Oprette et tillidsforhold mellem Shibboleth og Windows Azur AD
Udgivet: juni 2012
Gælder for: Office 365, Windows Azure Active Directory, Windows Intune
Bemærk
Dette emne indeholder onlinehjælp, der gælder for flere af Microsofts skytjenester, herunder Windows Intune og Office 365.
Windows Azure AD-domæner er samlet vha. Microsoft Online Services-modulet. Du kan bruge modulet til Microsoft Online Services til at køre en række cmdlet'er i Windows PowerShell-kommandolinjegrænsefladen for at tilføje eller konvertere domæner til enkeltlogon.
Vigtigt
Før du kan fuldføre instruktionerne i dette emne, skal du læse og udføre trinnene i Installere Windows PowerShell til enkeltlogon med Shibboleth.
Hvert domæne, du vil samle ved hjælp af Shibboleth, skal enten tilføjes som et domæne med enkeltlogon eller konverteres til et domæne med enkeltlogon fra et standarddomæne. Indstilling eller konvertering af et domæne opretter en tillid mellem Shibboleth-identitetsudbyderen og Windows Azure Active Directory.
Følgende procedure gennemgår, hvordan man konverterer et eksisterende standarddomæne til et samlet domæne.
Åbn Windows Azure Active Directory-modul.
Kør
$cred=Get-Credential. Når denne cmdlet beder dig om legitimationsoplysninger, skal du angive legitimationsoplysningerne for din skytjenesteadministrator.Kør
Connect-MsolService –Credential $cred. Med denne cmdlet opretter du forbindelse til skytjenesten. Det er nødvendigt, at der skabes en kontekst, som forbinder dig med skytjenesten, før du kan køre nogen af de ekstra cmdlet'er, der installeres af værktøjet.Kør følgende kommandoer for at konvertere et eksisterende domæne (i dette eksempel mail.contoso.com) til enkeltlogon:
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLPBemærk
Du skal kun køre
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP, hvis du konfigurerer Shibboleth Identity Provider ECP-udvidelsen. Via et valgfrit trin anbefales det, at du installerer Shibbolet Identity Provider ECP-udvidelsen, for at enkeltlogon kan fungere med en smartphone, Microsoft Outlook eller andre klienter. Du kan finde flere oplysninger under "Valgfrit: Installere Shibboleth ECP-udvidelse" i Konfigurere Shibboleth til brug med enkeltlogon.
Se også
Koncepter
Installere Windows PowerShell til enkeltlogon med Shibboleth
Brug af identitetsprovideren Shibboleth til at implementere enkeltlogon