Voorbereiden voor eenmalige aanmelding
Bijgewerkt: 25 juni 2015
Van toepassing op: Azure, Office 365, Power BI, Windows Intune
Notitie
Dit onderwerp is mogelijk niet volledig van toepassing op gebruikers van Microsoft Azure in China. Zie windowsazure.cn voor meer informatie over de Azure-service in China.
Voer de volgende stappen uit om u voor te bereiden op eenmalige aanmelding:
Stap 1: de vereisten voor eenmalige aanmelding controleren
Stap 2: Active Directory voorbereiden
Stap 1: de vereisten voor eenmalige aanmelding controleren
Als u deze SSO-oplossing wilt implementeren, moet u voldoen aan de volgende vereisten:
Active Directory geïmplementeerd en uitgevoerd in Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 of Windows Server 2012 R2 met een functioneel niveau van gemengde of systeemeigen modus.
Als u van plan bent AD FS te gebruiken als uw STS, moet u een van de volgende handelingen uitvoeren:
AD FS 2.0 downloaden, installeren en implementeren op een Windows Server 2008- of Windows Server 2008 R2-server. Als gebruikers verbinding maken van buiten het netwerk van uw bedrijf, moet u ook een AD FS 2.0-proxy implementeren.
Installeer de AD FS-functieservice op een Windows Server 2012- of Windows Server 2012 R2-server.
Als u van plan bent Shibboleth Identity Provider als uw STS te gebruiken, moet u een operationele Shibboleth Identity Provider installeren en voorbereiden.
Belangrijk
Microsoft ondersteunt deze ervaring voor eenmalige aanmelding als integratie van een Microsoft-cloudservice, zoals Microsoft Intune of Office 365, met de al geïnstalleerde en operationele Shibboleth Identity Provider. Shibboleth Identity Provider is een product van derden en daarom biedt Microsoft geen ondersteuning voor de implementatie, configuratie, probleemoplossing, best practices, enzovoort. problemen en vragen met betrekking tot de Shibboleth Identity Provider. Zie voor meer informatie over de Shibboleth Identity Provider https://go.microsoft.com/fwlink/?LinkID=256497.
Op basis van het type STS dat u gaat instellen, gebruikt u de Microsoft Azure Active Directory module voor Windows PowerShell om een federatieve vertrouwensrelatie tot stand te brengen tussen uw on-premises STS en Azure AD.
Installeer de vereiste updates voor uw Microsoft-cloudserviceabonnementen om ervoor te zorgen dat uw gebruikers de meest recente updates van Windows 7, Windows Vista of Windows XP uitvoeren. Sommige functies werken mogelijk niet goed zonder de juiste versies van besturingssystemen, browsers en software. Zie bijlage A: Softwarevereisten controleren voor meer informatie.
Stap 2: Active Directory voorbereiden
Active Directory moet bepaalde instellingen hebben geconfigureerd om goed te kunnen werken met eenmalige aanmelding. Met name de UPN (User Principal Name), ook wel een aanmeldingsnaam van een gebruiker genoemd, moet op een specifieke manier worden ingesteld voor elke gebruiker.
Notitie
Als u uw Active Directory-omgeving wilt voorbereiden voor eenmalige aanmelding, raden we u aan het Hulpprogramma voor implementatiegereedheid van Microsoft uit te voeren. Dit hulpprogramma inspecteert uw Active Directory-omgeving en biedt een rapport met informatie over of u klaar bent om eenmalige aanmelding in te stellen. Zo niet, dan worden de wijzigingen vermeld die u moet aanbrengen om eenmalige aanmelding voor te bereiden. Er wordt bijvoorbeeld gecontroleerd of uw gebruikers UPN's hebben en of deze UPN's de juiste indeling hebben.
Afhankelijk van elk van uw domeinen moet u mogelijk het volgende doen:
De UPN moet worden ingesteld en bekend zijn door de gebruiker.
Het UPN-domeinachtervoegsel moet zich onder het domein bevinden dat u wilt instellen voor eenmalige aanmelding.
Het domein dat u kiest om te federeren, moet worden geregistreerd als een openbaar domein met een domeinregistrar of binnen uw eigen openbare DNS-servers.
Volg de instructies in het Active Directory-onderwerp User Principal Name-achtervoegsels toevoegen om UPN's te maken. Houd er rekening mee dat UPN's die worden gebruikt voor eenmalige aanmelding alleen letters, cijfers, punten, streepjes en onderstrepingstekens kunnen bevatten.
Als uw Active Directory-domeinnaam geen openbaar internetdomein is (dit eindigt bijvoorbeeld met een '.local'-achtervoegsel), moet u een UPN instellen om een domeinachtervoegsel te hebben dat zich onder een internetdomeinnaam bevindt die openbaar kan worden geregistreerd. U wordt aangeraden iets bekends te gebruiken voor uw gebruikers, zoals hun e-maildomein.
Als u Al Active Directory-synchronisatie hebt ingesteld, komt de UPN van de gebruiker mogelijk niet overeen met de on-premises UPN van de gebruiker die is gedefinieerd in Active Directory. U lost dit op door de UPN van de gebruiker te hernoemen met behulp van de Set-MsolUserPrincipalName cmdlet in de Microsoft Azure Active Directory Module voor Windows PowerShell.