使用 Shibboleth 标识提供程序实施单一登录

  • 项目

更新时间:2015 年 6 月 25 日

适用于:Azure、Office 365、Power BI、Windows Intune

本部分中的主题包含的说明针对想要使用 Shibboleth 标识提供程序作为首选安全令牌服务 (STS),为其 Active Directory 用户提供单一登录体验的 Microsoft 云服务管理员。 Shibboleth 标识提供程序实施广泛使用的安全断言标记语言 (SAML) 联合身份验证标准来提供单一登录和特性交换框架。

Microsoft 支持这种单一登录体验,例如,将 Microsoft 云服务(如Microsoft Intune或Office 365)与已安装且可操作的 Shibboleth 标识提供者集成。 Shibboleth 标识提供程序是第三方产品,因此,Microsoft 不会对与 Shibboleth 标识提供程序相关的问题和疑问(例如部署、配置、故障排除、最佳实践等方面)提供支持。 有关 Shibboleth 标识提供者的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkID=256497

重要

这种单一登录方案仅支持有限的一组客户端,如下所述:

  • 基于 Web 的客户端(如 Exchange Web Access 和 SharePoint Online)

  • 使用基本身份验证和受支持的 Exchange 访问方法(例如 IMAP、POP、Active Sync、MAPI 等)的电子邮件富客户端(需要部署增强型客户端协议终结点),包括:

    • Microsoft Outlook 2007

    • Microsoft Outlook 2010

    • Thunderbird 8 和 9

    • iPhone(各种 iOS 版本)

    • Windows 7 Phone

使用 Shibboleth 标识提供者的此单一登录方案不支持所有其他客户端。 例如,如果实现此单一登录方案,则无法使用 Lync 2010 或 Lync 2013 桌面客户端登录到 Lync Online,或使用Office 365订阅中的Office 365 专业增强版许可,或使用 Word、Excel 和其他Office桌面应用程序从 SharePoint 打开文档 联机或使用OneDrive for Business同步文件。

若要使用 Shibboleth 标识提供程序设置本地 STS,请完成以下步骤。

重要

若要开始执行以下步骤,请查看“ 准备单一登录”中单一登录的好处、用户体验和要求。

  1. 运行 配置 Shibboleth 中的详细说明,以用于单一登录

  2. 安装 Windows PowerShell 以使用 Shibboleth 实施单一登录

  3. 在 Shibboleth 和 Azure AD 之间建立信任

  4. 按照 目录同步路线图 中的详细说明准备、激活、安装工具并验证目录同步。

  5. 验证使用 Shibboleth 的单一登录

另请参阅

概念

使用单一登录的目录同步