:
Legalább egy AD FS 2.0 összevonási szolgáltatás telepítve kell legyen.
El kell végezni a következő helyen megadott lépéseket: Megbízhatósági kapcsolat beállítása az AS FS 2.0 és a Windows Azure AD között.
Az eszközt az elsődleges összevonási kiszolgálón vagy egy írható összevonási kiszolgálón kell futtatni.
Globális rendszergazdai hitelesítő adatokkal kell rendelkeznie az Windows Azure AD bérlőhöz.
Megjegyzés
Ha a globális rendszergazdai hitelesítő adatokat nem a „jelszó – nem jár le” beállítással adta meg, futtassa ismét ezt az eszközt az új jelszóval, miután a globális rendszergazdai jelszó lejárt. Ellenkező esetben az ütemezett feladat futtatása sikertelen lesz.
Az eszköz futtatásának lépései:
Töltse le és mentse a Microsoft Federation Metadata Update Automation Installation eszközt a számítógépre.
Indítsa el a rendszergazdai Windows PowerShell modult, majd lépjen abba a könyvtárba, ahova az eszközt másolta.
Amikor erre kérést kap, írja be: .\O365-Fed-MetaData-Update-Task-Installation.ps1, majd nyomja le az ENTER billentyűt.
Amikor erre kérést kap, írja be az összevont tartomány nevét, majd nyomja le az ENTER billentyűt.
Amikor erre kérést kap, írja be a felhasználói azonosító hitelesítő adatait, majd nyomja le az ENTER billentyűt.
Amikor erre kérést kap, írja be a helyi rendszergazda hitelesítő adatait, majd nyomja le az ENTER billentyűt.
Ezen lépések végrehajtása után a parancsprogram egy ütemezett feladatot hoz létre, amely a fentebbi, 6. lépésben megadott helyi rendszergazdai hitelesítő adatokkal fog futni. Az ütemezett feladat naponta egyszer fog futni.
Megjegyzés
Az eszközt a fiókban levő minden összevont tartománynál futtatni kell és jelenleg nem támogat több legfelső szintű tartományt. További tudnivalókért tekintse meg: Több legfelső szintű tartomány támogatása. Ajánlott rendszeresen ellenőrizni az ütemezett feladat megfelelő futását azáltal, hogy ellenőrzi a naplófájl sikeres létrejöttét.
Megjegyzés
A rendszerben beállítható, hogy az AD FS 2.0 mikor állítson elő új önaláírt jogkivonat-aláíró tanúsítványt. Amikor elérkezik a tanúsítványváltás ideje, az AD FS 2.0 a lejáró tanúsítvánnyal azonos névvel, de eltérő titkos kulccsal és ujjlenyomattal rendelkező új tanúsítványt generál. Az új tanúsítvány létrejötte után öt napig másodlagos tanúsítvány marad, majd a rendszer elsődleges tanúsítvánnyá lépteti elő. Az öt nap az alapértelmezett időszak, ez az érték azonban módosítható.
Az egyszeri bejelentkezés kezelése
Vannak egyéb választható vagy időnként elvégzendő feladatok is, amelyek segítségével biztosítható az egyszeri bejelentkezés problémamentes működése.
A szakasz tartalma
URL-címek hozzáadása az Internet Explorer Megbízható helyek listájához
A felhasználók felhőalapú szolgáltatásba való bejelentkezésének korlátozása
Az aktuális beállítások megtekintése
A megbízhatósági tulajdonságok frissítése
AD FS 2.0-kiszolgáló helyreállítása
URL-címek hozzáadása az Internet Explorer Megbízható helyek listájához
Miután az egyszeri bejelentkezés beállításának részeként felvette vagy átalakította a tartományokat, érdemes felvenni a teljes tartománynevet az AD FS 2.0 kiszolgáló Megbízható helyeinek listájára. Ezzel biztosítja azt, hogy a rendszer ne kérje a felhasználóktól azok jelszavát az AD FS 2.0 kiszolgálóhoz. Ezt a módosítást az ügyfélszámítógépen kell elvégezni. A módosítást úgy is elvégezheti a felhasználók számára, hogy létrehoz egy csoportos házirendet, amely a tartományhoz csatlakoztatott számítógépeken automatikusan a megbízható helyek listához adja ezt az URL-címet. További tudnivalók a Internet Explorer házirend-beállításaiban találhatók.
A felhasználók felhőalapú szolgáltatásba való bejelentkezésének korlátozása
Az AD FS 2.0 lehetővé teszi a rendszergazdáknak a felhasználók hozzáférését engedélyező és megtagadó egyéni szabályok kialakítását. Az egyszeri bejelentkezés esetén az egyéni szabályokat az a felhőalapú szolgáltatás rendszerhez társított függő entitáson alapuló megbízhatósági kapcsolatra kell alkalmazni. A listát az egyszeri bejelentkezés beállításakor, a Windows PowerShell alrendszerbeli parancsmagok futtatásakor hozta létre.
További információkért arról, hogy miként korlátozható a felhasználók bejelentkezése a szolgáltatásokba, tekintse meg a következőt: Szabály létrehozása a felhasználók engedélyezéséhez vagy elutasításához a beérkező igénylések alapján. További információkat a parancsmagok futtatásáról az egyszeri bejelentkezés beállításához, tekintse meg a következőt: A Windows PowerShell telepítése az AD FS 2.0 segítségévelt történő egyszeri bejelentkezéshez.
Az aktuális beállítások megtekintése
Ha bármikor meg szeretné tekinteni az AD FS 2.0 kiszolgálót és az a felhőalapú szolgáltatás beállításokat, nyissa meg a Windows Azure Active Directory modul Windows PowerShell környezethez és futtassa a Connect-MSOLService
, majd a Get-MSOLFederationProperty –DomainName <domain>
parancsmagot. Ezzel ellenőrizheti, hogy az AD FS 2.0-kiszolgáló beállításai megfelelnek-e az a felhőalapú szolgáltatás beállításainak. Ha a beállítások nem egyeznek, futtathatja a Update-MsolFederatedDomain –DomainName <domain>
parancsmagot. További információk a következő, „A megbízhatósági tulajdonságok frissítése” című részben olvashatók.
Megjegyzés
Ha több legfelső szintű tartomány támogatása is szükséges, például contoso.com és fabrikam.com, használja mindegyik parancsmagot a SupportMultipleDomain kapcsolóval. További tudnivalókért tekintse meg: Több legfelső szintű tartomány támogatása.
Mit kíván tenni?
A megbízhatósági tulajdonságok frissítése
Az alábbi események bekövetkeztekor frissítenie kell az egyszeri bejelentkezési megbízhatósági kapcsolatok tulajdonságait az a felhőalapú szolgáltatás szolgáltatásban:
Az URL-cím módosul: ha módosítja az AD FS 2.0 kiszolgálójának URL-címét, frissítenie kell a megbízhatósági kapcsolat tulajdonságait.
az elsődleges jogkivonat-aláíró tanúsítvány megváltozott: Az elsődleges jogkivonat-aláíró tanúsítvány módosítása a 334-es vagy 335-ös azonosítójú eseményt indítja el az AD FS 2.0 kiszolgáló Eseménynaplójában. Javasoljuk, rendszeresen ellenőrizze az eseménynaplót, legalább hetente.
Az AD FS 2.0 kiszolgálóján bejegyzett események megtekintése:
Kattintson a Start menü Vezérlőpult parancsára. A Kategória nézetben kattintson a Rendszer és biztonság kategóriára, majd válassza a Felügyeleti eszközök lehetőséget, végül kattintson az Eseménynapló parancsra.
Az AD FS 2.0 eseményeinek megtekintéséhez az Eseménynapló bal oldali ablaktáblájában kattintson az Alkalmazás- és szolgáltatásnaplók, aztán az AD FS 2.0 csomópontra, majd a Felügyelet lehetőségre.
a jogkivonat-aláíró tanúsítvány évente lejár: A jogkivonat-aláíró tanúsítvány kritikus az összevonási szolgáltatás stabilitása szempontjából. Amennyiben megváltozik, a Windows Azure AD szolgáltatást erről a változásról értesíteni kell. Ellenkező esetben a felhőalapú szolgáltatásnak címzett kérelmek sikertelenek lesznek.
Kövesse a témakör fentebbi, Ütemezett feladat beállítása szakaszban megadott lépéseket, amelyek végigvezetik a Microsoft Federation Metadata Update Automation Installation eszköz letöltésének és konfigurálásának lépésein. Ez az eszköz automatikusan és rendszeresen figyelni és frissíteni fogja az Windows Azure AD összevonási metaadatokat, így a jogkivonat-aláíró tanúsítvány bármilyen módosítása az AD FS 2.0 szolgáltatásban automatikusan replikálódik az Windows Azure AD szolgáltatásban.
A megbízhatósági kapcsolat tulajdonságainak manuális frissítéséhez kövesse az alábbi lépéseket.
Megjegyzés
Ha több legfelső szintű tartomány támogatása is szükséges, például contoso.com és fabrikam.com, használja mindegyik parancsmagot a SupportMultipleDomain kapcsolóval. További tudnivalókért tekintse meg: Több legfelső szintű tartomány támogatása.
Nyissa meg az Windows Azure Active Directory modul Windows PowerShell környezethez alkalmazást.
Futtassa a
$cred=Get-Credential
parancsmagot. Amikor a parancsmag kéri a hitelesítő adatokat, írja be saját felhőszolgáltatásbeli rendszergazdai fiókjának hitelesítő adatait.Futtassa a
Connect-MsolService –Credential $cred
parancsmagot. Ez a parancsmag csatlakoztatja az a felhőalapú szolgáltatás-szolgáltatáshoz. Az a felhőalapú szolgáltatás-szolgáltatáshoz csatlakoztató kontextus létrehozása kötelező az eszköz által telepített bármely más parancsmag futtatása előtt.Futtassa a
Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>
parancsmagot, ahol az <AD FS 2.0 primary server> az elsődleges AD FS 2.0 kiszolgáló belső teljes tartományneve (FQDN). Ez a parancsmag olyan kontextust hoz létre, amely csatlakoztatja az AD FS 2.0-kiszolgálóhoz.Megjegyzés
Ha a Windows Azure Active Directory modul alkalmazást az elsődleges AD FS 2.0 kiszolgálóra telepítette, akkor nem kell futtatnia ezt a parancsmagot.
Futtassa a
Update-MSOLFederatedDomain –DomainName <domain>
parancsmagot. A parancsmag az AD FS 2.0 beállításaival frissíti az a felhőalapú szolgáltatás szolgáltatást, és konfigurálja a kettő közötti megbízhatósági kapcsolatot.
Mit kíván tenni?
AD FS 2.0-kiszolgáló helyreállítása
Abban az esetben, ha meghibásodik az elsődleges kiszolgáló, és nem tudja helyreállítani, az egyik másodlagos kiszolgálót kell elsődlegessé előléptetnie. További tudnivalókért tekintse meg az AD FS 2.0 – az elsődleges összevonási kiszolgáló beállítása egy WID farmban részt.
Megjegyzés
Ha az egyik AD FS 2.0-kiszolgáló meghibásodik, és magas rendelkezésre állású farmkonfigurációt telepített, a felhasználók még mindig hozzáférhetnek az a felhőalapú szolgáltatás szolgáltatásaihoz. Ha a meghibásodott kiszolgáló az elsődleges kiszolgáló, addig semmilyen frissítést sem tud végezni a farmkonfiguráción, amíg egy másik kiszolgálót elsődlegessé nem léptet elő.
Ha a farm minden kiszolgálóját elveszíti, újból létre kell hoznia a megbízhatóságot az alábbi lépésekkel.
Megjegyzés
Ha több legfelső szintű tartomány támogatása is szükséges, például contoso.com és fabrikam.com, használja mindegyik parancsmagot a SupportMultipleDomain kapcsolóval. A SupportMultipleDomain kapcsoló használatakor általában mindegyik tartományon el kell végezni az eljárást. Az AD FS 2.0-kiszolgáló helyreállításához azonban csak a tartományok egyikénél szükséges követni az eljárást, és csak egyszer. A kiszolgáló helyreállítása után az összes többi egyszeri bejelentkezést használó tartomány az a felhőalapú szolgáltatás rendszerhez fog kapcsolódni. További tudnivalókért tekintse meg: Több legfelső szintű tartomány támogatása.
Nyissa meg az Windows Azure Active Directory modul alkalmazást.
Futtassa a
$cred=Get-Credential
parancsmagot. Amikor a parancsmag kéri a hitelesítő adatokat, írja be a saját felhőszolgáltatásbeli rendszergazdai fiókjának hitelesítő adatait.Futtassa a
Connect-MsolService –Credential $cred
parancsmagot. Ez a parancsmag csatlakoztatja az a felhőalapú szolgáltatás-szolgáltatáshoz. Az a felhőalapú szolgáltatás-szolgáltatáshoz csatlakoztató kontextus létrehozása kötelező az eszköz által telepített bármely más parancsmag futtatása előtt.Futtassa a
Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server>
parancsmagot, ahol az <AD FS 2.0 primary server> az elsődleges AD FS 2.0-kiszolgáló belső teljes tartományneve (FQDN). Ez a parancsmag olyan kontextust hoz létre, amely csatlakoztatja az AD FS 2.0-kiszolgálóhoz.Megjegyzés
Ha a Windows Azure Active Directory modul alkalmazást az elsődleges AD FS 2.0 kiszolgálóra telepítette, akkor nem kell futtatnia ezt a parancsmagot.
Futtassa az
Update-MsolFederatedDomain –DomainName <domain>
parancsmagot, ahol a <tartomány> azt a tartományt jelenti, amelynek a tulajdonságait frissíteni kívánja. A parancsmag frissíti a tulajdonságokat, és létrehozza a megbízhatósági kapcsolatot.Futtassa a
Get-MsolFederationProperty –DomainName <domain>
parancsmagot, ahol a <tartomány> azt a tartományt jelenti, amelynek a tulajdonságait meg kívánja tekinteni. Ekkor összehasonlíthatja az elsődleges AD FS 2.0-kiszolgáló és az a felhőalapú szolgáltatás rendszer tulajdonságait, hogy biztosan egyezzenek. Ha nem egyeznek, futtassa ismét azUpdate-MsolFederatedDomain –DomainName <domain>
parancsmagot a tulajdonságok szinkronizálásához.
Lásd még
Fogalmak
Egyszeri bejelentkezés menetrendje
Felkészülés az egyszeri bejelentkezésre
Címtár-szinkronizálási menetrend
A Windows PowerShell telepítése az AD FS 2.0 segítségévelt történő egyszeri bejelentkezéshez
Az egyszeri bejelentkezés hibaelhárítása