Egyszeri bejelentkezés előkészítése
Frissítve: 2015. június 25.
Érintett kiadások: Azure, Office 365, Power BI, Windows Intune
Megjegyzés
Ez a témakör nem feltétlenül alkalmazható a kínai Microsoft Azure felhasználóira. További információ a kínai Azure-szolgáltatásról: windowsazure.cn.
Az egyszeri bejelentkezés előkészítéséhez hajtsa végre a következő lépéseket:
1. lépés: Az egyszeri bejelentkezés követelményeinek áttekintése
2. lépés: Az Active Directory előkészítése
1. lépés: Az egyszeri bejelentkezés követelményeinek áttekintése
Az SSO-megoldás implementálásához a következő követelményeknek kell megfelelnie:
Az Active Directory telepítése és futtatása Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 vagy Windows Server 2012 R2 rendszerben vegyes vagy natív működési szinttel.
Ha az AD FS-t tervezi STS-ként használni, az alábbiak egyikét kell elvégeznie:
Töltse le, telepítse és telepítse az AD FS 2.0-t egy Windows Server 2008 vagy Windows Server 2008 R2 kiszolgálóra. Ha a felhasználók a vállalati hálózaton kívülről csatlakoznak, telepítenie kell egy AD FS 2.0-proxyt.
Telepítse az AD FS szerepkör-szolgáltatást egy Windows Server 2012 vagy Windows Server 2012 R2-kiszolgálóra.
Ha a Shibboleth Identitásszolgáltatót tervezi STS-ként használni, telepítenie és elő kell készítenie egy működő Shibboleth Identitásszolgáltatót.
Fontos
A Microsoft támogatja ezt az egyszeri bejelentkezést, mivel a Microsoft felhőszolgáltatása( például Microsoft Intune vagy Office 365) integrálása a már telepített és működő Shibboleth Identitásszolgáltatóval. A Shibboleth Identity Provider egy harmadik féltől származó termék, ezért a Microsoft nem nyújt támogatást a Shibboleth identitásszolgáltatóval kapcsolatos üzembe helyezéssel, konfigurációval, hibaelhárítással, ajánlott eljárásokkal stb. kapcsolatos problémákhoz és kérdésekhez. További információ a Shibboleth identitásszolgáltatóról: https://go.microsoft.com/fwlink/?LinkID=256497.
A beállítandó STS típusától függően használja a Windows PowerShell Microsoft Azure Active Directory modulját a helyszíni STS és a Azure AD közötti összevont megbízhatósági kapcsolat létrehozásához.
Telepítse a Microsoft felhőszolgáltatás-előfizetéseihez szükséges frissítéseket, hogy a felhasználók a Windows 7, Windows Vista vagy Windows XP legújabb frissítéseit futtathassák. Előfordulhat, hogy egyes funkciók nem működnek megfelelően az operációs rendszerek, böngészők és szoftverek megfelelő verziói nélkül. További információ: A függelék: Szoftverkövetelmények áttekintése.
2. lépés: Az Active Directory előkészítése
Az Active Directorynak konfigurálnia kell bizonyos beállításokat ahhoz, hogy megfelelően működjön az egyszeri bejelentkezéssel. Az egyszerű felhasználónevet (UPN- más néven felhasználói bejelentkezési nevet) minden felhasználóhoz külön módon kell beállítani.
Megjegyzés
Az Active Directory-környezet egyszeri bejelentkezésre való előkészítéséhez javasoljuk, hogy futtassa a Microsoft Deployment Readiness Eszközt. Ez az eszköz megvizsgálja az Active Directory-környezetet, és egy jelentést nyújt, amely információkat tartalmaz arról, hogy készen áll-e az egyszeri bejelentkezés beállítására. Ha nem, akkor az egyszeri bejelentkezés előkészítéséhez szükséges módosításokat sorolja fel. Megvizsgálja például, hogy a felhasználók rendelkeznek-e upN-ekkel, vagy sem, és hogy ezek az EGYSZERŰ HÁLÓZATOK a megfelelő formátumban vannak-e.
Az egyes tartományoktól függően előfordulhat, hogy a következőket kell tennie:
Az egyszerű felhasználónevet a felhasználónak kell beállítania és ismernie.
Az UPN-tartomány utótagjának azon tartomány alatt kell lennie, amelyet az egyszeri bejelentkezéshez szeretne beállítani.
Az összevont tartományt nyilvános tartományként kell regisztrálni egy tartományregisztrálónál vagy a saját nyilvános DNS-kiszolgálóin belül.
Egyszerű felhasználónevek létrehozásához kövesse az Active Directory-témakör Egyszerű felhasználónév utótagok hozzáadása című témakörét. Ne feledje, hogy az egyszeri bejelentkezéshez használt egyszerű felhasználónév csak betűket, számokat, vesszőket, kötőjeleket és aláhúzásjeleket tartalmazhat.
Ha az Active Directory-tartománynév nem nyilvános internetes tartomány (például ".local" utótaggal végződik), akkor be kell állítania egy egyszerű felhasználónevet, hogy olyan internetes tartománynév alatt legyen, amely nyilvánosan regisztrálható. Azt javasoljuk, hogy használjon a felhasználók számára ismerős megoldást, például a levelezési tartományt.
Ha már beállította az Active Directory-szinkronizálást, előfordulhat, hogy a felhasználó UPN-je nem egyezik meg az Active Directoryban definiált helyszíni UPN-ével. A probléma megoldásához nevezze át a felhasználó egyszerű felhasználónevét a Windows PowerShell Microsoft Azure Active Directory moduljának Set-MsolUserPrincipalName parancsmagjával.