在 Shibboleth 和 Azure AD 之间建立信任
更新时间:2015 年 6 月 25 日
适用于:Azure、Office 365、Power BI、Windows Intune
使用用于Windows PowerShell的 Microsoft Azure Active Directory 模块联合 Azure AD 域。 本主题将在Windows PowerShell命令行接口中运行一系列 cmdlet,以添加或转换用于单一登录的域。
重要
在完成本主题中的说明之前,必须查看并完成使用 Shibboleth 进行单一登录的 Install Windows PowerShell 中的步骤。
要使用 Shibboleth 联合的每个 Active Directory 域必须添加为单一登录域,或者必须从标准域转换为单一登录域。 添加或转换域会在 Shibboleth 标识提供程序与 Azure Active Directory 之间建立信任。
以下过程演示如何将现有的标准域转换为联盟域。
打开Microsoft Azure Active Directory模块。
运行
$cred=Get-Credential。 在此 cmdlet 提示你输入凭据后,键入你的云服务管理员帐户凭据。运行
Connect-MsolService –Credential $cred。 此 cmdlet 将连接到 Azure AD。 在运行该工具安装的任何其他 cmdlet 之前,需要创建连接到 Azure AD 的上下文。运行以下命令,为单一登录转换现有域(在此示例中为 mail.contoso.com):
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP注意
仅当你设置了 Shibboleth 标识提供者 ECP 扩展时,才必须运行
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP。 建议你安装 Shibboleth 标识提供者 ECP 扩展(虽然这是可选步骤),以便将单一登录用于智能手机、Microsoft Outlook 或其他客户端。 有关详细信息,请参阅 配置 Shibboleth 中“可选:安装 Shibboleth ECP 扩展”,以用于单一登录。
另请参阅
概念
安装 Windows PowerShell 以使用 Shibboleth 实施单一登录
使用 Shibboleth 标识提供程序实施单一登录