Weryfikowanie logowania jednokrotnego i zarządzanie nim przy użyciu usług AD FS
Zaktualizowano: 25 czerwca 2015 r.
Dotyczy: Azure, Office 365, Power BI, Windows Intune
Uwaga
Ten temat może nie być całkowicie stosowany do użytkowników Microsoft Azure w Chinach. Aby uzyskać więcej informacji na temat usługi platformy Azure w Chinach, zobacz windowsazure.cn.
Jako administrator przed zweryfikowaniem logowania jednokrotnego i zarządzaniem nim (nazywanym również federacją tożsamości) przejrzyj informacje i wykonaj kroki opisane na liście kontrolnej: Za pomocą usług AD FS można zaimplementować logowanie jednokrotne i zarządzać nim.
Po skonfigurowaniu logowania jednokrotnego należy sprawdzić, czy działa prawidłowo. Istnieje również kilka zadań zarządzania, które można wykonywać od czasu do czasu, aby zapewnić bezproblemowe działanie.
Co chcesz zrobić?
Sprawdź, czy logowanie jednokrotne zostało poprawnie skonfigurowane
Zarządzanie logowaniem jednokrotnym
Sprawdź, czy logowanie jednokrotne zostało poprawnie skonfigurowane
Aby sprawdzić, czy logowanie jednokrotne zostało poprawnie skonfigurowane, możesz wykonać następującą procedurę, aby potwierdzić, że możesz zalogować się do usługi w chmurze przy użyciu poświadczeń firmowych, przetestować logowanie jednokrotne dla różnych scenariuszy użycia i użyć analizatora łączności zdalnej firmy Microsoft.
Uwaga
- W przypadku przekonwertowania domeny zamiast dodawania jej może upłynąć do 24 godzin, aby skonfigurować logowanie jednokrotne.
- Przed zweryfikowaniem logowania jednokrotnego należy zakończyć konfigurowanie synchronizacji usługi Active Directory, synchronizowanie katalogów i aktywowanie zsynchronizowanych użytkowników. Aby uzyskać więcej informacji, zobacz Harmonogram synchronizacji katalogów.
Aby sprawdzić, czy logowanie jednokrotne zostało poprawnie skonfigurowane, wykonaj następujące kroki.
Na komputerze przyłączonym do domeny zaloguj się do usługi w chmurze firmy Microsoft przy użyciu tej samej nazwy logowania, która jest używana dla poświadczeń firmowych.
Kliknij wewnątrz pola hasła. Jeśli logowanie jednokrotne zostanie skonfigurowane, pole hasła zostanie zacienione i zostanie wyświetlony następujący komunikat: "Teraz musisz się zalogować w <firmie>".
Kliknij link Zaloguj się w <firmie> .
Jeśli możesz się zalogować, logowanie jednokrotne zostało skonfigurowane.
Testowanie logowania jednokrotnego dla różnych scenariuszy użycia
Po sprawdzeniu, czy logowanie jednokrotne zostało ukończone, przetestuj następujące scenariusze logowania, aby upewnić się, że logowanie jednokrotne i wdrożenie usług AD FS 2.0 są poprawnie skonfigurowane. Poproś grupę użytkowników o przetestowanie dostępu do usług w chmurze z przeglądarek, a także rozbudowanych aplikacji klienckich, takich jak Microsoft Office 2010, w następujących środowiskach:
Z komputera przyłączonego do domeny
Z komputera nieprzyłączonych do domeny w sieci firmowej
Z komputera przyłączonego do domeny mobilnej poza siecią firmową
Z różnych systemów operacyjnych używanych w firmie
Z komputera macierzystego
Z kiosku internetowego (przetestuj dostęp do usługi w chmurze tylko za pośrednictwem przeglądarki)
Z telefonu inteligentnego (na przykład inteligentnego telefonu korzystającego z Exchange ActiveSync Firmy Microsoft)
Korzystanie z analizatora łączności zdalnej firmy Microsoft
Aby przetestować łączność z logowaniem jednokrotnym, możesz użyć analizatora łączności zdalnej firmy Microsoft. Kliknij kartę Office 365, kliknij pozycję Logowanie jednokrotne firmy Microsoft, a następnie kliknij przycisk Dalej. Postępuj zgodnie z monitami wyświetlanymi na ekranie, aby wykonać test. Analizator weryfikuje możliwość logowania się do usługi w chmurze przy użyciu poświadczeń firmowych. Sprawdza również podstawową konfigurację usług AD FS 2.0.
Co chcesz zrobić?
Zaplanuj zadanie aktualizacji Azure AD po wprowadzeniu zmiany certyfikatu podpisywania tokenu nie jest już zaleceniem
Jeśli używasz usług AD FS 2.0 lub nowszych, Office 365 i Azure AD automatycznie zaktualizuje certyfikat przed wygaśnięciem. Nie trzeba wykonywać żadnych ręcznych kroków ani uruchamiać skryptu jako zaplanowanego zadania. Aby można było to zrobić, oba następujące domyślne ustawienia konfiguracji usług AD FS muszą obowiązywać:
Właściwość AutoCertificateRollover usług AD FS musi być ustawiona na True, co oznacza, że usługi AD FS automatycznie wygenerują nowe certyfikaty podpisywania tokenu i odszyfrowywania tokenów przed wygaśnięciem starych. Jeśli wartość to Fałsz, używasz niestandardowych ustawień certyfikatu. Przejdź tutaj, aby uzyskać kompleksowe wskazówki.
Metadane federacji muszą być dostępne dla publicznego Internetu.
Zarządzanie logowaniem jednokrotnym
Istnieją inne opcjonalne lub okazjonalne zadania, które można wykonać, aby bezproblemowo działać logowanie jednokrotne.
W tej sekcji
Dodawanie adresów URL do zaufanych witryn w programie Internet Explorer
Ograniczanie użytkownikom logowania się do usługi w chmurze
Wyświetlanie bieżących ustawień
Aktualizowanie właściwości zaufania
Odzyskiwanie serwera usług AD FS
Dostosowywanie lokalnego typu uwierzytelniania
Dodawanie adresów URL do zaufanych witryn w programie Internet Explorer
Po dodaniu lub przekonwertowaniu domen w ramach konfigurowania logowania jednokrotnego możesz dodać w pełni kwalifikowaną nazwę domeny serwera usług AD FS do listy zaufanych witryn w programie Internet Explorer. Dzięki temu użytkownicy nie będą monitowani o podanie hasła do serwera usług AD FS. Ta zmiana musi zostać wprowadzona na kliencie. Możesz również wprowadzić tę zmianę dla użytkowników, określając ustawienie zasady grupy, które spowoduje automatyczne dodanie tego adresu URL do listy zaufanych witryn dla komputerów przyłączonych do domeny. Aby uzyskać więcej informacji, zobacz Ustawienia zasad programu Internet Explorer.
Ograniczanie użytkownikom logowania się do usługi w chmurze
Usługi AD FS udostępnia administratorom opcję definiowania reguł niestandardowych, które będą udzielać lub odmawiać dostępu użytkowników. W przypadku logowania jednokrotnego reguły niestandardowe powinny być stosowane do zaufania jednostki uzależnionej skojarzonej z usługą w chmurze. To zaufanie zostało utworzone po uruchomieniu poleceń cmdlet w Windows PowerShell w celu skonfigurowania logowania jednokrotnego.
Aby uzyskać więcej informacji na temat ograniczania logowania użytkowników do usług, zobacz Tworzenie reguły zezwalającej lub odmawiającej użytkownikom na podstawie oświadczenia przychodzącego. Aby uzyskać więcej informacji na temat uruchamiania poleceń cmdlet do konfigurowania logowania jednokrotnego, zobacz Instalowanie Windows PowerShell na potrzeby logowania jednokrotnego przy użyciu usług AD FS.
Wyświetlanie bieżących ustawień
Jeśli w dowolnym momencie chcesz wyświetlić bieżący serwer usług AD FS i ustawienia usługi w chmurze, możesz otworzyć moduł Microsoft Azure Active Directory dla Windows PowerShell i uruchomić polecenie , a następnie uruchom Connect-MSOLService
Get-MSOLFederationProperty –DomainName <domain>
polecenie . Dzięki temu można sprawdzić, czy ustawienia na serwerze usług AD FS są zgodne z ustawieniami w usłudze w chmurze. Jeśli ustawienia nie są zgodne, możesz uruchomić polecenie Update-MsolFederatedDomain –DomainName <domain>
. Aby uzyskać więcej informacji, zobacz następną sekcję "Aktualizuj właściwości zaufania".
Uwaga
Jeśli potrzebujesz obsługi wielu domen najwyższego poziomu, takich jak contoso.com i fabrikam.com, musisz użyć przełącznika SupportMultipleDomain z dowolnymi poleceniami cmdlet. Aby uzyskać więcej informacji, zobacz Obsługa wielu domen najwyższego poziomu.
Co chcesz zrobić?
Aktualizowanie właściwości zaufania
Należy zaktualizować właściwości zaufania logowania jednokrotnego w usłudze w chmurze, gdy:
Adres URL zmienia się: Jeśli wprowadzisz zmiany w adresie URL serwera usług AD FS, musisz zaktualizować właściwości zaufania.
Certyfikat podpisywania tokenu podstawowego został zmieniony: Zmiana certyfikatu podpisywania tokenu podstawowego wyzwala zdarzenie o identyfikatorze 334 lub identyfikatorze zdarzenia 335 w Podgląd zdarzeń dla serwera usług AD FS. Zalecamy regularne sprawdzanie Podgląd zdarzeń co najmniej co tydzień.
Aby wyświetlić zdarzenia serwera usług AD FS, wykonaj następujące kroki.
Kliknij przycisk Start, a następnie kliknij przycisk Panelu sterowania. W widoku Kategoria kliknij pozycję System i zabezpieczenia, a następnie kliknij pozycję Narzędzia administracyjne, a następnie kliknij przycisk Podgląd zdarzeń.
Aby wyświetlić zdarzenia usług AD FS, w lewym okienku Podgląd zdarzeń kliknij pozycję Dzienniki aplikacji i usług, a następnie kliknij pozycję AD FS 2.0, a następnie kliknij pozycję Administrator.
Certyfikat podpisywania tokenu wygasa co roku: Certyfikat podpisywania tokenu ma kluczowe znaczenie dla stabilności usługi federacyjnej. W przypadku zmiany Azure AD należy powiadomić o tej zmianie. W przeciwnym razie żądania wysyłane do usług w chmurze kończą się niepowodzeniem.
Aby ręcznie zaktualizować właściwości zaufania, wykonaj następujące kroki.
Uwaga
Jeśli potrzebujesz obsługi wielu domen najwyższego poziomu, takich jak contoso.com i fabrikam.com, musisz użyć przełącznika SupportMultipleDomain z dowolnymi poleceniami cmdlet. Aby uzyskać więcej informacji, zobacz Obsługa wielu domen najwyższego poziomu.
Otwórz moduł Microsoft Azure Active Directory dla Windows PowerShell.
Uruchom polecenie
$cred=Get-Credential
. Gdy to polecenie cmdlet wyświetli monit o podanie poświadczeń, wpisz poświadczenia konta administratora usługi w chmurze.Uruchom polecenie
Connect-MsolService –Credential $cred
. To polecenie cmdlet umożliwia nawiązanie połączenia z usługą w chmurze. Utworzenie kontekstu łączącego się z usługą w chmurze jest wymagane przed uruchomieniem dowolnego z dodatkowych poleceń cmdlet zainstalowanych przez narzędzie.Uruchom polecenie
Set-MSOLAdfscontext -Computer <AD FS primary server>
, gdzie <serwer> podstawowy usług AD FS jest wewnętrzną nazwą FQDN podstawowego serwera usług AD FS. To polecenie cmdlet tworzy kontekst, który nawiązuje połączenie z usługami AD FS.Uwaga
Jeśli zainstalowano moduł Microsoft Azure Active Directory na serwerze podstawowym, nie trzeba uruchamiać tego polecenia cmdlet.
Uruchom polecenie
Update-MSOLFederatedDomain –DomainName <domain>
. To polecenie cmdlet przekazuje do usługi w chmurze zaktualizowane ustawienia usługi AD FS i konfiguruje relację zaufania pomiędzy tymi usługami.
Co chcesz zrobić?
Odzyskiwanie serwera usług AD FS
W przypadku utraty serwera podstawowego i nie można go odzyskać, należy podwyższyć poziom innego serwera, aby stać się serwerem podstawowym. Aby uzyskać więcej informacji, zobacz AD FS 2.0 — Jak ustawić podstawowy serwer federacyjny w farmie WID.
Uwaga
Jeśli jeden z serwerów usług AD FS ulegnie awarii i skonfigurowano konfigurację farmy o wysokiej dostępności, użytkownicy nadal będą mogli uzyskać dostęp do usługi w chmurze. Jeśli serwer, który uległ awarii, jest serwerem podstawowym, nie będzie można wykonać żadnych aktualizacji konfiguracji farmy, dopóki nie podwyższ poziomu innego serwera, aby stał się serwerem podstawowym.
W przypadku utraty wszystkich serwerów w farmie należy ponownie skompilować zaufanie, wykonując następujące kroki.
Uwaga
Jeśli musisz obsługiwać wiele domen najwyższego poziomu, takich jak contoso.com i fabrikam.com, musisz użyć przełącznika SupportMultipleDomain z dowolnymi poleceniami cmdlet. W przypadku korzystania z przełącznika SupportMultipleDomain zwykle należy uruchomić procedurę w każdej domenie. Jednak aby odzyskać serwer usług AD FS, należy wykonać procedurę tylko raz dla jednej z domen. Po odzyskaniu serwera wszystkie inne domeny logowania jednokrotnego będą łączyć się z usługą w chmurze. Aby uzyskać więcej informacji, zobacz Obsługa wielu domen najwyższego poziomu.
Otwórz moduł Microsoft Azure Active Directory.
Uruchom polecenie
$cred=Get-Credential
. Gdy polecenie cmdlet wyświetli monit o podanie poświadczeń, wpisz poświadczenia konta administratora usługi w chmurze.Uruchom polecenie
Connect-MsolService –Credential $cred
. To polecenie cmdlet umożliwia nawiązanie połączenia z usługą w chmurze. Utworzenie kontekstu łączącego się z usługą w chmurze jest wymagane przed uruchomieniem dowolnego z dodatkowych poleceń cmdlet zainstalowanych przez narzędzie.Uruchom polecenie
Set-MSOLAdfscontext -Computer <AD FS primary server>
, gdzie <serwer> podstawowy usług AD FS jest wewnętrzną nazwą FQDN podstawowego serwera usług AD FS. To polecenie cmdlet tworzy kontekst, który nawiązuje połączenie z usługami AD FS.Uwaga
Jeśli zainstalowano moduł Microsoft Azure Active Directory na podstawowym serwerze usług AD FS, nie trzeba uruchamiać tego polecenia cmdlet.
Uruchom polecenie
Update-MsolFederatedDomain –DomainName <domain>
, gdzie <domena> jest domeną, dla której chcesz zaktualizować właściwości. To polecenie cmdlet aktualizuje właściwości i ustanawia relację zaufania.Uruchom polecenie
Get-MsolFederationProperty –DomainName <domain>
, gdzie <domena> jest domeną, dla której chcesz wyświetlić właściwości. Następnie można porównać właściwości z podstawowego serwera usług AD FS i właściwości w usłudze w chmurze, aby upewnić się, że są one zgodne. Jeśli nie są one zgodne, uruchomUpdate-MsolFederatedDomain –DomainName <domain>
ponownie polecenie , aby zsynchronizować właściwości.
Zobacz też
Pojęcia
Lista kontrolna: używanie usług AD FS do implementowania logowania jednokrotnego i zarządzania nim
Plan logowania jednokrotnego