Bagikan melalui

Dukungan Beberapa Domain untuk Federasi dengan ID Microsoft Entra

  • Artikel

Dokumentasi berikut ini menyediakan panduan tentang cara menggunakan beberapa domain dan subdomain tingkat atas saat bergabung dengan domain Microsoft 365 atau Microsoft Entra.

Beberapa dukungan domain tingkat atas

Menggabungkan beberapa domain tingkat atas dengan MICROSOFT Entra ID memerlukan beberapa konfigurasi tambahan yang tidak diperlukan saat menggabungkan dengan satu domain tingkat atas.

Saat domain digabungkan dengan ID Microsoft Entra, beberapa properti diatur pada domain di Azure. Salah satu yang penting adalah IssuerUri. Properti ini adalah URI yang digunakan oleh MICROSOFT Entra ID untuk mengidentifikasi domain yang terkait dengan token. URI tidak perlu diselesaikan ke apa pun tetapi harus URI yang valid. Secara default, MICROSOFT Entra ID mengatur URI ke nilai pengidentifikasi layanan federasi dalam konfigurasi AD FS lokal Anda.

Nota

Pengidentifikasi layanan federasi adalah URI yang secara unik mengidentifikasi layanan federasi. Layanan federasi adalah instans Layanan Federasi Direktori Aktif yang berfungsi sebagai layanan token keamanan.

Anda dapat melihat IssuerUri dengan menggunakan perintah Get-MsolDomainFederationSettings -DomainName <your domain>PowerShell .

Nota

Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.

Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.

Masalah muncul saat Anda menambahkan lebih dari satu domain tingkat atas. Misalnya, Anda telah menyiapkan federasi antara ID Microsoft Entra dan lingkungan lokal Anda. Untuk dokumen ini, domain, bmcontoso.com sedang digunakan. Sekarang domain tingkat atas kedua, bmfabrikam.com telah ditambahkan.

Cuplikan layar memperlihatkan beberapa domain tingkat atas

Ketika Anda mencoba mengonversi domain bmfabrikam.com menjadi federasi, kesalahan terjadi. Pasalnya, ID Microsoft Entra memiliki batasan yang tidak memungkinkan properti IssuerUri memiliki nilai yang sama untuk lebih dari satu domain.

Cuplikan layar yang memperlihatkan kesalahan federasi di PowerShell.

SupportMultipleDomain Parameter

Untuk mengatasi batasan ini, Anda perlu menambahkan IssuerUri yang berbeda, yang dapat dilakukan dengan menggunakan -SupportMultipleDomain parameter . Parameter ini digunakan dengan cmdlet berikut:

  • New-MsolFederatedDomain
  • Convert-MsolDomaintoFederated
  • Update-MsolFederatedDomain

Parameter ini membuat MICROSOFT Entra ID mengonfigurasi IssuerUri sehingga didasarkan pada nama domain. IssuerUri akan unik di seluruh direktori di ID Microsoft Entra. Menggunakan parameter memungkinkan perintah PowerShell berhasil diselesaikan.

Cuplikan layar yang memperlihatkan keberhasilan penyelesaian perintah PowerShell.

-SupportMultipleDomain tidak mengubah titik akhir lain, yang masih dikonfigurasi untuk menunjuk ke layanan federasi pada adfs.bmcontoso.com.

-SupportMultipleDomain juga memastikan bahwa sistem Layanan Federasi Direktori Aktif menyertakan nilai Penerbit yang tepat dalam token yang dikeluarkan untuk ID Microsoft Entra. Nilai ini diatur dengan mengambil bagian domain dari UPN pengguna dan menggunakannya sebagai domain di IssuerUri, yaitu, https://{upn suffix}/adfs/services/trust.

Dengan demikian selama autentikasi ke ID Microsoft Entra atau Microsoft 365, elemen IssuerUri dalam token pengguna digunakan untuk menemukan domain di ID Microsoft Entra. Jika kecocokan tidak dapat ditemukan, autentikasi gagal.

Misalnya, jika UPN pengguna adalah bsimon@bmcontoso.com, elemen IssuerUri di token, penerbit Layanan Federasi Direktori Aktif, diatur ke http://bmcontoso.com/adfs/services/trust. Elemen ini cocok dengan konfigurasi Microsoft Entra, dan autentikasi berhasil.

Aturan klaim yang dikustomisasi berikut mengimplementasikan logika ini:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));

Penting

Untuk menggunakan sakelar -SupportMultipleDomain saat mencoba menambahkan domain baru atau mengonversi domain yang sudah ada, kepercayaan federasi Anda harus sudah disiapkan untuk mendukungnya.

Cara memperbarui kepercayaan antara LAYANAN Federasi Direktori Aktif dan ID Microsoft Entra

Jika Anda tidak menyiapkan kepercayaan federasi antara LAYANAN Federasi Direktori Aktif dan instans ID Microsoft Entra, Anda mungkin perlu membuat ulang kepercayaan ini. Alasannya adalah, ketika awalnya disiapkan tanpa -SupportMultipleDomain parameter , IssuerUri diatur dengan nilai default. Pada cuplikan layar di bawah ini, Anda dapat melihat IssuerUri diatur ke https://adfs.bmcontoso.com/adfs/services/trust.

Jika Anda berhasil menambahkan domain baru di pusat admin Microsoft Entra lalu mencoba mengonversinya menggunakan Convert-MsolDomaintoFederated -DomainName <your domain>, Anda akan mendapatkan kesalahan berikut.

Cuplikan layar yang memperlihatkan kesalahan federasi di PowerShell setelah mencoba mengonversi domain baru dengan perintah

Jika Anda mencoba menambahkan sakelar -SupportMultipleDomain , Anda akan menerima kesalahan berikut:

Cuplikan layar yang memperlihatkan kesalahan federasi setelah menambahkan sakelar

Hanya mencoba menjalankan Update-MsolFederatedDomain -DomainName <your domain> -SupportMultipleDomain pada domain asli juga akan mengakibatkan kesalahan.

Kesalahan federasi

Gunakan langkah-langkah di bawah ini untuk menambahkan domain tingkat atas tambahan. Jika Anda telah menambahkan domain, dan tidak menggunakan -SupportMultipleDomain parameter , mulailah dengan langkah-langkah untuk menghapus dan memperbarui domain asli Anda. Jika Anda belum menambahkan domain tingkat atas, Anda bisa mulai dengan langkah-langkah untuk menambahkan domain menggunakan PowerShell dari Microsoft Entra Connect.

Gunakan langkah-langkah berikut untuk menghapus kepercayaan Microsoft Online dan memperbarui domain asli Anda.

  1. Di server federasi Layanan Federasi Direktori Aktif Anda, buka Manajemen Layanan Federasi Direktori Aktif.
  2. Di sebelah kiri, perluas Hubungan Kepercayaan dan Kepercayaan Pihak yang Mengandalkan.
  3. Di sebelah kanan, hapus entri Platform Identitas Microsoft Office 365. Menghapus Microsoft Online
  4. Pada komputer yang memiliki modul Azure ACTIVE Directory PowerShell yang terinstal di dalamnya, jalankan PowerShell berikut: $cred=Get-Credential.
  5. Masukkan nama pengguna dan kata sandi Administrator Identitas Hibrid untuk domain Microsoft Entra yang Anda gabungkan.
  6. Di PowerShell, masukkan Connect-MsolService -Credential $cred.
  7. Di PowerShell, masukkan Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -SupportMultipleDomain. Pembaruan ini untuk domain asli. Jadi, menggunakan domain di atas, itu akan menjadi: Update-MsolFederatedDomain -DomainName bmcontoso.com -SupportMultipleDomain

Gunakan langkah-langkah berikut untuk menambahkan domain tingkat atas baru menggunakan PowerShell

  1. Pada komputer yang memiliki modul Azure ACTIVE Directory PowerShell yang terinstal di dalamnya, jalankan PowerShell berikut: $cred=Get-Credential.
  2. Masukkan nama pengguna dan kata sandi Administrator Identitas Hibrid untuk domain Microsoft Entra yang Anda gabungkan
  3. Di PowerShell, masukkan Connect-MsolService -Credential $cred
  4. Di PowerShell, masukkan New-MsolFederatedDomain –SupportMultipleDomain –DomainName

Gunakan langkah-langkah berikut untuk menambahkan domain tingkat atas baru menggunakan Microsoft Entra Connect.

  1. Luncurkan Microsoft Entra Connect dari desktop atau menu mulai
  2. Pilih "Tambahkan Domain Microsoft Entra tambahan" Cuplikan layar yang memperlihatkan halaman
  3. Masukkan KREDENSIAL Microsoft Entra ID dan Direktori Aktif Anda
  4. Pilih domain kedua yang ingin Anda konfigurasi untuk federasi. Menambahkan domain Microsoft Entra tambahan
  5. Klik Instal

Memverifikasi domain tingkat atas baru

Dengan menggunakan perintah Get-MsolDomainFederationSettings -DomainName <your domain>PowerShell, Anda dapat melihat IssuerUri yang diperbarui. Cuplikan layar di bawah ini menunjukkan pengaturan federasi diperbarui pada domain asli http://bmcontoso.com/adfs/services/trust

Dan IssuerUri pada domain baru telah diatur ke https://bmcontoso.com/adfs/services/trust

Dukungan untuk subdomain

Saat Anda menambahkan subdomain, karena cara ID Microsoft Entra menangani domain, ID Microsoft Entra mewarisi pengaturan induk. Jadi, IssuerUri, perlu mencocokkan orang tua.

Jadi mari kita katakan, misalnya, bahwa saya memiliki bmcontoso.com dan kemudian menambahkan corp.bmcontoso.com. IssuerUri untuk pengguna dari corp.bmcontoso.com harus http://bmcontoso.com/adfs/services/trust. Namun aturan standar yang diterapkan di atas untuk ID Microsoft Entra, menghasilkan token dengan pengeluar sertifikat sebagai http://corp.bmcontoso.com/adfs/services/trust, yang tidak akan cocok dengan nilai dan autentikasi yang diperlukan domain gagal.

Cara mengaktifkan dukungan untuk subdomain

Untuk mengatasi perilaku ini, Ad FS yang mengandalkan kepercayaan pihak untuk Microsoft Online perlu diperbarui. Untuk melakukan ini, Anda harus mengonfigurasi aturan klaim kustom sehingga menghapus subdomain apa pun dari akhiran UPN pengguna saat membuat nilai Penerbit kustom.

Gunakan klaim berikut:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

[! CATATAN] Angka terakhir dalam kumpulan ekspresi reguler adalah berapa banyak domain induk yang ada di domain akar Anda. Di sini bmcontoso.com digunakan, jadi diperlukan dua domain induk. Jika tiga domain induk harus disimpan (yaitu, corp.bmcontoso.com), maka jumlahnya akan menjadi tiga. Akhirnya rentang dapat ditunjukkan, kecocokan dibuat agar sesuai dengan maksimum domain. "{2,3}" cocok dengan dua hingga tiga domain (yaitu, bmfabrikam.com dan corp.bmcontoso.com).

Gunakan langkah-langkah berikut untuk menambahkan klaim kustom untuk mendukung subdomain.

  1. Buka Manajemen Layanan Federasi Direktori Aktif
  2. Klik kanan kepercayaan Microsoft Online RP dan pilih Edit aturan Klaim
  3. Pilih aturan klaim ketiga, dan ganti Edit klaim
  4. Ganti klaim saat ini:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));

dengan

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

Ganti klaim

  1. Klik Ok. Klik Terapkan. Klik Ok. Tutup Manajemen Layanan Federasi Direktori Aktif.

Langkah berikutnya

Sekarang setelah Microsoft Entra Connect terinstal, Anda dapat memverifikasi penginstalan dan menetapkan lisensi.

Pelajari selengkapnya tentang fitur-fitur ini, yang diaktifkan dengan penginstalan: Peningkatan otomatis, Mencegah penghapusan yang tidak disengaja, dan Microsoft Entra Connect Health.

Pelajari selengkapnya tentang topik umum ini: penjadwal dan cara memicu sinkronisasi.

Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.