Megbízhatósági kapcsolat beállítása a Shibboleth és a Windows Azure AD között

  • Cikk

Közzétéve: 2012. június

Hatókör: Office 365, Windows Azure Active Directory, Windows Intune

Megjegyzés

A témakör online súgótartalmat biztosít, mely több felhőalapú Microsoft-szolgáltatáshoz, például a Windows Intune és az Office 365 szolgáltatáshoz is használható.

A Windows Azure AD-tartományok összevonásához a Microsoft Online Services modul használható. A Microsoft Online Services modul használatával parancsmagok sorát futtathatja a Windows PowerShell parancssori felületén a tartományok egyszeri bejelentkezéshez történő hozzáadásához vagy konvertálásához.

Fontos

Mielőtt elvégezhetné az ebben a témakörben szereplő utasításokat, át kell tekintenie, és el kell végeznie a Windows PowerShell telepítése a Shibboleth használatával végzett egyszeri bejelentkezéshez témakörben szereplő lépéseket.

A Shibboleth használatával összevonni kívánt Active Directory-tartományokat egyszeri bejelentkezési tartományként kell hozzáadnia, vagy normál tartományból át kell alakítania egyszeri bejelentkezési tartománnyá. Tartomány hozzáadása vagy konvertálása bizalmi kapcsolatot hoz létre a Shibboleth Identity Provider és a Windows Azure Active Directory között.

A következő eljárás végigvezeti a meglévő normál tartományok összevont tartománnyá konvertálásának folyamatán.

  1. Nyissa meg az Windows Azure Active Directory modul alkalmazást.

  2. Futtassa a $cred=Get-Credential parancsmagot. Amikor a parancsmag kéri a hitelesítő adatokat, írja be a saját felhőszolgáltatásbeli rendszergazdai fiókjának hitelesítő adatait.

  3. Futtassa a Connect-MsolService –Credential $cred parancsmagot. Ez a parancsmag csatlakoztatja az a felhőalapú szolgáltatás-szolgáltatáshoz. Az a felhőalapú szolgáltatás-szolgáltatáshoz csatlakoztató kontextus létrehozása kötelező az eszköz által telepített bármely más parancsmag futtatása előtt.

  4. Futtassa a következő parancsokat a meglévő tartomány (ebben a példában a mail.contoso.com) egyszeri bejelentkezési tartománnyá konvertálásához:

    $dom = "mail.contoso.com”
$url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
$ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
$uri = "https://idp.contoso.com/idp/shibboleth"
$logouturl = "https://idp.contoso.com/logout/" 
$cert = "MIIFYzCCBEugAw...2tLRtyN"

Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

    Megjegyzés

    Az $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP parancs futtatására csak akkor van szükség, ha telepítette a Shibboleth Identity Provider ECP kiterjesztését. Bár nem kötelező lépés, javasolt telepíteni a Shibboleth Identity Provider ECP kiterjesztését ahhoz, hogy az egyszeres bejelentkezés működjön okostelefonokkal, a Microsoft Outlookkal és egyéb ügyfélprogramokkal. További információkért lásd a „Nem kötelező lépés: A Shibboleth ECP kiterjesztés telepítése” szakaszt a következő témakörben: Shibboleth konfigurálása az egyszeri bejelentkezéshez.

Lásd még

Fogalmak

Windows PowerShell telepítése a Shibboleth használatával végzett egyszeri bejelentkezéshez
a Shibboleth identitásszolgáltató használata az egyszeri bejelentkezés megvalósításához