Preparar o logon único
Atualizado: 25 de junho de 2015
Aplica-se a: Azure, Office 365, Power BI, Windows Intune
Observação
Talvez esse tópico não seja totalmente aplicável aos usuários do Microsoft Azure na China. Para obter mais informações sobre o serviço do Azure na China, consulte windowsazure.cn.
Para se preparar para um logon único, execute os seguintes passos:
Etapa 1: examinar os requisitos de logon único
Etapa 2: Preparar o Active Directory
Etapa 1: examinar os requisitos de logon único
Para implementar esta solução SSO, você deve cumprir os seguintes requisitos:
Tenha o Active Directory implantado e em execução no Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2 com um nível funcional de modo misto ou nativo.
Se você planeja usar o AD FS como seu STS, você precisará fazer um dos seguintes:
Baixe, instale e implante o AD FS 2.0 em um servidor Windows Server 2008 ou Windows Server 2008 R2. Além disso, se os usuários estiverem se conectando de fora da rede da sua empresa, você deverá implantar um proxy do AD FS 2.0.
Instalar a função AD FS em um Servidor Windows Server 2012 ou Windows Server 2012 R2.
Se você planeja usar o Provedor de Identidade Shibboleth como seu STS, você precisará instalar e preparar um Provedor de Identidade Shibboleth operacional.
Importante
A Microsoft dá suporte a essa experiência de logon único como a integração de um serviço de nuvem da Microsoft, como Microsoft Intune ou Office 365, com o provedor de identidade Shibboleth já instalado e operacional. O Provedor de Identidade Shibboleth é um produto de terceiros e, portanto, a Microsoft não oferece suporte para as perguntas e problemas de implementação, configuração, solução de problemas, práticas recomendadas etc. relacionados com o Provedor de Identidade Shibboleth. Para obter mais informações sobre o Provedor de Identidade Shibboleth, consulte https://go.microsoft.com/fwlink/?LinkID=256497.
Com base no tipo de STS que você configurará, use o módulo Microsoft Azure Active Directory para Windows PowerShell para estabelecer uma confiança federada entre o STS local e o Azure AD.
Instalar as atualizações necessárias para suas assinaturas do serviço em nuvem da Microsoft para garantir que seus usuários estejam executando as últimas atualizações do Windows 7, Windows Vista ou Windows XP. Alguns recursos podem não funcionar corretamente sem as versões apropriadas dos sistemas operacionais, navegadores e software. Para obter mais informações, consulte Apêndice A: Examinar os requisitos de software.
Etapa 2: Preparar o Active Directory
O Active Directory deve ter determinadas configurações configuradas para funcionar corretamente com logon único. Em particular, o nome UPN, também conhecido como nome de logon, deve ser configurado de forma específica para cada usuário.
Observação
Para preparar seu ambiente do Active Directory para logon único, recomendamos que você execute a Ferramenta de Preparação para Implantação da Microsoft. Essa ferramenta inspeciona seu ambiente do Active Directory e fornece um relatório que inclui informações sobre se você está ou não pronto para configurar o logon único. Se não estiver, ela listará as alterações que você precisa fazer para se preparar para o logon único. Por exemplo, ela inspeciona se os usuários têm UPNs e se esses UPNs estão no formato correto.
Dependendo de cada um dos seus domínios, você pode precisar fazer o seguinte:
O UPN deve ser definido e conhecido pelo usuário.
O sufixo de domínio do UPN deve estar no domínio que você optar por configurar para logon único.
O domínio que você vai federar deve ser registrado como um domínio público com um registrador de domínios ou em seus próprios servidores DNS públicos.
Para criar UPNs, siga as instruções no tópico do Active Directory Adicionar sufixos de nome de entidade de usuário. Tenha em mente que os UPNs usados para logon único só podem conter letras, números, pontos, traços e sublinhados.
Se o nome de domínio do Active Directory não for um domínio público da Internet (por exemplo, ele terminará com um sufixo ".local"), você deverá configurar um UPN para ter um sufixo de domínio que esteja sob um nome de domínio da Internet que possa ser registrado publicamente. Recomendamos que você use algo familiar para os usuários, tal como domínio de email.
Se você já tiver configurado a sincronização do Active Directory, o UPN do usuário talvez não corresponda ao UPN local do usuário definido no Active Directory. Para corrigir isso, renomeie o UPN do usuário usando o cmdlet Set-MsolUserPrincipalName no módulo Microsoft Azure Active Directory para Windows PowerShell.