Skapa ett förtroende mellan AD FS 2.0 och Windows Azure AD

  • Artikel

Utgivet: juni 2012

Gäller för: Office 365, Windows Azure Active Directory, Windows Intune

Varje domän som du vill federera måste antingen läggas till som en domän för enkel inloggning eller konverteras från en standarddomän till en domän för enkel inloggning. Att lägga till eller konvertera en domän skapar ett förtroende mellan AD FS 2.0 och Windows Azure Active Directory.

Viktigt

  • Om du använder en underdomän (till exempel corp.contoso.com) tillsammans med en toppnivådomän (till exempel contoso.com) måste du lägga till toppnivådomänen i molntjänsten innan du lägger till några underdomäner. När toppnivådomänen konfigureras för enkel inloggning konfigureras även alla underdomäner automatiskt.

  • Att konfigurera ett kluster är en engångsåtgärd, och du behöver inte köra Windows Azure Active Directory-moduligen om du lägger till fler AD FS 2.0-servrar till din servergrupp.

  • Om du lägger till och verifierar en domän med Windows Azure Active Directory-modul behöver du inte specificera några ytterligare inställningar i molntjänsten. Dessa inställningar krävs så att du kan se de DNS-poster som du måste konfigurera för att aktivera din domän så att den fungerar med molntjänsten-tjänsterna.

Om du behöver stödja flera toppnivådomäner måste du använda växeln SupportMultipleDomain med eventuella cmdlet:ar, t.ex. de som används i procedurerna “Lägg till en domän” och “Konvertera en domän”.

Om du till exempel vill lägga till både contoso.com och fabrikam.com som domän för enkel inloggning, följer du proceduren Lägg till en domän för contoso.com, och använder växeln SupportMultipleDomain i varje steg där en cmdlet används. I steg 5 använder du alltså New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. När du har utfört alla steg i proceduren för contoso.com, upprepar du samma steg för fabrikam.com domain. I steg 5 använder du alltså New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Mer information finns i Support for Multiple Top Level Domains (Stöd för flera toppnivådomäner).

Utför en av dessa procedurer för att skapa ett federerat förtroende med Windows Azure AD, beroende på om du behöver lägga till en ny domän eller konvertera en befintlig domän.

  • Lägga till en domän

  • Konvertera en domän

Lägga till en domän

  1. Öppna Windows Azure Active Directory-modul.

  2. Kör $cred=Get-Credential. När du uppmanas att ange dina autentiseringsuppgifter skriver du in autentiseringsuppgifterna för molntjänstens administratörskonto.

  3. Kör Connect-MsolService –Credential $cred. Denna cmdlet ansluter dig till molntjänsten. Att skapa ett sammanhang som kopplar dig till molntjänsten krävs för att ska kunna köra några av de extra cmdletar som installerades av verktyget.

  4. Kör Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>, där <AD FS 2.0 primary server> är det interna fullständiga domännamnet för den primära AD FS 2.0-servern. Denna cmdlet skapar ett sammanhang som förbinder dig till AD FS 2.0.

    Anteckning

    Om du har installerat Windows Azure Active Directory-modul på den primära AD FS 2.0-servern behöver du inte köra den här cmdleten.

  5. Kör New-MsolFederatedDomain –DomainName <domain>, där <domain> är den domän som ska läggas till och aktiveras för enkel inloggning. Denna cmdlet lägger till en ny toppnivådomän eller underdomän som ska konfigureras för federerad autentisering.

    Anteckning

    När du har använt cmdlet:en New-MsolFederatedDomain för att lägga till en toppnivådomän kan du inte använda cmdlet:en New-MsolDomain för att lägga till standarddomäner (icke-federerade).

  6. Med hjälp av informationen från cmdlet:en New-MsolFederatedDomain kontaktar du din domänregistrator för att skapa den nödvändiga DNS-posten. Detta verifierar att du äger domänen. Observera att det kan ta upp till 15 minuter att sprida detta, beroende på din registrator. Det kan ta upp till 72 timmar för ändringarna att spridas genom hela systemet. Mer information finns i Verifiera en domän hos valfri domännamnsregistrator.

  7. Kör New-MsolFederatedDomain en gång till och ange samma domännamn för att slutföra processen.

Konvertera en domän

När du konverterar en befintlig domän till en domän för enkel inloggning blir varje licensierad användare en federerad användare, och kan sedan använda sina Active Directory-autentiseringsuppgifter i företaget (användarnamn och lösenord) för att komma åt molntjänsten. För närvarande är det inte möjligt att distribuera enkel inloggning stegvis, men du kan köra ett pilottest för enkel inloggning med en uppsättning produktionsanvändare från Active Directory-produktionsskogen. Mer information finns i Kör ett pilottest för att testa enkel inloggning innan det konfigureras (valfritt).

Anteckning

Det bästa är att genomföra en konvertering när så få användare som möjligt är aktiva, t.ex. under en weekend, så att användarna påverkas så lite som möjligt.

Så här konverterar du en befintlig domän till en domän för enkel inloggning:

  1. Öppna Windows Azure Active Directory-modul.

  2. Kör $cred=Get-Credential. När du uppmanas att ange dina autentiseringsuppgifter skriver du in autentiseringsuppgifterna för molntjänstens administratörskonto.

  3. Kör Connect-MsolService –Credential $cred. Denna cmdlet ansluter dig till molntjänsten. Att skapa ett sammanhang som kopplar dig till molntjänsten krävs för att ska kunna köra några av de extra cmdletar som installerades av verktyget.

  4. Kör Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>, där <AD FS 2.0 primary server> är det interna fullständiga domännamnet för den primära AD FS 2.0-servern. Denna cmdlet skapar ett sammanhang som förbinder dig till AD FS 2.0.

    Anteckning

    Om du har installerat Windows Azure Active Directory-modul på den primära AD FS 2.0-servern behöver du inte köra den här cmdleten.

  5. Kör Convert-MsolDomainToFederated –DomainName <domain>, där <domain> är den domän som ska konverteras. Den här cmdlet:en ändrar domänen från standardautentisering till enkel inloggning.

Anteckning

Om du vill verifiera att konversationen har fungerat jämför du inställningarna på AD FS 2.0-servern och i molntjänsten genom att köra Get-MsolFederationProperty –DomainName <domain>, där <domain> är den domän vars inställningar du vill visa. Om de inte överensstämmer kan du köra Update-MsolFederatedDomain –DomainName <domain> för att synkronisera inställningarna.

Nästa steg

Nu när du har installerat modulen och konfigurerat det federerade förtroende som krävs för enkel inloggning, måste du konfigurera Active Directory-synkronisering. Mer information finns i Översikt över katalogsynkronisering. Information om vad du gör när du har konfigurerat Active Directory-synkronisering finns i Verifiera och hantera enkel inloggning med AD FS 2.0.

Se även

Koncept

Översikt över enkel inloggning
Förbereda för enkel inloggning
Installera Windows PowerShell för enkel inloggning med AD FS 2.0

Övriga resurser

Plan for and deploy AD FS 2.0 for use with single sign-on