Настройка отношения доверия между службами федерации Active Directory и Azure AD

  • Статья

Обновлено: 25 июня 2015 г.

Область применения: Azure, Office 365, Power BI, Windows Intune

Каждый домен, который требуется объединить в федерацию, нужно добавить как домен с единым входом или преобразовать в домен с единым входом из стандартного домена. Добавление или преобразование домена настраивает доверие между AD FS и Microsoft Azure Active Directory (Microsoft Azure AD).

Важно!

  • Если вы используете поддомен (например, corp.contoso.com) в дополнение к домену верхнего уровня (например, contoso.com), домен верхнего уровня необходимо добавить в облачную службу перед тем, как добавлять какие-либо поддомены. Если домен верхнего уровня настроен на использование единого входа, все поддомены также автоматически используют единый вход.

  • Настройка доверия — это одноразовая операция, и вам не нужно снова запускать модуль Microsoft Azure Active Directory для Windows PowerShell командлетов, если добавить в ферму серверов дополнительные серверы AD FS.

  • При добавлении и проверке домена с помощью модуля Microsoft Azure Active Directory необходимо указать несколько дополнительных параметров. Эти параметры требуются, чтобы вы могли видеть записи DNS, которые нужно настроить для обеспечения работы домена с облачной службой.

Если вам нужна поддержка нескольких доменов верхнего уровня, необходимо использовать параметр SupportMultipleDomain с любыми командлетами, например с командлетами, которые используются в процедурах добавления домена и преобразования домена.

Например, чтобы добавить contoso.com и fabrikam.com как домены единого входа, необходимо следовать процедуре добавления домена для contoso.com, используя параметр SupportMultipleDomain в каждом шаге, где есть командлет. Например, на шаге 5 будет использоваться следующая команда: New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. После выполнения всех этапов процедуры для contoso.com ее необходимо повторить снова для домена fabrikam.com. И на шаге 5 будет использоваться следующая команда: New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Дополнительные сведения см. в статье Поддержка нескольких доменов для федерации с Azure AD.

Выполните одну из следующих процедур, чтобы настроить федеративное доверие с помощью Azure AD, в зависимости от того, нужно ли добавить новый домен или преобразовать существующий домен.

  • Добавление домена

  • Преобразование домена

Добавление домена

  1. Откройте модуль Microsoft Azure Active Directory.

  2. Выполните команду $cred=Get-Credential. Когда этот командлет запросит учетные данные, введите учетные данные администратора облачной службы.

  3. Выполните команду Connect-MsolService –Credential $cred. Этот командлет подключает вас к Azure AD. Создание контекста, который подключает вас к Azure AD, требуется перед выполнением любых дополнительных командлетов, установленных средством.

  4. Запустите Set-MsolAdfscontext -Computer <AD FS primary server>, где <сервер-источник> AD FS — внутреннее полное доменное имя основного сервера AD FS. Этот командлет создает контекст, подключающий вас к AD FS.

    Примечание

    Если вы установили модуль Microsoft Azure Active Directory на основном сервере AD FS, вам не нужно запускать этот командлет.

  5. Запустите New-MsolFederatedDomain –DomainName <domain>, где <домен является доменом> , который будет добавлен и включен для единого входа. Этот командлет обеспечивает добавление нового домена верхнего уровня, который будет настроен для федеративной проверки подлинности.

    Примечание

    После выполнения командлета New-MsolFederatedDomain для добавления домена верхнего уровня использовать командлет New-MsolDomain для добавления стандартных доменов (не являющихся федеративными) будет невозможно.

  6. Обратитесь к своему регистратору доменных имен для создания необходимой записи DNS, используя сведения, предоставленные в результатах командлета New-MsolFederatedDomain. Это подтверждает владение доменом. Обратите внимание, что для применения изменений может потребоваться до 15 минут в зависимости от регистратора. На распространение изменений в системе может потребоваться до 72 часов. Дополнительные сведения см. в разделе "Проверка домена" в любом регистраторе доменных имен.

  7. Повторно запустите New-MsolFederatedDomain, указав то же имя домена для завершения процесса.

Преобразование домена

При преобразовании существующего домена в домен единого входа каждый лицензированный пользователь станет федеративным пользователем, используя имеющиеся корпоративные учетные данные Active Directory (имя пользователя и пароль) для доступа к облачным службам. В настоящее время выполнение поэтапного развертывания единого входа невозможно; однако единый вход можно пилотно реализовать с помощью набора рабочих пользователей из рабочего леса Active Directory. Дополнительные сведения см. в статье "Запуск пилотного проекта для тестирования единого входа перед настройкой (необязательно)".

Примечание

Преобразование рекомендуется выполнять при минимальном количестве пользователей, например на выходных, чтобы снизить влияние на пользователей организации.

Для преобразования существующего домена в домен с единым входом выполните следующие действия.

  1. Откройте модуль Microsoft Azure Active Directory.

  2. Выполните команду $cred=Get-Credential. Когда этот командлет запросит учетные данные, введите учетные данные администратора облачной службы.

  3. Выполните команду Connect-MsolService –Credential $cred. Этот командлет подключает вас к Azure AD. Создание контекста, который подключает вас к Azure AD, требуется перед выполнением любых дополнительных командлетов, установленных средством.

  4. Запустите Set-MsolAdfscontext -Computer <AD FS primary server>, где <сервер-источник> AD FS — внутреннее полное доменное имя основного сервера AD FS. Этот командлет создает контекст, подключающий вас к AD FS.

    Примечание

    Если вы установили модуль Microsoft Azure Active Directory на основном сервере AD FS, вам не нужно запускать этот командлет.

  5. Запустите Convert-MsolDomainToFederated –DomainName <domain>, где <домен является доменом> , который необходимо преобразовать. Этот командлет преобразует домен для использования единого входа вместо обычной проверки подлинности.

Примечание

Чтобы убедиться, что преобразование выполнено, сравните параметры на сервере AD FS и в Azure AD, запустивGet-MsolFederationProperty –DomainName <domain>, где <домен является доменом>, для которого требуется просмотреть параметры. Если они не совпадают, можно запустить Update-MsolFederatedDomain –DomainName <domain> для синхронизации параметров.

Следующий шаг

После установления отношения доверия между службами федерации Active Directory и Azure AD необходимо настроить синхронизацию Active Directory. Дополнительные сведения см. в схеме синхронизации каталогов. После настройки синхронизации Active Directory см. статью "Проверка единого входа в AD FS" и управление им.

См. также:

Основные понятия

Контрольный список: использование AD FS для внедрения и управления единым входом
Стратегия внедрения единого входа