Configurare una relazione di trust tra Shibboleth e Azure AD

  • Articolo

Aggiornamento: 25 giugno 2015

Si applica a: Azure, Office 365, Power BI, Windows Intune

I domini di Azure AD vengono federati usando il modulo Microsoft Azure Active Directory per Windows PowerShell. Questo argomento verrà usato per eseguire una serie di cmdlet nell'interfaccia della riga di comando Windows PowerShell per aggiungere o convertire domini per l'accesso Single Sign-On.

Importante

Prima di completare le istruzioni in questo argomento, è necessario esaminare e completare i passaggi descritti in Installare Windows PowerShell per l'accesso Single Sign-On con Shibboleth.

Ogni dominio Active Directory di cui si desidera attuare la federazione utilizzando Shibboleth deve essere aggiunto come dominio Single Sign-On o convertito da dominio standard in dominio Single Sign-On. L'aggiunta o la conversione di un dominio comporta la configurazione di una relazione di trust tra il provider di identità Shibboleth e Azure Active Directory.

Nella procedura descritta di seguito viene illustrato come convertire un dominio standard esistente in un dominio federato.

  1. Aprire il modulo Microsoft Azure Active Directory.

  2. Eseguire $cred=Get-Credential. Alla richiesta delle credenziali, digitare quelle dell'account amministratore di servizi cloud.

  3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet si connette ad Azure AD. La creazione di un contesto che si connette ad Azure AD è necessaria prima di eseguire uno qualsiasi dei cmdlet aggiuntivi installati dallo strumento.

  4. Eseguire i comandi riportati di seguito per convertire un dominio esistente (in questo esempio mail.contoso.com) in dominio Single Sign-On:

    $dom = "mail.contoso.com”
$url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
$ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
$uri = "https://idp.contoso.com/idp/shibboleth"
$logouturl = "https://idp.contoso.com/logout/" 
$cert = "MIIFYzCCBEugAw...2tLRtyN"

Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

    Nota

    Eseguire $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP solo se è stata configurata l'estensione ECP del provider di identità Shibboleth. Benché sia un passaggio facoltativo, è consigliabile installare l'estensione ECP del provider di identità Shibboleth per garantire il funzionamento di Single Sign-On con smartphone, Microsoft Outlook o altri client. Per altre informazioni, vedere "Facoltativo: Installare l'estensione Shibboleth ECP" in Configurare Shibboleth per l'uso con l'accesso Single Sign-On.

Vedere anche

Concetti

Installare Windows PowerShell per l'accesso Single Sign-On con Shibboleth
Utilizzo del provider di identità Shibboleth per l'implementazione di Single Sign-On