Configurar uma fidedignidade entre o Shibboleth e o Windows Azure AD

Publicada: Junho de 2012

Atualizada: Fevereiro de 2013

Aplica-se a: Office 365, Windows Azure Active Directory, Windows Intune

Nota

Este tópico fornece conteúdo de ajuda online que é aplicável a vários serviços baseados na nuvem Microsoft, incluindo o Windows Intune e o Office 365.

O domínios do Windows Azure AD são federados utilizando o Módulo do Microsoft Online Services. Pode utilizar o Módulo do Microsoft Online Services para executar um conjunto de cmdlets na interface de linha de comandos Windows PowerShell, para adicionar ou converter domínios para o single sign-on.

Importante

Antes de poder concluir as instruções deste tópico, tem de rever e concluir os passos em Instalar o Windows PowerShell para o serviço single sign-on com Shibboleth.

Cada domínio do Active Directory que pretenda federar utilizando o Shibboleth tem de ser adicionado como domínio de single sign-on ou convertido em domínio de single sign-on a partir de um domínio padrão. A adição ou conversão de um domínio define uma fidedignidade entre o Fornecedor de Identidade de Shibboleth e o Windows Azure Active Directory.

O procedimento seguinte fornece-lhe instruções para converter um domínio padrão existente num domínio federado.

  1. Abra o Módulo do Windows Azure Active Directory.

  2. Execute $cred=Get-Credential. Quando o cmdlet pedir as suas credenciais, digite as credenciais da conta de administrador do serviço em nuvem.

  3. Execute Connect-MsolService –Credential $cred. Este cmdlet liga-o ao serviço baseado na nuvem. É necessário criar um contexto de ligação ao serviço baseado na nuvem antes de executar qualquer outro dos cmdlets adicionais instalados pela ferramenta.

  4. Execute os seguintes comandos para converter um domínio existente (neste exemplo, mail.contoso.com) em single sign-on:

    $dom = "mail.contoso.com”
    $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
    $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
    $uri = "https://idp.contoso.com/idp/shibboleth"
    $logouturl = "https://idp.contoso.com/logout/" 
    $cert = "MIIFYzCCBEugAw...2tLRtyN"
    
    Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
    

    Nota

    apenas deve executar $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP se configurar a extensão de ECP do Fornecedor de Identidade de Shibboleth. Apesar de ser um passo opcional, recomenda-se que instale a extensão de ECP do Fornecedor de Identidade de Shibboleth para que o single sign-on funcione com um smartphone, com o Microsoft Outlook ou com outros clientes. Para obter mais informações, consulte "Optional: Install the Shibboleth ECP Extension” ("Opcional: Instalar a Extensão de ECP de Shibboleth") em Configurar o Shibboleth para utilizar com o single sign-on.

Ver Também

Conceitos

Instalar o Windows PowerShell para o serviço single sign-on com Shibboleth
Utilizar o Fornecedor de Identidade do Shibboleth para implementar o single sign-on