Megosztás a következőn keresztül:

Megbízhatóság beállítása az AD FS és a Azure AD között

  • Cikk

Frissítve: 2015. június 25.

A következőkre vonatkozik: Azure, Office 365, Power BI, Windows Intune

Minden egyes összevonni kívánt tartományt fel kell venni egyszeri bejelentkezési tartományként, vagy egy standard tartományból származó egyszeri bejelentkezési tartománysá kell alakítani. Tartomány hozzáadása vagy konvertálása megbízhatósági kapcsolatot állít be az AD FS és a Microsoft Azure Active Directory (Microsoft Azure AD) között.

Fontos

  • Ha egy legfelső szintű tartományon (például contoso.com) kívül altartományt (például corp.contoso.com) is használ, akkor az altartományok hozzáadása előtt hozzá kell adnia a legfelső szintű tartományt a felhőszolgáltatáshoz. Amikor a legfelső szintű tartomány be van állítva az egyszeri bejelentkezéshez, az összes altartomány is automatikusan be lesz állítva.

  • A megbízhatóság beállítása egyszeri művelet, és nem kell újra futtatnia a Microsoft Azure Active Directory modult Windows PowerShell parancsmagokhoz, ha további AD FS-kiszolgálókat ad hozzá a kiszolgálófarmhoz.

  • Ha tartományt ad hozzá és ellenőriz a Microsoft Azure Active Directory modullal, több további beállítást is meg kell adnia. Ezekre a beállításokra azért van szükség, hogy láthassa azokat a DNS-rekordokat, amelyeket konfigurálnia kell ahhoz, hogy a tartomány működjön a felhőszolgáltatással.

Ha több legfelső szintű tartományt kell támogatnia, a SupportMultipleDomain kapcsolót kell használnia bármilyen parancsmaggal, például a "Tartomány hozzáadása" és a "Tartomány konvertálása" eljárásokban használt parancsmagokkal.

Ha például contoso.com és fabrikam.com is egyszeri bejelentkezési tartományként szeretné hozzáadni, kövesse a "Tartomány hozzáadása" eljárást contoso.com esetében, a supportMultipleDomain kapcsolóval minden olyan lépésben, amely rendelkezik parancsmaggal. Tehát az 5. lépéshez a New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Miután elvégezte a contoso.com eljárásának összes lépését, ismét meg kell ismételnie az eljárást a fabrikam.com tartományra vonatkozóan. Az 5. lépésben a következőt használná New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain: .

További információ: Több legfelső szintű tartomány támogatása.

Végezze el az alábbi eljárások egyikét az összevont megbízhatósági kapcsolat Azure AD való beállításához attól függően, hogy új tartományt kell-e hozzáadnia vagy meglévő tartományt konvertálnia.

  • Tartomány hozzáadása

  • Tartomány konvertálása

Tartomány hozzáadása

  1. Nyissa meg a Microsoft Azure Active Directory modult.

  2. Futtassa az $cred=Get-Credential parancsot. Amikor a parancsmag hitelesítő adatokat kér, írja be a felhőszolgáltatás-rendszergazdai fiók hitelesítő adatait.

  3. Futtassa az Connect-MsolService –Credential $cred parancsot. Ez a parancsmag csatlakoztatja a Azure AD. Az eszköz által telepített további parancsmagok futtatása előtt létre kell hoznia egy környezetet, amely Azure AD csatlakoztatja Önt.

  4. Futtassa Set-MsolAdfscontext -Computer <AD FS primary server>, ahol <az AD FS elsődleges kiszolgálója> az elsődleges AD FS-kiszolgáló belső teljes tartományneve. Ez a parancsmag létrehoz egy környezetet, amely az AD FS-hez csatlakozik.

    Megjegyzés

    Ha telepítette a Microsoft Azure Active Directory modult az elsődleges AD FS-kiszolgálón, akkor nem kell futtatnia ezt a parancsmagot.

  5. Futtassa New-MsolFederatedDomain –DomainName <domain>azokat a tartományokat>, amelyekhez <hozzá kell adni és engedélyezni kell az egyszeri bejelentkezést. Ez a parancsmag hozzáad egy új legfelső szintű tartományt vagy altartományt, amely összevont hitelesítésre lesz konfigurálva.

    Megjegyzés

    Miután a New-MsolFederatedDomain parancsmagot használta egy legfelső szintű tartomány hozzáadásához, nem fogja tudni használni a New-MsolDomain parancsmagot standard tartományok (nem összevont) hozzáadására.

  6. A parancsmag eredményei New-MsolFederatedDomain által megadott információk használatával lépjen kapcsolatba a tartományregisztrálóval a szükséges DNS-rekord létrehozásához. Ez ellenőrzi, hogy Öné-e a tartomány. Vegye figyelembe, hogy a propagálás a regisztrálótól függően akár 15 percet is igénybe vehet. A módosítások a rendszeren keresztül történő propagálása akár 72 órát is igénybe vehet. További információ: Tartomány ellenőrzése bármely tartománynév-regisztrálónál.

  7. Futtasson New-MsolFederatedDomain még egyszer, és adja meg ugyanazt a tartománynevet a folyamat véglegesítéséhez.

Tartomány konvertálása

Ha egy meglévő tartományt egyetlen bejelentkezési tartománysá alakít át, minden licenccel rendelkező felhasználó összevont felhasználóvá válik a meglévő Active Directory vállalati hitelesítő adataival (felhasználónévvel és jelszóval) a felhőszolgáltatások eléréséhez. Az egyszeri bejelentkezés szakaszos bevezetése jelenleg nem lehetséges; Az egyszeri bejelentkezést azonban az éles Active Directory-erdőből származó éles felhasználók készletével is tesztelheti. További információ: Próbaüzem futtatása az egyszeri bejelentkezés teszteléséhez a beállítás előtt (nem kötelező).

Megjegyzés

A felhasználókra gyakorolt hatás csökkentése érdekében a legjobb, ha a legkevesebb felhasználó ( például hétvégén) van.

Ha egy meglévő tartományt egyetlen bejelentkezési tartománysá szeretne alakítani, kövesse az alábbi lépéseket.

  1. Nyissa meg a Microsoft Azure Active Directory modult.

  2. Futtassa az $cred=Get-Credential parancsot. Amikor a parancsmag hitelesítő adatokat kér, írja be a felhőszolgáltatás-rendszergazdai fiók hitelesítő adatait.

  3. Futtassa az Connect-MsolService –Credential $cred parancsot. Ez a parancsmag csatlakoztatja a Azure AD. Az eszköz által telepített további parancsmagok futtatása előtt létre kell hoznia egy környezetet, amely Azure AD csatlakoztatja Önt.

  4. Futtassa Set-MsolAdfscontext -Computer <AD FS primary server>, ahol <az AD FS elsődleges kiszolgálója> az elsődleges AD FS-kiszolgáló belső teljes tartományneve. Ez a parancsmag létrehoz egy környezetet, amely az AD FS-hez csatlakozik.

    Megjegyzés

    Ha telepítette a Microsoft Azure Active Directory modult az elsődleges AD FS-kiszolgálón, akkor nem kell futtatnia ezt a parancsmagot.

  5. Futtassa Convert-MsolDomainToFederated –DomainName <domain>, ahol <a konvertálandó tartomány a tartomány> . Ez a parancsmag a tartományt szabványos hitelesítésről egyszeri bejelentkezésre módosítja.

Megjegyzés

A konvertálás sikerességének ellenőrzéséhez hasonlítsa össze az AD FS-kiszolgálón és a Azure AD beállításait a futtatássalGet-MsolFederationProperty –DomainName <domain>, ahol <a tartomány> az a tartomány, amelynek a beállításait meg szeretné tekinteni. Ha nem egyeznek, futtathatja Update-MsolFederatedDomain –DomainName <domain> a beállítások szinkronizálásához.

Következő lépés

Most, hogy beállított egy megbízhatósági kapcsolatot az AD FS és Azure AD között, be kell állítania az Active Directory-szinkronizálást. További információ: Címtár-szinkronizálási ütemterv. Az Active Directory-szinkronizálás beállítása után lásd: Egyszeri bejelentkezés ellenőrzése és kezelése az AD FS-sel.

Lásd még:

Alapelvek

Ellenőrzőlista: Az AD FS használata egyszeri bejelentkezés implementálásához és kezeléséhez
Az egyszeri bejelentkezés ütemterve