Az egyszeri bejelentkezés hitelesítése és kezelése az AD FS 2.0 segítéségével.

  • Cikk

Közzétéve: 2012. június

Hatókör: Office 365, Windows Intune

Megjegyzés

A témakör online súgótartalmat biztosít, mely több felhőalapú Microsoft-szolgáltatáshoz, például a Windows Intune és az Office 365 szolgáltatáshoz is használható.

Rendszergazdaként felügyelheti az egyszeri bejelentkezési (másként: identitás-összevonási) funkciót, azonban előtte be kell állítania. Ehhez nyújtanak segítséget és útmutatást az alábbi cikkek:

Az egyszeri bejelentkezés telepítése után érdemes ellenőrizni, hogy az megfelelő módon működik-e. Emellett számos felügyeleti feladat áll rendelkezésre, amelyeket időnként futtatva biztosíthatja a zavartalan működést.

Mit kíván tenni?

  • Az egyszeri bejelentkezés megfelelő telepítésének ellenőrzése

  • Ütemezett feladat beállítása a Windows Azure AD automatikus frissítésére, amikor a jogkivonat-aláíró tanúsítvány módosul

  • Az egyszeri bejelentkezés kezelése

Az egyszeri bejelentkezés megfelelő telepítésének ellenőrzése

Az egyszeri bejelentkezés megfelelő beállításának ellenőrzéséhez elvégezheti a következő eljárásokat, hogy meggyőződjön arról, valóban be tud-e jelentkezni az a felhőalapú szolgáltatás rendszerbe vállalati hitelesítő adataival: Az egyszeri bejelentkezés tesztelése különböző felhasználási forgatókönyvek esetén és A Microsoft Remote Connectivity Analyzer használata.

Megjegyzés

  • Ha nem hozzáadott, hanem átalakított egy tartományt, az egyszeri bejelentkezés telepítése akár 24 órát is igénybe vehet.

  • Az egyszeri bejelentkezés ellenőrzése előtt végezze el az Active Directory-szinkronizálás telepítését, szinkronizálja a címtárakat és aktiválja a szinkronizált felhasználókat. További információkért lásd: Címtár-szinkronizálási menetrend.

Az egyszeri bejelentkezés megfelelő telepítésének ellenőrzéséhez végezze el az alábbi lépéseket.

  1. Egy tartományhoz csatlakoztatott számítógépről keresse fel a Microsoft Office 365 portált.

  2. Jelentkezzen be ugyanazzal a bejelentkezési névvel, amelyet a vállalati hitelesítő adataihoz használ.

  3. Kattintson a jelszó mezőben. Ha be van állítva az egyszeri bejelentkezés, a jelszómező halványan jelenik meg, és a következő üzenet látható: „Be kell jelentkeznie a(z) <vállalat> webhelyén.”

  4. Kattintson a Bejelentkezés a(z)<vállalat webhelyén> hivatkozásra.

    Ha képes bejelentkezni, akkor az egyszeri bejelentkezés telepítve van.

Az egyszeri bejelentkezés tesztelése különböző felhasználási forgatókönyvek esetén

Miután meggyőződött arról, hogy az egyszeri bejelentkezés beállítása sikeresen befejeződött, ellenőrizze az egyszeri bejelentkezés és az AD FS 2.0 konfigurációjának helyességét az alábbi szituációkban. Kérjen meg néhány felhasználót, hogy próbáljanak hozzáférni az a felhőalapú szolgáltatás szolgáltatásaihoz az alábbi környezetekben futó böngészőikből és asztali alkalmazásaikból (például a Microsoft Office 2010 alkalmazásaiból):

  • Tartományhoz csatlakoztatott számítógép

  • Vállalati hálózaton belüli, de tartományhoz nem csatlakoztatott számítógép

  • Vállalati hálózaton kívülre helyezett, de tartományhoz csatlakoztatott (barangoló) számítógép

  • A vállalatnál használt különböző operációs rendszerek

  • Otthoni számítógép

  • Internetes kioszk (ebben az esetben csak az a felhőalapú szolgáltatás böngészős elérését kell tesztelni)

  • Okostelefon (például egy Microsoft Exchange ActiveSync szolgáltatást használó okostelefonról)

A Microsoft Remote Connectivity Analyzer használata

Az egyszeri bejelentkezés kapcsolatának ellenőrzéséhez a Microsoft Remote Connectivity Analyzer programot használhatja. Kattintson az Office 365 fülre, aztán a Microsoft egyszeri bejelentkezés elemre, majd a Tovább gombra. A teszt elvégzéséhez kövesse a képernyőn megjelenő utasításokat. Az elemző eszköz ellenőrzi, hogy be tud-e jelentkezni a vállalati hitelesítő adataival az a felhőalapú szolgáltatás rendszerbe. Ezenkívül néhány alapvető AD FS 2.0 beállítást is ellenőriz.

Mit kíván tenni?

Ütemezett feladat beállítása a Windows Azure AD automatikus frissítésére, amikor a jogkivonat-aláíró tanúsítvány módosul

Alapértelmezésben az AD FS 2.0 egy új önaláírt jogkivonat-aláíró tanúsítványt hoz létre évente, a tanúsítvány lejárta előtt 20 nappal. A tanúsítványváltás – azaz egy új tanúsítvány létrehozása a meglévő tanúsítvány lejárta előtt, majd annak előléptetése elsődleges tanúsítvánnyá – csak az AD FS 2.0 által generált önaláírt tanúsítványokra alkalmazható eljárás.

A jogkivonat-aláíró tanúsítvány kritikus az összevonási szolgáltatás stabilitása szempontjából. Amennyiben megváltozik, az Windows Azure AD szolgáltatást erről a változásról értesíteni kell. Ellenkező esetben a felhőalapú szolgáltatásnak címzett kérelmek sikertelenek lesznek. Le kell töltenie és konfigurálnia kell a Microsoft Federation Metadata Update Automation Installation eszközt az elsődleges összevonási kiszolgálón vagy bármely más írható összevonási kiszolgálón, amely automatikusan figyelni és rendszeresen frissíteni fogja az Windows Azure AD összevonási metaadatokat, így minden módosítás, amit a jogkivonat-aláíró tanúsítványon végez az AD FS 2.0 összevonási szolgáltatásban, automatikusan replikálódik az Windows Azure AD-ben.

Az eszköz megfelelő futtatása:

  • Legalább egy AD FS 2.0 összevonási szolgáltatás telepítve kell legyen.

  • El kell végezni a következő helyen megadott lépéseket: Megbízhatósági kapcsolat beállítása az AS FS 2.0 és a Windows Azure AD között.

  • Az eszközt az elsődleges összevonási kiszolgálón vagy egy írható összevonási kiszolgálón kell futtatni.

  • Globális rendszergazdai hitelesítő adatokkal kell rendelkeznie az Windows Azure AD bérlőhöz.

    Megjegyzés

    Ha a globális rendszergazdai hitelesítő adatokat nem a „jelszó – nem jár le” beállítással adta meg, futtassa ismét ezt az eszközt az új jelszóval, miután a globális rendszergazdai jelszó lejárt. Ellenkező esetben az ütemezett feladat futtatása sikertelen lesz.

Az eszköz futtatásának lépései:

  1. Töltse le és mentse a Microsoft Federation Metadata Update Automation Installation eszközt a számítógépre.

  2. Indítsa el a rendszergazdai Windows PowerShell modult, majd lépjen abba a könyvtárba, ahova az eszközt másolta.

  3. Amikor erre kérést kap, írja be: .\O365-Fed-MetaData-Update-Task-Installation.ps1, majd nyomja le az ENTER billentyűt.

  4. Amikor erre kérést kap, írja be az összevont tartomány nevét, majd nyomja le az ENTER billentyűt.

  5. Amikor erre kérést kap, írja be a felhasználói azonosító hitelesítő adatait, majd nyomja le az ENTER billentyűt.

  6. Amikor erre kérést kap, írja be a helyi rendszergazda hitelesítő adatait, majd nyomja le az ENTER billentyűt.

Ezen lépések végrehajtása után a parancsprogram egy ütemezett feladatot hoz létre, amely a fentebbi, 6. lépésben megadott helyi rendszergazdai hitelesítő adatokkal fog futni. Az ütemezett feladat naponta egyszer fog futni.

Megjegyzés

Az eszközt a fiókban levő minden összevont tartománynál futtatni kell és jelenleg nem támogat több legfelső szintű tartományt. További tudnivalókért tekintse meg: Több legfelső szintű tartomány támogatása. Ajánlott rendszeresen ellenőrizni az ütemezett feladat megfelelő futását azáltal, hogy ellenőrzi a naplófájl sikeres létrejöttét.

Megjegyzés

A rendszerben beállítható, hogy az AD FS 2.0 mikor állítson elő új önaláírt jogkivonat-aláíró tanúsítványt. Amikor elérkezik a tanúsítványváltás ideje, az AD FS 2.0 a lejáró tanúsítvánnyal azonos névvel, de eltérő titkos kulccsal és ujjlenyomattal rendelkező új tanúsítványt generál. Az új tanúsítvány létrejötte után öt napig másodlagos tanúsítvány marad, majd a rendszer elsődleges tanúsítvánnyá lépteti elő. Az öt nap az alapértelmezett időszak, ez az érték azonban módosítható.

Az egyszeri bejelentkezés kezelése

Vannak egyéb választható vagy időnként elvégzendő feladatok is, amelyek segítségével biztosítható az egyszeri bejelentkezés problémamentes működése.

A szakasz tartalma

  • URL-címek hozzáadása az Internet Explorer Megbízható helyek listájához

  • A felhasználók felhőalapú szolgáltatásba való bejelentkezésének korlátozása

  • Az aktuális beállítások megtekintése

  • A megbízhatósági tulajdonságok frissítése

  • AD FS 2.0-kiszolgáló helyreállítása

URL-címek hozzáadása az Internet Explorer Megbízható helyek listájához

Miután az egyszeri bejelentkezés beállításának részeként felvette vagy átalakította a tartományokat, érdemes felvenni a teljes tartománynevet az AD FS 2.0 kiszolgáló Megbízható helyeinek listájára. Ezzel biztosítja azt, hogy a rendszer ne kérje a felhasználóktól azok jelszavát az AD FS 2.0 kiszolgálóhoz. Ezt a módosítást az ügyfélszámítógépen kell elvégezni. A módosítást úgy is elvégezheti a felhasználók számára, hogy létrehoz egy csoportos házirendet, amely a tartományhoz csatlakoztatott számítógépeken automatikusan a megbízható helyek listához adja ezt az URL-címet. További tudnivalók a Internet Explorer házirend-beállításaiban találhatók.

A felhasználók felhőalapú szolgáltatásba való bejelentkezésének korlátozása

Az AD FS 2.0 lehetővé teszi a rendszergazdáknak a felhasználók hozzáférését engedélyező és megtagadó egyéni szabályok kialakítását. Az egyszeri bejelentkezés esetén az egyéni szabályokat az a felhőalapú szolgáltatás rendszerhez társított függő entitáson alapuló megbízhatósági kapcsolatra kell alkalmazni. A listát az egyszeri bejelentkezés beállításakor, a Windows PowerShell alrendszerbeli parancsmagok futtatásakor hozta létre.

További információkért arról, hogy miként korlátozható a felhasználók bejelentkezése a szolgáltatásokba, tekintse meg a következőt: Szabály létrehozása a felhasználók engedélyezéséhez vagy elutasításához a beérkező igénylések alapján. További információkat a parancsmagok futtatásáról az egyszeri bejelentkezés beállításához, tekintse meg a következőt: A Windows PowerShell telepítése az AD FS 2.0 segítségévelt történő egyszeri bejelentkezéshez.

Az aktuális beállítások megtekintése

Ha bármikor meg szeretné tekinteni az AD FS 2.0 kiszolgálót és az a felhőalapú szolgáltatás beállításokat, nyissa meg a Windows Azure Active Directory modul Windows PowerShell környezethez és futtassa a Connect-MSOLService, majd a Get-MSOLFederationProperty –DomainName <domain> parancsmagot. Ezzel ellenőrizheti, hogy az AD FS 2.0-kiszolgáló beállításai megfelelnek-e az a felhőalapú szolgáltatás beállításainak. Ha a beállítások nem egyeznek, futtathatja a Update-MsolFederatedDomain –DomainName <domain> parancsmagot. További információk a következő, „A megbízhatósági tulajdonságok frissítése” című részben olvashatók.

Megjegyzés

Ha több legfelső szintű tartomány támogatása is szükséges, például contoso.com és fabrikam.com, használja mindegyik parancsmagot a SupportMultipleDomain kapcsolóval. További tudnivalókért tekintse meg: Több legfelső szintű tartomány támogatása.

Mit kíván tenni?

A megbízhatósági tulajdonságok frissítése

Az alábbi események bekövetkeztekor frissítenie kell az egyszeri bejelentkezési megbízhatósági kapcsolatok tulajdonságait az a felhőalapú szolgáltatás szolgáltatásban:

  • Az URL-cím módosul: ha módosítja az AD FS 2.0 kiszolgálójának URL-címét, frissítenie kell a megbízhatósági kapcsolat tulajdonságait.

  • az elsődleges jogkivonat-aláíró tanúsítvány megváltozott: Az elsődleges jogkivonat-aláíró tanúsítvány módosítása a 334-es vagy 335-ös azonosítójú eseményt indítja el az AD FS 2.0 kiszolgáló Eseménynaplójában. Javasoljuk, rendszeresen ellenőrizze az eseménynaplót, legalább hetente.

    Az AD FS 2.0 kiszolgálóján bejegyzett események megtekintése:

    1. Kattintson a Start menü Vezérlőpult parancsára. A Kategória nézetben kattintson a Rendszer és biztonság kategóriára, majd válassza a Felügyeleti eszközök lehetőséget, végül kattintson az Eseménynapló parancsra.

    2. Az AD FS 2.0 eseményeinek megtekintéséhez az Eseménynapló bal oldali ablaktáblájában kattintson az Alkalmazás- és szolgáltatásnaplók, aztán az AD FS 2.0 csomópontra, majd a Felügyelet lehetőségre.

  • a jogkivonat-aláíró tanúsítvány évente lejár: A jogkivonat-aláíró tanúsítvány kritikus az összevonási szolgáltatás stabilitása szempontjából. Amennyiben megváltozik, a Windows Azure AD szolgáltatást erről a változásról értesíteni kell. Ellenkező esetben a felhőalapú szolgáltatásnak címzett kérelmek sikertelenek lesznek.

    Kövesse a témakör fentebbi, Ütemezett feladat beállítása szakaszban megadott lépéseket, amelyek végigvezetik a Microsoft Federation Metadata Update Automation Installation eszköz letöltésének és konfigurálásának lépésein. Ez az eszköz automatikusan és rendszeresen figyelni és frissíteni fogja az Windows Azure AD összevonási metaadatokat, így a jogkivonat-aláíró tanúsítvány bármilyen módosítása az AD FS 2.0 szolgáltatásban automatikusan replikálódik az Windows Azure AD szolgáltatásban.

A megbízhatósági kapcsolat tulajdonságainak manuális frissítéséhez kövesse az alábbi lépéseket.

Megjegyzés

Ha több legfelső szintű tartomány támogatása is szükséges, például contoso.com és fabrikam.com, használja mindegyik parancsmagot a SupportMultipleDomain kapcsolóval. További tudnivalókért tekintse meg: Több legfelső szintű tartomány támogatása.

  1. Nyissa meg az Windows Azure Active Directory modul Windows PowerShell környezethez alkalmazást.

  2. Futtassa a $cred=Get-Credential parancsmagot. Amikor a parancsmag kéri a hitelesítő adatokat, írja be saját felhőszolgáltatásbeli rendszergazdai fiókjának hitelesítő adatait.

  3. Futtassa a Connect-MsolService –Credential $cred parancsmagot. Ez a parancsmag csatlakoztatja az a felhőalapú szolgáltatás-szolgáltatáshoz. Az a felhőalapú szolgáltatás-szolgáltatáshoz csatlakoztató kontextus létrehozása kötelező az eszköz által telepített bármely más parancsmag futtatása előtt.

  4. Futtassa a Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server> parancsmagot, ahol az <AD FS 2.0 primary server> az elsődleges AD FS 2.0 kiszolgáló belső teljes tartományneve (FQDN). Ez a parancsmag olyan kontextust hoz létre, amely csatlakoztatja az AD FS 2.0-kiszolgálóhoz.

    Megjegyzés

    Ha a Windows Azure Active Directory modul alkalmazást az elsődleges AD FS 2.0 kiszolgálóra telepítette, akkor nem kell futtatnia ezt a parancsmagot.

  5. Futtassa a Update-MSOLFederatedDomain –DomainName <domain> parancsmagot. A parancsmag az AD FS 2.0 beállításaival frissíti az a felhőalapú szolgáltatás szolgáltatást, és konfigurálja a kettő közötti megbízhatósági kapcsolatot.

Mit kíván tenni?

AD FS 2.0-kiszolgáló helyreállítása

Abban az esetben, ha meghibásodik az elsődleges kiszolgáló, és nem tudja helyreállítani, az egyik másodlagos kiszolgálót kell elsődlegessé előléptetnie. További tudnivalókért tekintse meg az AD FS 2.0 – az elsődleges összevonási kiszolgáló beállítása egy WID farmban részt.

Megjegyzés

Ha az egyik AD FS 2.0-kiszolgáló meghibásodik, és magas rendelkezésre állású farmkonfigurációt telepített, a felhasználók még mindig hozzáférhetnek az a felhőalapú szolgáltatás szolgáltatásaihoz. Ha a meghibásodott kiszolgáló az elsődleges kiszolgáló, addig semmilyen frissítést sem tud végezni a farmkonfiguráción, amíg egy másik kiszolgálót elsődlegessé nem léptet elő.

Ha a farm minden kiszolgálóját elveszíti, újból létre kell hoznia a megbízhatóságot az alábbi lépésekkel.

Megjegyzés

Ha több legfelső szintű tartomány támogatása is szükséges, például contoso.com és fabrikam.com, használja mindegyik parancsmagot a SupportMultipleDomain kapcsolóval. A SupportMultipleDomain kapcsoló használatakor általában mindegyik tartományon el kell végezni az eljárást. Az AD FS 2.0-kiszolgáló helyreállításához azonban csak a tartományok egyikénél szükséges követni az eljárást, és csak egyszer. A kiszolgáló helyreállítása után az összes többi egyszeri bejelentkezést használó tartomány az a felhőalapú szolgáltatás rendszerhez fog kapcsolódni. További tudnivalókért tekintse meg: Több legfelső szintű tartomány támogatása.

  1. Nyissa meg az Windows Azure Active Directory modul alkalmazást.

  2. Futtassa a $cred=Get-Credential parancsmagot. Amikor a parancsmag kéri a hitelesítő adatokat, írja be a saját felhőszolgáltatásbeli rendszergazdai fiókjának hitelesítő adatait.

  3. Futtassa a Connect-MsolService –Credential $cred parancsmagot. Ez a parancsmag csatlakoztatja az a felhőalapú szolgáltatás-szolgáltatáshoz. Az a felhőalapú szolgáltatás-szolgáltatáshoz csatlakoztató kontextus létrehozása kötelező az eszköz által telepített bármely más parancsmag futtatása előtt.

  4. Futtassa a Set-MSOLAdfscontext -Computer <AD FS 2.0 primary server> parancsmagot, ahol az <AD FS 2.0 primary server> az elsődleges AD FS 2.0-kiszolgáló belső teljes tartományneve (FQDN). Ez a parancsmag olyan kontextust hoz létre, amely csatlakoztatja az AD FS 2.0-kiszolgálóhoz.

    Megjegyzés

    Ha a Windows Azure Active Directory modul alkalmazást az elsődleges AD FS 2.0 kiszolgálóra telepítette, akkor nem kell futtatnia ezt a parancsmagot.

  5. Futtassa az Update-MsolFederatedDomain –DomainName <domain> parancsmagot, ahol a <tartomány> azt a tartományt jelenti, amelynek a tulajdonságait frissíteni kívánja. A parancsmag frissíti a tulajdonságokat, és létrehozza a megbízhatósági kapcsolatot.

  6. Futtassa a Get-MsolFederationProperty –DomainName <domain> parancsmagot, ahol a <tartomány> azt a tartományt jelenti, amelynek a tulajdonságait meg kívánja tekinteni. Ekkor összehasonlíthatja az elsődleges AD FS 2.0-kiszolgáló és az a felhőalapú szolgáltatás rendszer tulajdonságait, hogy biztosan egyezzenek. Ha nem egyeznek, futtassa ismét az Update-MsolFederatedDomain –DomainName <domain> parancsmagot a tulajdonságok szinkronizálásához.

Lásd még

Fogalmak

Egyszeri bejelentkezés menetrendje
Felkészülés az egyszeri bejelentkezésre
Címtár-szinkronizálási menetrend
A Windows PowerShell telepítése az AD FS 2.0 segítségévelt történő egyszeri bejelentkezéshez
Az egyszeri bejelentkezés hibaelhárítása

Egyéb források

Plan for and deploy AD FS 2.0 for use with single sign-on