Eenmalige aanmelding verifiëren en beheren met AD FS
Bijgewerkt: 25 juni 2015
Van toepassing op: Azure, Office 365, Power BI, Windows Intune
Notitie
Dit onderwerp is mogelijk niet volledig van toepassing op gebruikers van Microsoft Azure in China. Zie windowsazure.cn voor meer informatie over de Azure-service in China.
Als beheerder controleert en beheert u eenmalige aanmelding (ook wel identiteitsfederatie genoemd) en voert u de stappen in Checklist uit: AD FS gebruiken om eenmalige aanmelding te implementeren en te beheren.
Nadat u eenmalige aanmelding hebt ingesteld, moet u controleren of deze correct werkt. Er zijn ook verschillende beheertaken die u af en toe kunt uitvoeren om deze soepel te laten verlopen.
Wat wilt u doen?
Controleer of eenmalige aanmelding juist is ingesteld
Eenmalige aanmelding beheren
Controleer of eenmalige aanmelding juist is ingesteld
Als u wilt controleren of eenmalige aanmelding correct is ingesteld, kunt u de volgende procedure uitvoeren om te controleren of u zich kunt aanmelden bij de cloudservice met uw bedrijfsreferenties, eenmalige aanmelding testen voor verschillende gebruiksscenario's en Microsoft Remote Connectivity Analyzer gebruiken.
Notitie
- Als u een domein hebt geconverteerd in plaats van er een toe te voegen, kan het tot 24 uur duren voordat eenmalige aanmelding is ingesteld.
- Voordat u eenmalige aanmelding verifieert, moet u klaar zijn met het instellen van Active Directory-synchronisatie, het synchroniseren van uw mappen en het activeren van uw gesynchroniseerde gebruikers. Zie roadmap voor adreslijstsynchronisatie voor meer informatie.
Voer de volgende stappen uit om te controleren of eenmalige aanmelding correct is ingesteld.
Meld u op een computer die lid is van een domein aan bij uw Microsoft-cloudservice met dezelfde aanmeldingsnaam die u gebruikt voor uw bedrijfsreferenties.
Klik in het wachtwoordvak. Als eenmalige aanmelding is ingesteld, wordt het wachtwoordvak gearceerd en ziet u het volgende bericht: 'U bent nu verplicht om u aan te melden bij <uw bedrijf>'.
Klik op de koppeling Aanmelden bij <uw bedrijf> .
Als u zich kunt aanmelden, is eenmalige aanmelding ingesteld.
Eenmalige aanmelding testen voor verschillende gebruiksscenario's
Nadat u hebt gecontroleerd of eenmalige aanmelding is voltooid, test u de volgende aanmeldingsscenario's om ervoor te zorgen dat eenmalige aanmelding en de AD FS 2.0-implementatie correct zijn geconfigureerd. Vraag een groep van uw gebruikers om hun toegang tot de cloudserviceservices te testen vanuit browsers en uitgebreide clienttoepassingen, zoals Microsoft Office 2010, in de volgende omgevingen:
Vanaf een computer die lid is van een domein
Vanaf een computer die niet lid is van een domein in het bedrijfsnetwerk
Vanaf een zwervende computer die lid is van een domein buiten het bedrijfsnetwerk
Van de verschillende besturingssystemen die u in uw bedrijf gebruikt
Vanaf een thuiscomputer
Vanuit een internet kiosk (test de toegang tot de cloudservice alleen via een browser)
Van een smartphone (bijvoorbeeld een smartphone die gebruikmaakt van Microsoft Exchange ActiveSync)
Microsoft Remote Connectivity Analyzer gebruiken
Als u de connectiviteit met eenmalige aanmelding wilt testen, kunt u Microsoft Remote Connectivity Analyzer gebruiken. Klik op het tabblad Office 365, klik op Microsoft Single Sign-On en klik vervolgens op Volgende. Volg de schermprompts om de test uit te voeren. De analyzer valideert uw mogelijkheid om u aan te melden bij de cloudservice met uw bedrijfsreferenties. Het valideert ook een aantal eenvoudige AD FS 2.0-configuratie.
Wat wilt u doen?
Taak plannen om Azure AD bij te werken wanneer er een wijziging wordt aangebracht in het certificaat voor tokenondertekening, wordt de aanbeveling niet meer aanbevolen
Als u AD FS 2.0 of hoger gebruikt, Office 365 en Azure AD automatisch uw certificaat bijwerken voordat het verloopt. U hoeft geen handmatige stappen uit te voeren of een script uit te voeren als geplande taak. Dit werkt alleen als beide van de volgende standaard AD FS-configuratie-instellingen van kracht zijn:
De EIGENSCHAP AutoCertificateRollover van AD FS moet worden ingesteld op True, wat aangeeft dat AD FS automatisch nieuwe tokenondertekening- en tokenonsleutelingscertificaten genereert voordat de oude verlopen. Als de waarde Onwaar is, gebruikt u aangepaste certificaatinstellingen. Ga hierheen voor uitgebreide richtlijnen.
Uw federatiemetagegevens moeten beschikbaar zijn voor het openbare internet.
Eenmalige aanmelding beheren
Er zijn andere optionele of incidentele taken die u kunt uitvoeren om eenmalige aanmelding soepel te laten verlopen.
In deze sectie
URL's toevoegen aan vertrouwde sites in Internet Explorer
Gebruikers beperken zich aan te melden bij de cloudservice
Huidige instellingen weergeven
Eigenschappen van vertrouwensrelaties bijwerken
Een AD FS-server herstellen
Lokaal verificatietype aanpassen
URL's toevoegen aan vertrouwde sites in Internet Explorer
Nadat u uw domeinen hebt toegevoegd of geconverteerd als onderdeel van het instellen van eenmalige aanmelding, kunt u de volledig gekwalificeerde domeinnaam van uw AD FS-server toevoegen aan de lijst met vertrouwde sites in Internet Explorer. Dit zorgt ervoor dat gebruikers niet worden gevraagd om hun wachtwoord naar de AD FS-server. Deze wijziging moet worden aangebracht op de client. U kunt deze wijziging ook aanbrengen voor uw gebruikers door een groepsbeleid instelling op te geven waarmee deze URL automatisch wordt toegevoegd aan de lijst met vertrouwde sites voor computers die lid zijn van een domein. Zie Internet Explorer-beleid Instellingen voor meer informatie.
Gebruikers beperken zich aan te melden bij de cloudservice
AD FS biedt beheerders de mogelijkheid om aangepaste regels te definiëren die gebruikers toegang verlenen of weigeren. Voor eenmalige aanmelding moeten de aangepaste regels worden toegepast op de relying party-vertrouwensrelatie die is gekoppeld aan de cloudservice. U hebt deze vertrouwensrelatie gemaakt toen u de cmdlets in Windows PowerShell hebt uitgevoerd om eenmalige aanmelding in te stellen.
Zie Een regel maken om gebruikers toe te staan of te weigeren op basis van een binnenkomende claim voor meer informatie over het beperken van gebruikers om zich aan te melden bij services. Zie Install Windows PowerShell for single sign-on with AD FS (Install Windows PowerShell for single sign-on with AD FS) voor meer informatie over het uitvoeren van cmdlets voor het instellen van eenmalige aanmelding.
Huidige instellingen weergeven
Als u op elk gewenst moment de huidige AD FS-server en de cloudservice-instellingen wilt weergeven, kunt u de Microsoft Azure Active Directory Module voor Windows PowerShell openen en uitvoeren Connect-MSOLService
en vervolgens uitvoerenGet-MSOLFederationProperty –DomainName <domain>
. Hiermee kunt u controleren of de instellingen op de AD FS-server consistent zijn met die in de cloudservice. Als de instellingen niet overeenkomen, kunt u uitvoeren Update-MsolFederatedDomain –DomainName <domain>
. Zie de volgende sectie, 'Eigenschappen van vertrouwensrelatie bijwerken', voor meer informatie.
Notitie
Als u meerdere domeinen op het hoogste niveau wilt ondersteunen, zoals contoso.com en fabrikam.com, moet u de Switch SupportMultipleDomain gebruiken met cmdlets. Zie Ondersteuning voor meerdere domeinen op het hoogste niveau voor meer informatie.
Wat wilt u doen?
Eigenschappen van vertrouwensrelaties bijwerken
U moet de eigenschappen van de vertrouwensrelatie voor eenmalige aanmelding bijwerken in de cloudservice wanneer:
De URL wordt gewijzigd: Als u wijzigingen aanbrengt in de URL voor de AD FS-server, moet u de eigenschappen van de vertrouwensrelatie bijwerken.
Het primaire tokenondertekeningscertificaat is gewijzigd: Als u het primaire tokenondertekeningscertificaat wijzigt, wordt gebeurtenis-id 334 of gebeurtenis-id 335 in Logboeken voor AD FS-server geactiveerd. We raden u aan Logboeken regelmatig te controleren, ten minste wekelijks.
Volg deze stappen om de gebeurtenissen voor de AD FS-server weer te geven.
Klik op Start, en klik vervolgens op Configuratiescherm. Klik in de categorieweergave op Systeem en beveiliging, klik vervolgens op Systeembeheerprogramma's en klik vervolgens op Logboeken.
Als u de gebeurtenissen voor AD FS wilt weergeven, klikt u in het linkerdeelvenster van Logboeken op Toepassingen en Services-logboeken, klikt u vervolgens op AD FS 2.0 en vervolgens op Beheerder.
Het certificaat voor tokenondertekening verloopt elk jaar: Het certificaat voor token-ondertekening is essentieel voor de stabiliteit van de Federation Service. Als deze wijziging wordt gewijzigd, moet Azure AD op de hoogte worden gesteld van deze wijziging. Anders mislukken aanvragen voor uw cloudservices.
Volg deze stappen om de vertrouwenseigenschappen handmatig bij te werken.
Notitie
Als u meerdere domeinen op het hoogste niveau wilt ondersteunen, zoals contoso.com en fabrikam.com, moet u de Switch SupportMultipleDomain gebruiken met cmdlets. Zie Ondersteuning voor meerdere domeinen op het hoogste niveau voor meer informatie.
Open de Microsoft Azure Active Directory-module voor Windows PowerShell.
Voer
$cred=Get-Credential
uit. Wanneer deze cmdlet u om referenties vraagt, typt u de referenties van uw cloudservicebeheerdersaccount.Voer
Connect-MsolService –Credential $cred
uit. Met deze cmdlet maakt u verbinding met de cloudservice. Het maken van een context waarmee u verbinding maakt met de cloudservice is vereist voordat u een van de extra cmdlets uitvoert die door het hulpprogramma zijn geïnstalleerd.Uitvoeren
Set-MSOLAdfscontext -Computer <AD FS primary server>
, waarbij <de primaire AD FS-server> de interne FQDN-naam van de primaire AD FS-server is. Met deze cmdlet maakt u een context die u verbindt met AD FS.Notitie
Als u de Microsoft Azure Active Directory Module op de primaire server hebt geïnstalleerd, hoeft u deze cmdlet niet uit te voeren.
Voer
Update-MSOLFederatedDomain –DomainName <domain>
uit. Met deze cmdlet worden de instellingen van AD FS in de cloudservice bijgewerkt en wordt de vertrouwensrelatie tussen de twee geconfigureerd.
Wat wilt u doen?
Een AD FS-server herstellen
Als u de primaire server kwijtraakt en deze niet kunt herstellen, moet u een andere server promoveren om de primaire server te worden. Zie AD FS 2.0 - De primaire federatieserver instellen in een WID-farm voor meer informatie.
Notitie
Als een van uw AD FS-servers mislukt en u een farmconfiguratie met hoge beschikbaarheid hebt ingesteld, hebben gebruikers nog steeds toegang tot de cloudservice. Als de mislukte server de primaire server is, kunt u geen updates voor de farmconfiguratie uitvoeren totdat u een andere server promoveert om de primaire server te worden.
Als u alle servers in de farm kwijtraakt, moet u de vertrouwensrelatie opnieuw opbouwen met de volgende stappen.
Notitie
Als u meerdere domeinen op het hoogste niveau wilt ondersteunen, zoals contoso.com en fabrikam.com, moet u de switch SupportMultipleDomain gebruiken met cmdlets. Wanneer u de SupportMultipleDomain-switch gebruikt, moet u meestal de procedure uitvoeren op elk van uw domeinen. Als u echter uw AD FS-server wilt herstellen, hoeft u de procedure slechts eenmaal voor een van uw domeinen te volgen. Zodra uw server is hersteld, maken al uw andere domeinen voor eenmalige aanmelding verbinding met de cloudservice. Zie Ondersteuning voor meerdere domeinen op het hoogste niveau voor meer informatie.
Open de Microsoft Azure Active Directory Module.
Voer
$cred=Get-Credential
uit. Wanneer de cmdlet u om referenties vraagt, typt u de referenties van uw cloudservicebeheerderaccount.Voer
Connect-MsolService –Credential $cred
uit. Met deze cmdlet maakt u verbinding met de cloudservice. Het maken van een context waarmee u verbinding maakt met de cloudservice is vereist voordat u een van de extra cmdlets uitvoert die door het hulpprogramma zijn geïnstalleerd.Uitvoeren
Set-MSOLAdfscontext -Computer <AD FS primary server>
, waarbij <de primaire AD FS-server> de interne FQDN-naam van de primaire AD FS-server is. Met deze cmdlet maakt u een context die u verbindt met AD FS.Notitie
Als u de Microsoft Azure Active Directory Module op de primaire AD FS-server hebt geïnstalleerd, hoeft u deze cmdlet niet uit te voeren.
Voer
Update-MsolFederatedDomain –DomainName <domain>
uit, waarbij <het domein het domein> is waarvoor u eigenschappen wilt bijwerken. Met deze cmdlet worden de eigenschappen bijgewerkt en wordt de vertrouwensrelatie tot stand brengt.Voer
Get-MsolFederationProperty –DomainName <domain>
uit, waarbij <het domein het domein> is waarvoor u eigenschappen wilt weergeven. Vervolgens kunt u de eigenschappen van de primaire AD FS-server en de eigenschappen in de cloudservice vergelijken om ervoor te zorgen dat deze overeenkomen. Als deze niet overeenkomen, voertUpdate-MsolFederatedDomain –DomainName <domain>
u opnieuw uit om de eigenschappen te synchroniseren.
Zie ook
Concepten
Controlelijst: AD FS gebruiken om eenmalige aanmelding te implementeren en beheren
Roadmap voor eenmalige aanmelding