Egyszeri bejelentkezés ellenőrzése és kezelése az AD FS használatával
Frissítve: 2015. június 25.
A következőkre vonatkozik: Azure, Office 365, Power BI, Windows Intune
Megjegyzés
Ez a témakör nem feltétlenül alkalmazható a kínai Microsoft Azure felhasználóira. További információ a kínai Azure-szolgáltatásról: windowsazure.cn.
Rendszergazdaként az egyszeri bejelentkezés (más néven identitás-összevonás) ellenőrzése és kezelése előtt tekintse át az információkat, és hajtsa végre az ellenőrzőlista lépéseit: Az AD FS használata az egyszeri bejelentkezés megvalósításához és kezeléséhez.
Az egyszeri bejelentkezés beállítása után ellenőriznie kell, hogy megfelelően működik-e. Emellett több felügyeleti feladatot is elvégezhet időnként, hogy zökkenőmentesen fusson.
Mit kíván tenni?
Ellenőrizze, hogy az egyszeri bejelentkezés megfelelően van-e beállítva
Egyszeri bejelentkezés kezelése
Ellenőrizze, hogy az egyszeri bejelentkezés megfelelően van-e beállítva
Annak ellenőrzéséhez, hogy az egyszeri bejelentkezés megfelelően van-e beállítva, az alábbi eljárással ellenőrizheti, hogy be tud-e jelentkezni a felhőszolgáltatásba a vállalati hitelesítő adataival, tesztelheti az egyszeri bejelentkezést a különböző használati helyzetekben, és használhatja a Microsoft Remote Connectivity Analyzert.
Megjegyzés
- Ha tartományt konvertált a hozzáadás helyett, az egyszeri bejelentkezés beállítása akár 24 órát is igénybe vehet.
- Az egyszeri bejelentkezés ellenőrzése előtt be kell fejeznie az Active Directory-szinkronizálás beállítását, szinkronizálnia kell a címtárakat, és aktiválnia kell a szinkronizált felhasználókat. További információ: Címtár-szinkronizálási ütemterv.
Az egyszeri bejelentkezés megfelelő beállításának ellenőrzéséhez hajtsa végre az alábbi lépéseket.
Tartományhoz csatlakoztatott számítógépen jelentkezzen be a Microsoft felhőszolgáltatásba ugyanazzal a bejelentkezési névvel, amelyet a vállalati hitelesítő adataihoz használ.
Kattintson a jelszómezőbe. Ha az egyszeri bejelentkezés be van állítva, a jelszó mezője árnyékolt lesz, és a következő üzenet jelenik meg: "Most már be kell jelentkeznie a vállalatnál<>."
Kattintson a céges hivatkozáson a <>Bejelentkezés gombra.
Ha be tud jelentkezni, akkor az egyszeri bejelentkezés be van állítva.
Az egyszeri bejelentkezés tesztelése különböző használati forgatókönyvekhez
Miután ellenőrizte, hogy az egyszeri bejelentkezés befejeződött, tesztelje az alábbi bejelentkezési forgatókönyveket, hogy az egyszeri bejelentkezés és az AD FS 2.0 üzembe helyezése megfelelően legyen konfigurálva. Kérje meg a felhasználók egy csoportját, hogy tesztelje a felhőszolgáltatás-szolgáltatásokhoz való hozzáférésüket a böngészőkből, valamint a gazdag ügyfélalkalmazásokból, például a Microsoft Office 2010-ből, a következő környezetekben:
Tartományhoz csatlakoztatott számítógépről
Nem tartományhoz csatlakoztatott számítógépről a vállalati hálózaton belül
Központi tartományhoz csatlakoztatott számítógépről a vállalati hálózaton kívül
A vállalatnál használt különböző operációs rendszerekből
Otthoni számítógépről
Internetes kioszkból (csak böngészőn keresztüli hozzáférés tesztelése a felhőszolgáltatáshoz)
Egy okostelefonról (például egy Microsoft Exchange ActiveSync protokoll használó okostelefonról)
A Microsoft Remote Connectivity Analyzer használata
Az egyszeri bejelentkezés kapcsolatának teszteléséhez használhatja a Microsoft Remote Connectivity Analyzert. Kattintson a Office 365 fülre, kattintson a Microsoft egyszeri bejelentkezés parancsára, majd a Tovább gombra. A teszt végrehajtásához kövesse a képernyőn megjelenő utasításokat. Az elemző ellenőrzi, hogy képes-e bejelentkezni a felhőszolgáltatásba a vállalati hitelesítő adataival. Emellett ellenőrzi az AD FS 2.0 néhány alapszintű konfigurációját is.
Mit kíván tenni?
Feladat ütemezése Azure AD frissítésére, ha a jogkivonat-aláíró tanúsítvány módosítása már nem a javaslat
Ha az AD FS 2.0-s vagy újabb verzióját használja, Office 365 és Azure AD automatikusan frissíti a tanúsítványt, mielőtt lejár. Nem kell manuális lépéseket végrehajtania, és nem kell szkriptet ütemezett feladatként futtatnia. Ahhoz, hogy ez működjön, az AD FS következő alapértelmezett konfigurációs beállításainak egyaránt érvényben kell lenniük:
Az AutoCertificateRollover AD FS tulajdonságot True értékre kell állítani, ami azt jelzi, hogy az AD FS automatikusan új jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványokat hoz létre a régiek lejárata előtt. Ha az érték Hamis, egyéni tanúsítványbeállításokat használ. Átfogó útmutatásért látogasson el ide.
Az összevonási metaadatoknak elérhetőnek kell lenniük a nyilvános interneten.
Egyszeri bejelentkezés kezelése
Más opcionális vagy alkalmi feladatokat is elvégezhet, hogy az egyszeri bejelentkezés zökkenőmentesen fusson.
A szakasz tartalma
URL-címek hozzáadása megbízható helyekhez az Internet Explorerben
Felhasználók bejelentkezésének korlátozása a felhőszolgáltatásba
Aktuális beállítások megtekintése
Megbízhatósági tulajdonságok frissítése
AD FS-kiszolgáló helyreállítása
Helyi hitelesítés típusának testreszabása
URL-címek hozzáadása megbízható helyekhez az Internet Explorerben
Miután az egyszeri bejelentkezés beállítása során hozzáadta vagy konvertálta a tartományokat, érdemes lehet hozzáadnia az AD FS-kiszolgáló teljes tartománynevét az Internet Explorer megbízható helyek listájához. Ez biztosítja, hogy a felhasználók ne kérjék a jelszavukat az AD FS-kiszolgálóhoz. Ezt a módosítást az ügyfélen kell elvégezni. Ezt a módosítást úgy is elvégezheti a felhasználók számára, hogy megad egy Csoportházirend beállítást, amely automatikusan hozzáadja ezt az URL-címet a tartományhoz csatlakoztatott számítógépek megbízható helyek listájához. További információ: Internet Explorer Policy Gépház.
Felhasználók bejelentkezésének korlátozása a felhőszolgáltatásba
Az AD FS lehetővé teszi a rendszergazdák számára, hogy egyéni szabályokat határozzanak meg, amelyek engedélyezik vagy megtagadják a felhasználók hozzáférését. Egyszeri bejelentkezés esetén az egyéni szabályokat a felhőszolgáltatáshoz társított függő entitás megbízhatóságára kell alkalmazni. Ezt a megbízhatósági kapcsolatot akkor hozta létre, amikor a parancsmagokat a Windows PowerShell futtatta az egyszeri bejelentkezés beállításához.
A felhasználók szolgáltatásokba való bejelentkezésének korlátozásával kapcsolatos további információkért lásd: Szabály létrehozása a felhasználók engedélyezéséhez vagy megtagadásához bejövő jogcím alapján. Az egyszeri bejelentkezés beállítására szolgáló parancsmagok futtatásával kapcsolatos további információkért lásd: Windows PowerShell telepítése egyszeri bejelentkezéshez az AD FS-sel.
Aktuális beállítások megtekintése
Ha bármikor meg szeretné tekinteni az aktuális AD FS-kiszolgálót és a felhőszolgáltatás beállításait, megnyithatja a Microsoft Azure Active Directory modult Windows PowerShell, majd futtathatjaConnect-MSOLService
, majd futtathatjaGet-MSOLFederationProperty –DomainName <domain>
. Így ellenőrizheti, hogy az AD FS-kiszolgálón lévő beállítások összhangban vannak-e a felhőszolgáltatás beállításaival. Ha a beállítások nem egyeznek, futtathatja a parancsot Update-MsolFederatedDomain –DomainName <domain>
. További információt a következő, "Megbízhatósági tulajdonságok frissítése" című szakaszban talál.
Megjegyzés
Ha több legfelső szintű tartományt kell támogatnia, például contoso.com és fabrikam.com, a SupportMultipleDomain kapcsolót kell használnia bármely parancsmaggal. További információ: Több legfelső szintű tartomány támogatása.
Mit kíván tenni?
Megbízhatósági tulajdonságok frissítése
Frissítenie kell az egyszeri bejelentkezés megbízhatósági tulajdonságait a felhőszolgáltatásban, ha:
Az URL-cím megváltozik: Ha módosítja az AD FS-kiszolgáló URL-címét, frissítenie kell a megbízhatósági tulajdonságokat.
Az elsődleges jogkivonat-aláíró tanúsítvány módosult: Az elsődleges jogkivonat aláíró tanúsítványának módosítása a 334-ös vagy a 335-ös eseményazonosítót aktiválja az AD FS-kiszolgáló eseménymegtekintő. Javasoljuk, hogy rendszeresen, legalább heti rendszerességgel ellenőrizze eseménymegtekintő.
Az AD FS-kiszolgáló eseményeinek megtekintéséhez kövesse az alábbi lépéseket.
Kattintson a Start menü, majd a Vezérlőpult gombra. Kategória nézetben kattintson a Rendszer és biztonság, majd a Felügyeleti eszközök, majd a eseménymegtekintő elemre.
Az AD FS eseményeinek megtekintéséhez a eseménymegtekintő bal oldali ablaktábláján kattintson az Alkalmazások és szolgáltatások naplói, majd az AD FS 2.0, majd a Rendszergazda elemre.
A jogkivonat-aláíró tanúsítvány minden évben lejár: A jogkivonat-aláíró tanúsítvány kritikus fontosságú az összevonási szolgáltatás stabilitása szempontjából. Ha megváltozik, Azure AD értesítést kell kapnia erről a változásról. Ellenkező esetben a felhőszolgáltatásoknak küldött kérések sikertelenek lesznek.
A megbízhatósági tulajdonságok manuális frissítéséhez kövesse az alábbi lépéseket.
Megjegyzés
Ha több legfelső szintű tartományt kell támogatnia, például contoso.com és fabrikam.com, a SupportMultipleDomain kapcsolót kell használnia bármely parancsmaggal. További információ: Több legfelső szintű tartomány támogatása.
Nyissa meg a Windows PowerShell Microsoft Azure Active Directory modult.
Futtassa az
$cred=Get-Credential
parancsot. Amikor ez a parancsmag hitelesítő adatokat kér, írja be a felhőszolgáltatás-rendszergazdai fiók hitelesítő adatait.Futtassa az
Connect-MsolService –Credential $cred
parancsot. Ez a parancsmag csatlakoztatja a felhőszolgáltatáshoz. Az eszköz által telepített további parancsmagok futtatása előtt létre kell hoznia egy környezetet, amely összeköti Önt a felhőszolgáltatással.Futtassa
Set-MSOLAdfscontext -Computer <AD FS primary server>
, ahol <az AD FS elsődleges kiszolgálója> az elsődleges AD FS-kiszolgáló belső teljes tartományneve. Ez a parancsmag létrehoz egy környezetet, amely az AD FS-hez csatlakozik.Megjegyzés
Ha telepítette a Microsoft Azure Active Directory modult az elsődleges kiszolgálón, akkor nem kell futtatnia ezt a parancsmagot.
Futtassa az
Update-MSOLFederatedDomain –DomainName <domain>
parancsot. Ez a parancsmag frissíti az AD FS beállításait a felhőszolgáltatásban, és konfigurálja a kettő közötti megbízható kapcsolatot.
Mit kíván tenni?
AD FS-kiszolgáló helyreállítása
Abban az esetben, ha elveszíti az elsődleges kiszolgálót, és nem tudja helyreállítani, elő kell léptetnie egy másik kiszolgálót, hogy az elsődleges kiszolgáló legyen. További információ: AD FS 2.0 – Az elsődleges összevonási kiszolgáló beállítása egy belső Windows-adatbázis farmban.
Megjegyzés
Ha az egyik AD FS-kiszolgáló meghibásodik, és beállított egy magas rendelkezésre állású farmkonfigurációt, a felhasználók továbbra is hozzáférhetnek a felhőszolgáltatáshoz. Ha a sikertelen kiszolgáló az elsődleges kiszolgáló, addig nem végezhet frissítéseket a farm konfigurációján, amíg elő nem léptet egy másik kiszolgálót elsődleges kiszolgálóvá.
Ha a farm összes kiszolgálóját elveszíti, az alábbi lépésekkel újra kell építenie a megbízhatóságot.
Megjegyzés
Ha több legfelső szintű tartományt kell támogatnia, például contoso.com és fabrikam.com, a SupportMultipleDomain kapcsolót kell használnia bármely parancsmaggal. A SupportMultipleDomain kapcsoló használatakor általában minden tartományon futtatnia kell az eljárást. Az AD FS-kiszolgáló helyreállításához azonban csak egyszer kell követnie az eljárást az egyik tartomány esetében. A kiszolgáló helyreállítása után az összes többi egyszeri bejelentkezési tartomány csatlakozik a felhőszolgáltatáshoz. További információ: Több legfelső szintű tartomány támogatása.
Nyissa meg a Microsoft Azure Active Directory modult.
Futtassa az
$cred=Get-Credential
parancsot. Amikor a parancsmag hitelesítő adatokat kér, írja be a felhőszolgáltatás-rendszergazdai fiók hitelesítő adatait.Futtassa az
Connect-MsolService –Credential $cred
parancsot. Ez a parancsmag csatlakoztatja a felhőszolgáltatáshoz. Az eszköz által telepített további parancsmagok futtatása előtt létre kell hoznia egy környezetet, amely összeköti Önt a felhőszolgáltatással.Futtassa
Set-MSOLAdfscontext -Computer <AD FS primary server>
, ahol <az AD FS elsődleges kiszolgálója> az elsődleges AD FS-kiszolgáló belső teljes tartományneve. Ez a parancsmag létrehoz egy környezetet, amely az AD FS-hez csatlakozik.Megjegyzés
Ha telepítette a Microsoft Azure Active Directory modult az elsődleges AD FS-kiszolgálón, akkor nem kell futtatnia ezt a parancsmagot.
Futtassa
Update-MsolFederatedDomain –DomainName <domain>
, ahol <a tartomány> az a tartomány, amelyhez frissíteni szeretné a tulajdonságokat. Ez a parancsmag frissíti a tulajdonságokat, és létrehozza a megbízhatósági kapcsolatot.Futtassa
Get-MsolFederationProperty –DomainName <domain>
azt a <tartományt> , amelynek a tulajdonságait meg szeretné tekinteni. Ezután összehasonlíthatja az elsődleges AD FS-kiszolgáló és a felhőszolgáltatás tulajdonságainak tulajdonságait, hogy biztosan egyezzenek. Ha nem egyeznek, futtassaUpdate-MsolFederatedDomain –DomainName <domain>
újra a tulajdonságok szinkronizálásához.
Lásd még:
Alapelvek
Ellenőrzőlista: Az AD FS használata egyszeri bejelentkezés implementálásához és kezeléséhez
Az egyszeri bejelentkezés ütemterve