Configurar uma fidedignidade entre o Shibboleth e o Windows Azure AD
Publicada: Junho de 2012
Atualizada: Fevereiro de 2013
Aplica-se a: Office 365, Windows Azure Active Directory, Windows Intune
Nota
Este tópico fornece conteúdo de ajuda online que é aplicável a vários serviços baseados na nuvem Microsoft, incluindo o Windows Intune e o Office 365.
O domínios do Windows Azure AD são federados utilizando o Módulo do Microsoft Online Services. Pode utilizar o Módulo do Microsoft Online Services para executar um conjunto de cmdlets na interface de linha de comandos Windows PowerShell, para adicionar ou converter domínios para o single sign-on.
Importante
Antes de poder concluir as instruções deste tópico, tem de rever e concluir os passos em Instalar o Windows PowerShell para o serviço single sign-on com Shibboleth.
Cada domínio do Active Directory que pretenda federar utilizando o Shibboleth tem de ser adicionado como domínio de single sign-on ou convertido em domínio de single sign-on a partir de um domínio padrão. A adição ou conversão de um domínio define uma fidedignidade entre o Fornecedor de Identidade de Shibboleth e o Windows Azure Active Directory.
O procedimento seguinte fornece-lhe instruções para converter um domínio padrão existente num domínio federado.
Abra o Módulo do Windows Azure Active Directory.
Execute
$cred=Get-Credential
. Quando o cmdlet pedir as suas credenciais, digite as credenciais da conta de administrador do serviço em nuvem.Execute
Connect-MsolService –Credential $cred
. Este cmdlet liga-o ao serviço baseado na nuvem. É necessário criar um contexto de ligação ao serviço baseado na nuvem antes de executar qualquer outro dos cmdlets adicionais instalados pela ferramenta.Execute os seguintes comandos para converter um domínio existente (neste exemplo, mail.contoso.com) em single sign-on:
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
Nota
apenas deve executar
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP
se configurar a extensão de ECP do Fornecedor de Identidade de Shibboleth. Apesar de ser um passo opcional, recomenda-se que instale a extensão de ECP do Fornecedor de Identidade de Shibboleth para que o single sign-on funcione com um smartphone, com o Microsoft Outlook ou com outros clientes. Para obter mais informações, consulte "Optional: Install the Shibboleth ECP Extension” ("Opcional: Instalar a Extensão de ECP de Shibboleth") em Configurar o Shibboleth para utilizar com o single sign-on.
Ver Também
Conceitos
Instalar o Windows PowerShell para o serviço single sign-on com Shibboleth
Utilizar o Fornecedor de Identidade do Shibboleth para implementar o single sign-on