Megbízhatósági kapcsolat beállítása az AS FS 2.0 és a Windows Azure AD között

  • Cikk

Közzétéve: 2012. június

Hatókör: Office 365, Windows Azure Active Directory, Windows Intune

Az összevonni kívánt tartományokat egyszeri bejelentkezési tartományként kell létrehoznia, vagy normál tartományból át kell alakítania egyszeri bejelentkezési tartománnyá. Tartomány hozzáadása vagy konvertálása megbízhatósági kapcsolatot hoz létre az AD FS 2.0 és az Windows Azure Active Directory között.

Fontos

  • Ha a felső szintű tartomány (például contoso.com) mellett altartományt (például vallalati.contoso.com) is használ, a felső szintű tartományt az altartományok felvétele előtt kell felvennie az a felhőalapú szolgáltatás szolgáltatásba. A felső szintű tartomány egyszeri bejelentkezéshez szükséges beállítása során a rendszer az altartományokat is automatikusan beállítja.

  • A megbízhatósági kapcsolat beállítását csak egyszer kell elvégezni, később már nem kell futtatnia az Windows Azure Active Directory modul alkalmazást, ha több AD FS 2.0-kiszolgálót is hozzáad a kiszolgálófarmhoz.

  • Ha a Windows Azure Active Directory modul eszköz segítségével vett fel és hitelesített egy tartományt, akkor még számos további beállítást kell megadni az a felhőalapú szolgáltatás-szolgáltatásban. Ezekre a beállításokra azért van szükség, hogy látni lehessen a DNS-bejegyzéseket, amelyeket annak érdekében kell konfigurálni, hogy a tartomány működjön az a felhőalapú szolgáltatás-szolgáltatásokkal.

Ha több legfelső szintű tartomány támogatása is szükséges, használja a SupportMultipleDomain kapcsolót minden parancsmaggal, például a „Tartomány hozzáadása” vagy a „Tartomány átalakítása” eljárások során használt parancsmagokkal.

Ha például a contoso.com és a fabrikam.com tartományokat is szeretné egyszeri bejelentkezési tartományként felvenni, kövesse a „Tartomány hozzáadása” eljárás lépéseit a contoso.com tartománynál, és használja a SupportMultipleDomain kapcsolót minden parancsmaggal rendelkező lépésnél. Az 5. lépésnél tehát a következőt fogja használni: New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Miután elvégezte a contoso.com tartománynál az eljárás összes lépését, ismételje meg az eljárást a fabrikam.com tartománynál is. Az 5. lépésnél a következőt fogja használni: New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

További tudnivalókért tekintse meg: Több legfelső szintű tartomány támogatása.

Az összevont megbízhatósági kapcsolat létrehozásához a Windows Azure AD szolgáltatásban végezze el az alábbi eljárások egyikét, attól függően, hogy új tartományt kell hozzáadnia vagy egy meglévőt átalakítania.

  • Tartomány hozzáadása

  • Tartomány átalakítása

Tartomány hozzáadása

  1. Nyissa meg az Windows Azure Active Directory modul alkalmazást.

  2. Futtassa a $cred=Get-Credential parancsmagot. Amikor a parancsmag kéri a hitelesítő adatokat, írja be a saját felhőszolgáltatásbeli rendszergazdai fiókjának hitelesítő adatait.

  3. Futtassa a Connect-MsolService –Credential $cred parancsmagot. Ez a parancsmag csatlakoztatja az a felhőalapú szolgáltatás-szolgáltatáshoz. Az a felhőalapú szolgáltatás-szolgáltatáshoz csatlakoztató kontextus létrehozása kötelező az eszköz által telepített bármely más parancsmag futtatása előtt.

  4. Futtassa a Set-MsolAdfscontext -Computer <AD FS 2.0 primary server> parancsmagot, ahol az <AD FS 2.0 primary server> az elsődleges AD FS 2.0-kiszolgáló belső teljes tartományneve (FQDN). Ez a parancsmag olyan kontextust hoz létre, amely csatlakoztatja az AD FS 2.0-kiszolgálóhoz.

    Megjegyzés

    Ha a Windows Azure Active Directory modul alkalmazást az elsődleges AD FS 2.0 kiszolgálóra telepítette, akkor nem kell futtatnia ezt a parancsmagot.

  5. Futtassa a New-MsolFederatedDomain –DomainName <domain> parancsmagot, ahol a <domain> az egyszeri bejelentkezéshez hozzáadni és engedélyezni kívánt tartomány. Ez a parancsmag egy olyan legfelső szintű tartományt vagy altartományt vesz fel, amely az összevont hitelesítéshez lesz konfigurálva.

    Megjegyzés

    Ha már használta a New-MsolFederatedDomain parancsmagot legfelső szintű tartomány hozzáadásához, a New-MsolDomain parancsmagot már nem tudja használni sztenderd (nem összevont) tartományok hozzáadásához.

  6. A New-MsolFederatedDomain parancsmag futtatása után kapott információk birtokában lépjen kapcsolatba a tartományregisztrálójával a szükséges DNS-rekord létrehozása érdekében. Ezzel igazolható a tartomány tulajdonjoga. Ne feledje, hogy a tartományregisztrálótól függően ennek a propagálása akár 15 percet is igénybe vehet. A módosítások rendszerben való propagálódása akár 72 órába is telhet. További információkért lásd: Tartomány hitelesítése bármely tartománynév-regisztrálónál.

  7. A folyamat befejezéséhez ugyanazon tartománynév megadásával, futtassa még egyszer a New-MsolFederatedDomain parancsmagot.

Tartomány átalakítása

A tartomány egyszeri bejelentkezési tartománnyá alakításával egy időben minden licenccel rendelkező felhasználó összevonási felhasználóvá válik, és ettől kezdve a meglévő Active Directory címtárbeli vállalati hitelesítő adataikkal (felhasználónév és jelszó) férhetnek hozzá az a felhőalapú szolgáltatás szolgáltatáshoz. Az egyszeri bejelentkezés szakaszokra bontott bevezetése jelenleg nem lehetséges; azonban kipróbálhatja az egyszeri bejelentkezést az éles környezet Active Directory-erdőjében definiált éles felhasználók egy csoportjával. Erről bővebben az Egyszeri bejelentkezés próbatelepítése tesztelés céljából (választható) szakaszban olvashat.

Megjegyzés

Az átalakítást akkor a legjobb elvégezni, amikor a legkevesebben használják a szolgáltatást, például hétvégén, hogy minél kisebb hatással legyen a felhasználókra.

Meglévő tartomány egyszeri bejelentkezésű tartománnyá alakításához kövesse az alább lépéseket.

  1. Nyissa meg az Windows Azure Active Directory modul alkalmazást.

  2. Futtassa a $cred=Get-Credential parancsmagot. Amikor a parancsmag kéri a hitelesítő adatokat, írja be a saját felhőszolgáltatásbeli rendszergazdai fiókjának hitelesítő adatait.

  3. Futtassa a Connect-MsolService –Credential $cred parancsmagot. Ez a parancsmag csatlakoztatja az a felhőalapú szolgáltatás-szolgáltatáshoz. Az a felhőalapú szolgáltatás-szolgáltatáshoz csatlakoztató kontextus létrehozása kötelező az eszköz által telepített bármely más parancsmag futtatása előtt.

  4. Futtassa a Set-MsolAdfscontext -Computer <AD FS 2.0 primary server> parancsmagot, ahol az <AD FS 2.0 primary server> az elsődleges AD FS 2.0-kiszolgáló belső teljes tartományneve (FQDN). Ez a parancsmag olyan kontextust hoz létre, amely csatlakoztatja az AD FS 2.0-kiszolgálóhoz.

    Megjegyzés

    Ha a Windows Azure Active Directory modul alkalmazást az elsődleges AD FS 2.0 kiszolgálóra telepítette, akkor nem kell futtatnia ezt a parancsmagot.

  5. Futtassa a Convert-MsolDomainToFederated –DomainName <domain> parancsmagot, ahol a <domain> az átalakítani kívánt tartomány. A parancsmag a tartományt normál hitelesítésűről egyszeri bejelentkezési tartománnyá alakítja.

Megjegyzés

Az átalakítás sikerességének ellenőrzéséhez hasonlítsa össze az AD FS 2.0-kiszolgáló és az a felhőalapú szolgáltatás rendszer beállításait a Get-MsolFederationProperty –DomainName <domain> parancsmag futtatásával, ahol a <domain> az a tartomány, amelynek a beállításait szeretné megtekinteni. Ha nem egyeznek, futtathatja az Update-MsolFederatedDomain –DomainName <domain> parancsmagot a beállítások szinkronizálásához.

Következő lépés

Most, hogy telepítette a modult, és beállította az egyszeri bejelentkezéshez szükséges összevont megbízhatósági kapcsolatot, be kell állítania az Active Directory-szinkronizálást is. További információkért lásd: Címtár-szinkronizálási menetrend. Az Active Directory-szinkronizálás beállítása után olvassa el Az egyszeri bejelentkezés hitelesítése és kezelése az AD FS 2.0 segítéségével. című szakaszt.

Lásd még

Fogalmak

Egyszeri bejelentkezés menetrendje
Felkészülés az egyszeri bejelentkezésre
A Windows PowerShell telepítése az AD FS 2.0 segítségévelt történő egyszeri bejelentkezéshez

Egyéb források

Plan for and deploy AD FS 2.0 for use with single sign-on