Vertrouwensrelatie instellen tussen AD FS 2.0 en Windows Azure AD

  • Artikel

Gepubliceerd: juni 2012

Van toepassing op: Office 365, Windows Azure Active Directory, Windows Intune

Elk federatief domein dat u wilt maken, moet worden toegevoegd als een domein met eenmalige aanmelding of moet van een standaarddomein worden omgezet in een domein met eenmalige aanmelding. Door een domein toe te voegen of om te zetten, stelt u een vertrouwensrelatie in tussen AD FS 2.0 en Windows Azure Active Directory.

Belangrijk

  • Als u naast het topleveldomein (bijvoorbeeld contoso.com) een subdomein (bijvoorbeeld corp.contoso.com) gebruikt, moet u het topleveldomein in de cloud service toevoegen voordat u subdomeinen toevoegt. Wanneer het topleveldomein is ingesteld voor eenmalige aanmelding, worden alle subdomeinen automatisch ook ingesteld.

  • U hoeft een vertrouwensrelatie slechts één keer in te stellen. U hoeft het Windows Azure Active Directory-module niet opnieuw uit te voeren wanneer u extra AD FS 2.0-servers toevoegt aan uw serverfarm.

  • Als u een domein toevoegt en verifieert met het Windows Azure Active Directory-module, moet u meerdere extra instellingen opgeven in de cloud service. Deze instellingen zijn vereist om de DNS-records zichtbaar te maken die u moet configureren zodat uw domein goed werkt met de cloud service-services.

Als u meerdere topleveldomeinen moet ondersteunen, gebruikt u de SupportMultipleDomain-schakeloptie met cmdlets, zoals de cmdlets die worden gebruikt in de procedures voor het toevoegen of het omzetten van een domein.

Als u bijvoorbeeld zowel contoso.com als fabrikam.com wilt toevoegen als domeinen met eenmalige aanmelding, voltooit u de procedure voor het toevoegen van een domein voor contoso.com, en gebruikt u hierbij de SupportMultipleDomain-schakeloptie in elke stap die een cmdlet heeft. Zo gebruikt u voor stap 5 bijvoorbeeld New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Nadat u alle stappen in de procedure voor contoso.com hebt voltooid, herhaalt u de procedure voor het domein fabrikam.com. Zo gebruikt u voor stap 5 bijvoorbeeld New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Zie Ondersteuning voor meerdere topleveldomeinen voor meer informatie.

Voltooi een van de volgende procedures om uw federatieve vertrouwensrelatie in te stellen met Windows Azure AD , hetzij om een nieuw domein toe te voegen hetzij om een bestaand domein om te zetten.

  • Domein toevoegen

  • Domein converteren

Domein toevoegen

  1. Open het Windows Azure Active Directory-module.

  2. Voer $cred=Get-Credential uit. Wanneer u door de cmdlet om referenties wordt gevraagd, typt u de referenties voor het beheerdersaccount van de cloudservice.

  3. Voer Connect-MsolService –Credential $cred uit. Deze cmdlet verbindt u met de cloud service. Voordat u extra cmdlets kunt uitvoeren die door het hulpprogramma zijn geïnstalleerd, moet u een context maken die u verbindt met de cloud service.

  4. Voer Set-MsolAdfscontext -Computer <AD FS 2.0 primary server> uit. Hierbij is <AD FS 2.0 primary server> de interne FQDN-naam van de primaire AD FS 2.0-server. Deze cmdlet maakt een context die u verbindt met AD FS 2.0.

    Notitie

    Als u het Windows Azure Active Directory-module hebt geïnstalleerd op de primaire AD FS 2.0-server, hoeft u deze cmdlet niet uit te voeren.

  5. Voer New-MsolFederatedDomain –DomainName <domain> uit. Hierbij is <domain> het domein dat moet worden toegevoegd en ingeschakeld voor eenmalige aanmelding. Deze cmdlet voegt een nieuw topleveldomein of subdomein toe dat wordt geconfigureerd voor federatieve verificatie.

    Notitie

    Nadat u met de New-MsolFederatedDomain-cmdlet een topleveldomein hebt toegevoegd, kunt u de New-MsolDomain-cmdlet niet gebruiken om (niet-federatieve) standaarddomeinen toe te voegen.

  6. Neem contact op met uw domeinregistrar om de vereiste DNS-record te maken en maak hierbij gebruik van de informatie in de resultaten van de New-MsolFederatedDomain-cmdlet. Hiermee wordt bevestigd dat u de eigenaar van het domein bent. Afhankelijk van uw registrar kan het tot 15 minuten duren om de informatie door te voeren. Het kan tot 72 uur duren om wijzigingen door te geven via het systeem. Zie Een domein verifiëren bij een domeinnaamregistrar voor meer informatie.

  7. Voer New-MsolFederatedDomain een tweede keer uit en geef dezelfde domeinnaam op om het proces te voltooien.

Domein converteren

Wanneer u een bestaand domein omzet in een domein met eenmalige aanmelding, wordt elke gelicentieerde gebruiker een federatieve gebruiker en kunnen zij hun bestaande Active Directory-bedrijfsreferenties (gebruikersnaam en wachtwoord) gebruiken voor toegang tot de cloud service. Een gefaseerde rollout van eenmalige aanmelding is momenteel niet mogelijk. U kunt echter wel een proef voor eenmalige aanmelding implementeren voor een set productiegebruikers uit uw Active Directory-productieforest. Zie Proef uitvoeren om eenmalige aanmelding te testen voordat u deze instelt (optioneel) voor meer informatie.

Notitie

U wordt aanbevolen de omzetting uit te voeren wanneer er zo weinig mogelijk gebruikers zijn, bijvoorbeeld tijdens het weekend, zodat uw gebruikers zo weinig mogelijk hinder ondervinden.

Als u een bestaand domein wilt omzetten in een domein met eenmalige aanmelding, voltooit u deze stappen.

  1. Open het Windows Azure Active Directory-module.

  2. Voer $cred=Get-Credential uit. Wanneer u door de cmdlet om referenties wordt gevraagd, typt u de referenties voor het beheerdersaccount van de cloudservice.

  3. Voer Connect-MsolService –Credential $cred uit. Deze cmdlet verbindt u met de cloud service. Voordat u extra cmdlets kunt uitvoeren die door het hulpprogramma zijn geïnstalleerd, moet u een context maken die u verbindt met de cloud service.

  4. Voer Set-MsolAdfscontext -Computer <AD FS 2.0 primary server> uit. Hierbij is <AD FS 2.0 primary server> de interne FQDN-naam van de primaire AD FS 2.0-server. Deze cmdlet maakt een context die u verbindt met AD FS 2.0.

    Notitie

    Als u het Windows Azure Active Directory-module hebt geïnstalleerd op de primaire AD FS 2.0-server, hoeft u deze cmdlet niet uit te voeren.

  5. Voer Convert-MsolDomainToFederated –DomainName <domain> uit. Hierbij is <domain> het domein dat wordt omgezet. Met deze cmdlet wordt voor het domein standaardverificatie gewijzigd in eenmalige aanmelding.

Notitie

Als u wilt verifiëren of de omzetting is geslaagd, vergelijkt u de instellingen op de AD FS 2.0-server en in de cloud service door Get-MsolFederationProperty –DomainName <domain> uit te voeren. Hierbij is <domain> het domein waarvoor u de instellingen wilt weergeven. Als de instellingen niet overeenkomen, kunt u Update-MsolFederatedDomain –DomainName <domain> uitvoeren om de instellingen te synchroniseren.

Volgende stap

Nadat u de module hebt geïnstalleerd en de federatieve vertrouwensrelatie hebt ingesteld die nodig is voor eenmalige aanmelding, moet u Active Directory-synchronisatie instellen. Zie Routekaart voor adreslijstsynchronisatie voor meer informatie. Zie Eenmalige aanmelding verifiëren en beheren met AD FS 2.0 nadat u Active Directory-synchronisatie hebt ingesteld.

Zie ook

Concepten

Routekaart voor eenmalige aanmelding
Eenmalige aanmelding voorbereiden
Windows PowerShell installeren voor eenmalige aanmelding met AD FS 2.0

Andere bronnen

Plan for and deploy AD FS 2.0 for use with single sign-on