Megbízhatósági kapcsolat beállítása a Shibboleth és a Windows Azure AD között
Közzétéve: 2012. június
Hatókör: Office 365, Windows Azure Active Directory, Windows Intune
Megjegyzés
A témakör online súgótartalmat biztosít, mely több felhőalapú Microsoft-szolgáltatáshoz, például a Windows Intune és az Office 365 szolgáltatáshoz is használható.
A Windows Azure AD-tartományok összevonásához a Microsoft Online Services modul használható. A Microsoft Online Services modul használatával parancsmagok sorát futtathatja a Windows PowerShell parancssori felületén a tartományok egyszeri bejelentkezéshez történő hozzáadásához vagy konvertálásához.
Fontos
Mielőtt elvégezhetné az ebben a témakörben szereplő utasításokat, át kell tekintenie, és el kell végeznie a Windows PowerShell telepítése a Shibboleth használatával végzett egyszeri bejelentkezéshez témakörben szereplő lépéseket.
A Shibboleth használatával összevonni kívánt Active Directory-tartományokat egyszeri bejelentkezési tartományként kell hozzáadnia, vagy normál tartományból át kell alakítania egyszeri bejelentkezési tartománnyá. Tartomány hozzáadása vagy konvertálása bizalmi kapcsolatot hoz létre a Shibboleth Identity Provider és a Windows Azure Active Directory között.
A következő eljárás végigvezeti a meglévő normál tartományok összevont tartománnyá konvertálásának folyamatán.
Nyissa meg az Windows Azure Active Directory modul alkalmazást.
Futtassa a
$cred=Get-Credential
parancsmagot. Amikor a parancsmag kéri a hitelesítő adatokat, írja be a saját felhőszolgáltatásbeli rendszergazdai fiókjának hitelesítő adatait.Futtassa a
Connect-MsolService –Credential $cred
parancsmagot. Ez a parancsmag csatlakoztatja az a felhőalapú szolgáltatás-szolgáltatáshoz. Az a felhőalapú szolgáltatás-szolgáltatáshoz csatlakoztató kontextus létrehozása kötelező az eszköz által telepített bármely más parancsmag futtatása előtt.Futtassa a következő parancsokat a meglévő tartomány (ebben a példában a mail.contoso.com) egyszeri bejelentkezési tartománnyá konvertálásához:
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
Megjegyzés
Az
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP
parancs futtatására csak akkor van szükség, ha telepítette a Shibboleth Identity Provider ECP kiterjesztését. Bár nem kötelező lépés, javasolt telepíteni a Shibboleth Identity Provider ECP kiterjesztését ahhoz, hogy az egyszeres bejelentkezés működjön okostelefonokkal, a Microsoft Outlookkal és egyéb ügyfélprogramokkal. További információkért lásd a „Nem kötelező lépés: A Shibboleth ECP kiterjesztés telepítése” szakaszt a következő témakörben: Shibboleth konfigurálása az egyszeri bejelentkezéshez.
Lásd még
Fogalmak
Windows PowerShell telepítése a Shibboleth használatával végzett egyszeri bejelentkezéshez
a Shibboleth identitásszolgáltató használata az egyszeri bejelentkezés megvalósításához