Definir uma fidedignidade entre o AD FS 2.0 e o Windows Azure AD

  • Artigo

Publicada: Junho de 2012

Atualizada: Fevereiro de 2013

Aplica-se a: Office 365, Windows Azure Active Directory, Windows Intune

Cada domínio que pretenda federar tem de ser adicionado como domínio de single sign-on ou convertido em domínio de single sign-on a partir de um domínio normal. A adição ou conversão de um domínio estabelece uma relação de fidedignidade entre os AD FS 2.0 e o Windows Azure Active Directory.

Importante

  • Caso utilize um subdomínio (por exemplo, corp.contoso.com), além do domínio de primeiro nível (por exemplo, contoso.com), terá de adicionar o domínio de primeiro nível ao serviço baseado na nuvem antes de adicionar quaisquer subdomínios. Quando o domínio de primeiro nível for configurado para o single sign-on, os subdomínios também serão configurados automaticamente.

  • O estabelecimento de uma relação de fidedignidade é uma operação única, não sendo necessário voltar a executar a Módulo do Windows Azure Active Directory, se adicionar mais servidores de AD FS 2.0 ao farm de servidores.

  • Se adicionar e verificar um domínio através da Módulo do Windows Azure Active Directory, terá de especificar várias definições adicionais no serviço baseado na nuvem. Estas definições são necessárias para poder ver os registos DNS que têm de ser configurados para ativar o seu domínio para funcionar com os serviços do serviço baseado na nuvem.

Se for necessário suporte para vários domínios de nível superior, terá de utilizar o parâmetro SupportMultipleDomain com quaisquer cmdlets, como, por exemplo, cmdlets utilizados nos procedimentos “Adicionar um domínio” e “Converter um domínio”.

Por exemplo, para adicionar o contoso.com e o fabrikam.com como domínios de single sign-on, seguiria o procedimento "Adicionar um domínio" para o contoso.com, utilizando o comutador SupportMultipleDomain em todos os passos que tenham um cmdlet. Assim, para o passo 5, utilizaria New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Depois de concluir todos os passos no procedimento para o contoso.com, repetiria o procedimento para o domínio fabrikam.com. No passo 5, utilizaria New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Para obter mais informações, consulte Suporte para Vários Domínios de Nível Superior.

Execute um dos seguintes procedimentos para configurar a fidedignidade de federação com Windows Azure AD, dependendo se necessita de adicionar um novo domínio ou converter um domínio existente.

  • Adicionar um domínio

  • Converter um domínio

Adicionar um domínio

  1. Abra o Módulo do Windows Azure Active Directory.

  2. Execute $cred=Get-Credential. Quando o cmdlet pedir as suas credenciais, digite as credenciais da conta de administrador do serviço em nuvem.

  3. Execute Connect-MsolService –Credential $cred. Este cmdlet liga-o ao serviço baseado na nuvem. É necessário criar um contexto de ligação ao serviço baseado na nuvem antes de executar qualquer outro dos cmdlets adicionais instalados pela ferramenta.

  4. Execute o Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>, em que <servidor primário AD FS 2.0> é o nome FQDN interno do servidor AD FS 2.0 primário. Este cmdlet cria um contexto que o liga ao AD FS 2.0.

    Nota

    Se tiver instalado o Módulo do Windows Azure Active Directory no servidor de AD FS 2.0 principal, não necessita de executar este cmdlet.

  5. Execute o New-MsolFederatedDomain –DomainName <domain>, em que <domínio> é o domínio a ser adicionado e ativado para o single sign-on. Este cmdlet adiciona um novo domínio de nível superior ou subdomínio que será configurado para autenticação federada.

    Nota

    Após utilizar o cmdlet New-MsolFederatedDomain para adicionar um domínio de nível superior não poderá utilizar o cmdlet New-MsolDomain para adicionar domínios padrão (não federados).

  6. Utilizando as informações facultadas pelos resultados do cmdlet New-MsolFederatedDomain, entre em contacto com a sua entidade de registo de domínios para criar o registo DNS necessário. Esta ação serve para verificar se o domínio lhe pertence. Tenha em atenção que a propagação desta informação poderá demorar até 15 minutos, consoante a sua entidade de registo. As alterações podem demorar até 72 horas a serem propagadas pelo sistema. Para obter mais informações, consulte Verificar um domínio em qualquer entidade de registo de nomes de domínio.

  7. Volte a executar o New-MsolFederatedDomain, especificando o mesmo nome de domínio para finalizar o processo.

Converter um domínio

Quando se converte um domínio existente num domínio de single sign-on, todos os utilizadores licenciados se tornam utilizadores federados, cujas credenciais empresariais existentes (nome de utilizador e palavra-passe) do Active Directory lhes permitem aceder ao serviço baseado na nuvem. Atualmente, não é possível efetuar um rollout faseado; no entanto, pode executar um piloto do single sign-on com um conjunto de utilizadores de produção da floresta do Active Directory de produção. Para obter mais informações, consulte Executar um piloto para testar o single sign-on antes de o configurar (opcional).

Nota

É melhor efetuar a conversão quando existam menos utilizadores, tal como durante o fim de semana, para minimizar o seu impacto.

Para converter um domínio existente num domínio de single sign-on, siga estes passos.

  1. Abra o Módulo do Windows Azure Active Directory.

  2. Execute $cred=Get-Credential. Quando o cmdlet pedir as suas credenciais, digite as credenciais da conta de administrador do serviço em nuvem.

  3. Execute Connect-MsolService –Credential $cred. Este cmdlet liga-o ao serviço baseado na nuvem. É necessário criar um contexto de ligação ao serviço baseado na nuvem antes de executar qualquer outro dos cmdlets adicionais instalados pela ferramenta.

  4. Execute o Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>, em que <servidor primário AD FS 2.0> é o nome FQDN interno do servidor AD FS 2.0 primário. Este cmdlet cria um contexto que o liga ao AD FS 2.0.

    Nota

    Se tiver instalado o Módulo do Windows Azure Active Directory no servidor de AD FS 2.0 principal, não necessita de executar este cmdlet.

  5. Execute o Convert-MsolDomainToFederated –DomainName <domain>, em que <domínio> é o domínio a ser convertido. Este cmdlet faz passar o domínio da autenticação padrão para o single sign-on.

Nota

Para verificar se a conversão funcionou, compare as definições no servidor do AD FS 2.0 e no serviço baseado na nuvem executando o Get-MsolFederationProperty –DomainName <domain>, em que <domínio> é o domínio cujas definições pretende ver. Se não corresponderem, pode executar o Update-MsolFederatedDomain –DomainName <domain> para sincronizar as definições.

Passo seguinte

Após a instalação do módulo e a configuração da fidedignidade federada necessária para o single sign-on, é necessário configurar a sincronização do Active Directory. Para obter mais informações, consulte Informações gerais sobre a sincronização de diretórios. Após configurar a sincronização do Active Directory, consulte Verificar e gerir o single sign-on com o AD FS 2.0.

Ver Também

Conceitos

Plano do single sign-on
Preparar o single sign-on
Instalar o Windows PowerShell para o serviço single sign-on com o AD FS 2.0

Outros Recursos

Plan for and deploy AD FS 2.0 for use with single sign-on