Shibboleth と Windows Azure AD の信頼関係を設定する
更新日: 2015 年 6 月 25 日
適用対象: Azure、Office 365、Power BI、Windows Intune
Azure AD ドメインは、Windows PowerShell用のMicrosoft Azure Active Directory モジュールを使用してフェデレーションされます。 このトピックを使用して、Windows PowerShell コマンド ライン インターフェイスで一連のコマンドレットを実行し、シングル サインオン用のドメインを追加または変換します。
重要
このトピックの手順を完了するには、「Shibboleth でのシングル サインオンのWindows PowerShellのインストール」の手順を確認して完了する必要があります。
Shibboleth を使用してフェデレーションを実行する各 Active Directory ドメインは、シングル サインオン ドメインとして追加するか、標準ドメインからシングル サインオン ドメインに変換する必要があります。 ドメインを追加または変換すると、Shibboleth Identity Provider と Azure Active Directory の間に信頼が設定されます。
次の手順では、既存の標準ドメインをフェデレーション済みドメインに変換する方法について説明します。
Microsoft Azure Active Directory モジュールを開きます。
$cred=Get-Credentialを実行します。 このコマンドレットによって資格情報の入力が求められたら、クラウド サービスの管理アカウントの資格情報を入力します。Connect-MsolService –Credential $credを実行します。 このコマンドレットは、Azure AD に接続します。 ツールによってインストールされた追加のコマンドレットのいずれかを実行する前に、Azure AD に接続するコンテキストを作成する必要があります。次のコマンドを実行して、既存のドメイン (この例では mail.contoso.com) をシングル サインオン用に変換します。
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP注意
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECPを実行する必要があるのは、Shibboleth Identity Provider ECP 拡張機能を設定している場合のみです。 必須ではありませんが、シングル サインオンをスマートフォン、Microsoft Outlook、その他のクライアントで使用できるように、Shibboleth Identity Provider ECP 拡張機能をインストールすることをお勧めします。 詳細については、「シングル サインオンで使用するように Shibboleth を構成する」の「オプション: Shibboleth ECP 拡張機能をインストールする」を参照してください。
参照
概念
Shibboleth でのシングル サインオンのために Windows PowerShell をインストールする
Shibboleth ID プロバイダーを使用してシングル サインオンを実装する