Skapa ett förtroende mellan Shibboleth och Windows Azure AD

  • Artikel

Utgivet: juni 2012

Gäller för: Office 365, Windows Azure Active Directory, Windows Intune

Anteckning

Det här avsnittet innehåller onlinehjälp som gäller flera Microsoft-molntjänster, däribland Windows Intune och Office 365.

Windows Azure AD-domäner är federerade med Microsoft Online Services-modulen. Du kan använda Microsoft Online Services-modulen för att köra ett antal cmdlet:ar i Windows PowerShell-kommandoradsgränssnittet, för att lägga till eller konvertera domäner för enkel inloggning.

Viktigt

Innan du kan följa instruktionerna i det här avsnittet måste du granska och slutföra stegen i Installera Windows PowerShell för enkel inloggning med Shibboleth.

Varje Active Directory-domän som du vill federera med Shibboleth måste antingen läggas till som en domän för enkel inloggning eller konverteras från en standarddomän till en domän för enkel inloggning. Att lägga till eller konvertera en domän skapar ett förtroende mellan Shibboleth Identity Provider och Windows Azure Active Directory.

I följande procedur beskrivs hur du konverterar en befintlig standarddomän till en federerad domän.

  1. Öppna Windows Azure Active Directory-modul.

  2. Kör $cred=Get-Credential. När du uppmanas att ange dina autentiseringsuppgifter skriver du in autentiseringsuppgifterna för molntjänstens administratörskonto.

  3. Kör Connect-MsolService –Credential $cred. Denna cmdlet ansluter dig till molntjänsten. Att skapa ett sammanhang som kopplar dig till molntjänsten krävs för att ska kunna köra några av de extra cmdletar som installerades av verktyget.

  4. Kör följande kommandon för att konvertera en befintlig domän (i det här exemplet mail.contoso.com) för enkel inloggning:

    $dom = "mail.contoso.com”
$url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
$ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
$uri = "https://idp.contoso.com/idp/shibboleth"
$logouturl = "https://idp.contoso.com/logout/" 
$cert = "MIIFYzCCBEugAw...2tLRtyN"

Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

    Anteckning

    Du behöver bara köra $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP om du konfigurerar ECP-tillägget Shibboleth Identity Provider. Även om det inte krävs rekommenderar vi att du installerar ECP-tillägget Shibboleth Identity Provider så att enkel inloggning fungerar med en smartphone, Microsoft Outlook och andra klienter. Mer information finns i Valfritt: Installera ECP-tillägget Shibboleth i Konfigurera Shibboleth för enkel inloggning.

Se även

Koncept

Installera Windows PowerShell för enkel inloggning med Shibboleth
Använda Shibboleth Identity Provider för att implementera enkel inloggning