Menggabungkan beberapa instans ID Microsoft Entra dengan satu instans AD FS
Satu farm Layanan Federasi Direktori Aktif yang sangat tersedia dapat menggabungkan multiple forest jika mereka memiliki kepercayaan 2 arah di antara mereka. Beberapa forest ini mungkin atau mungkin tidak sesuai dengan ID Microsoft Entra yang sama. Artikel ini menyediakan instruksi tentang cara mengonfigurasi federasi antara satu penyebaran LAYANAN Federasi Direktori Aktif dan beberapa instans ID Microsoft Entra.
Catatan
Penulisan balik perangkat dan penggabungan perangkat otomatis tidak didukung dalam skenario ini.
Catatan
Microsoft Entra Koneksi tidak dapat digunakan untuk mengonfigurasi federasi dalam skenario ini karena Microsoft Entra Koneksi dapat mengonfigurasi federasi untuk domain dalam satu ID Microsoft Entra.
Langkah-langkah untuk menggabungkan Layanan Federasi Direktori Aktif dengan beberapa ID Microsoft Entra
Pertimbangkan contoso.com domain di Microsoft Entra contoso.onmicrosoft.com sudah digabungkan dengan Layanan Federasi Direktori Aktif lokal yang diinstal di lingkungan contoso.com Active Directory lokal. Fabrikam.com adalah domain di fabrikam.onmicrosoft.com ID Microsoft Entra.
Langkah 1: Membangun kepercayaan dua arah
Agar Layanan Federasi Direktori Aktif di contoso.com dapat mengautentikasi pengguna di fabrikam.com, diperlukan kepercayaan dua arah antara pengguna contoso.com fabrikam.com. Ikuti panduan dalam artikel ini untuk menciptakan kepercayaan dua arah.
Langkah 2: Mengubah pengaturan federasi contoso.com
Pengeluar sertifikat default yang ditetapkan untuk satu domain yang bergabung dengan AD FS adalah "http://ADFSServiceFQDN/adfs/services/trust", misalnya, http://fs.contoso.com/adfs/services/trust. ID Microsoft Entra memerlukan pengeluar sertifikat unik untuk setiap domain federasi. Karena AD FS akan menggabungkan dua domain, nilai pengeluar sertifikat perlu dimodifikasi sehingga unik.
Catatan
Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.
Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.
Di server AD FS, buka Azure AD PowerShell (pastikan bahwa modul MSOnline diinstal) dan lakukan langkah-langkah berikut:
Koneksi ke ID Microsoft Entra yang berisi domain contoso.com.
Connect-MsolService
Perbarui pengaturan federasi untuk contoso.com:
Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
Pengeluar sertifikat dalam pengaturan federasi domain akan diubah menjadi http://contoso.com/adfs/services/trust dan aturan klaim penerbitan akan ditambahkan untuk Microsoft Entra ID Relying Party Trust untuk mengeluarkan nilai issuerId yang benar berdasarkan akhiran UPN.
Langkah 3: Menggabungkan fabrikam.com dengan Layanan Federasi Direktori Aktif
Dalam sesi Azure AD PowerShell lakukan langkah-langkah berikut: Koneksi ke ID Microsoft Entra yang berisi domain fabrikam.com
Connect-MsolService
Mengonversi domain yang dikelola fabrikam.com menjadi federasi:
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
Operasi di atas akan menggabungkan domain fabrikam.com dengan Layanan Federasi Direktori Aktif yang sama. Anda dapat memverifikasi pengaturan domain dengan menggunakan Get-MsolDomainFederationSettings untuk kedua domain.