Verificar e gerenciar o logon único com o AD FS

  • Artigo

Atualizado em: 25 de junho de 2015

Aplica-se a: Azure, Office 365, Power BI Windows Intune

Observação

Talvez esse tópico não seja totalmente aplicável aos usuários do Microsoft Azure na China. Para obter mais informações sobre o serviço do Azure na China, consulte windowsazure.cn.

Como administrador, antes de verificar e gerenciar o logon único (também chamado de federação de identidade), examine as informações e execute as etapas na Lista de Verificação: Use o AD FS para implementar e gerenciar o logon único.

Após configurar o logon único, você deve verificar se ele está funcionando corretamente. Além disso, há também várias tarefas de gerenciamento que podem ser executadas ocasionalmente para manter seu bom funcionamento.

O que você deseja fazer?

  • Verificar se o logon único foi configurado corretamente

  • Gerenciar logon único

Verificar se o logon único foi configurado corretamente

Para verificar se o logon único foi configurado corretamente, você pode executar o procedimento a seguir para confirmar se é capaz de entrar no serviço de nuvem com suas credenciais corporativas, testar o logon único para diferentes cenários de uso e usar o Analisador de Conectividade Remota da Microsoft.

Observação

  • Se você tiver convertido um domínio em vez de adicionar um, poderá levar até 24 horas para configurar o logon único.

  • Antes de verificar o logon único, você deve concluir a configuração da sincronização do Active Directory, sincronizar seus diretórios e ativar os usuários sincronizados. Para obter mais informações, consulte o roteiro de sincronização do diretório.

Para verificar se o logon único foi configurado corretamente, execute as etapas a seguir.

  1. Em um computador unido ao domínio, faça logon no serviço em nuvem de Microsoft usando o nome de logon que você usa para suas credenciais corporativas.

  2. Clique dentro da caixa de senha. Se o logon único estiver configurado, a caixa de senha será sombreada e você verá a seguinte mensagem: "Agora é necessário entrar em <sua empresa>".

  3. Clique no link Entrar em <sua empresa> .

    Se você conseguir entrar, isso significa que o logon único foi configurado.

Testar o logon único em diferentes cenários de uso

Depois de verificar se o logon único está concluído, teste os seguintes cenários de entrada para garantir que o logon único e a implantação do AD FS 2.0 estejam configurados corretamente. Peça a um grupo de usuários para testar seu acesso aos serviços de serviço de nuvem de navegadores, bem como aplicativos cliente avançados, como Microsoft Office 2010, nos seguintes ambientes:

  • Em um computador com domínio associado

  • Em um computador sem domínio associado dentro da rede corporativa

  • Em um computador de roaming com domínio associado fora da rede corporativa

  • Nos diferentes sistemas operacionais que você utiliza na sua empresa

  • Em um computador doméstico

  • De um quiosque da Internet (testar o acesso ao serviço de nuvem apenas por meio de um navegador)

  • De um telefone inteligente (por exemplo, um telefone inteligente que usa o Microsoft Exchange ActiveSync)

Use o Analisador de Conectividade Remota da Microsoft

Para testar a conectividade de logon único, você pode usar o Analisador de Conectividade Remota da Microsoft. Clique na guia Office 365, clique em Logon Único da Microsoft, e depois clique em Avançar. Siga as etapas exibidas na tela para executar o teste. O analisador valida sua capacidade de entrar no serviço de nuvem com suas credenciais corporativas. Ele também valida algumas configurações básicas do AD FS 2.0.

O que você deseja fazer?

Agendar tarefa para atualizar Azure AD quando uma alteração for feita no certificado de autenticação de token não é mais a recomendação

Se você estiver usando o AD FS 2.0 ou posterior, Office 365 e Azure AD atualizarão automaticamente o certificado antes de expirar.  Você não precisa executar nenhuma etapa manual ou executar um script como uma tarefa agendada.  Para que isso funcione, ambas as seguintes configurações padrão do AD FS devem estar em vigor:

  1. A propriedade AD FS AutoCertificateRollover deve ser definida como True, indicando que o AD FS gerará automaticamente novos certificados de assinatura de token e descriptografia de token antes que os antigos expirem. Se o valor for False, você estará usando configurações de certificado personalizadas.  Acesse aqui para obter diretrizes abrangentes.

  2. Os metadados de federação devem estar disponíveis para a Internet pública.

Gerenciar logon único

Há outras tarefas opcionais ou ocasionais que você pode realizar para manter o bom funcionamento do logon único.

Nesta seção

  • Adicionar URLs a sites confiáveis no Internet Explorer

  • Restrinja os usuários de entrar no serviço de nuvem

  • Exibir as configurações atuais

  • Atualizar propriedades de confiança

  • Recuperar um servidor de AD FS

  • Personalizar tipo de autenticação local

Adicionar URLs a sites confiáveis no Internet Explorer

Após adicionar ou converter seus domínios como parte da configuração de logon único, você pode querer adicionar o nome de domínio completamente qualificado do seu servidor de AD FS na lista de Sites Confiáveis no Internet Explorer. Isto ira garantir que os usuários não sejam solicitados de suas senhas no servidor do AD FS. Essa alteração deve ser feita no cliente. Você também pode fazer essa alteração para os seus usuários, especificando uma configuração de Política de Grupo que adicionará automaticamente essa URL à lista Sites Confiáveis dos computadores com domínio associado. Para obter mais informações, consulte Configurações de Política do Internet Explorer.

Restrinja os usuários de entrar no serviço de nuvem

O AD FS fornece aos administradores a opção de definir regras personalizadas que garantirão ou negarão o acesso de usuários. Para logon único, as regras personalizadas devem ser aplicadas à confiança de terceira parte confiável associada ao serviço de nuvem. Você criou essa confiança quando executou os cmdlets no Windows PowerShell para configurar o logon único.

Para obter mais informações sobre como restringir a entrada de usuários em serviços, consulte Criar uma regra para permitir ou negar usuários com base em uma declaração de entrada. Para obter mais informações sobre como executar cmdlets para configurar o logon único, consulte Instalar Windows PowerShell para logon único com o AD FS.

Exibir as configurações atuais

Se, a qualquer momento, você quiser exibir o servidor AD FS atual e as configurações do serviço de nuvem, poderá abrir o módulo Microsoft Azure Active Directory para Windows PowerShell e executarConnect-MSOLService, em seguida, execute Get-MSOLFederationProperty –DomainName <domain>. Isso permite verificar se as configurações no servidor do AD FS são consistentes com as do serviço de nuvem. Se as configurações não correspondem, você pode executar o Update-MsolFederatedDomain –DomainName <domain>. Para obter mais informações, consulte a próxima seção, "Atualizar propriedades de confiança".

Observação

Se você precisar oferecer suporte a vários domínios de nível superior, como o contoso.com e fabrikam.com, você deve usar a mudança SupportMultipleDomain com quaisquer cmdlets. Para obter mais informações, veja Suporte para vários domínios de nível superior.

O que você deseja fazer?

Atualizar propriedades de confiança

Você deve atualizar as propriedades de confiança de logon único no serviço de nuvem quando:

  • A URL é alterada: Se você fizer alterações na URL do servidor do AD FS, deverá atualizar as propriedades de confiança.

  • O certificado de autenticação de token primário foi alterado: Alterar o certificado de autenticação de token primário dispara a ID do evento 334 ou a ID do evento 335 em Visualizador de Eventos para o servidor AD FS. É recomendável verificar o Visualizador de Eventos regularmente, pelo menos uma vez por semana.

    Para visualizar os eventos do servidor do AD FS, siga estas etapas.

    1. Clique em Iniciar e em Painel de Controle. Na exibição Categoria, clique em Sistema e Segurança, depois clique em Ferramentas Administrativas, e em seguida clique em Visualizador de Eventos.

    2. Para visualizar os eventos para o AD FS, no painel da esquerda do Visualizador de Eventos, clique em Logs de Aplicativos e Serviços, em seguida clique em AD FS 2.0, e clique em Administrador.

  • O certificado de autenticação de token expira todos os anos: O certificado de assinatura de token é fundamental para a estabilidade do Serviço de Federação. Caso ela seja alterada, Azure AD precisa ser notificado sobre essa alteração. De outra forma, as solicitações feitas nos serviços da sua nuvem falharão.

Para atualizar manualmente as propriedades de confiança, siga estas etapas.

Observação

Se você precisar oferecer suporte a vários domínios de nível superior, como o contoso.com e fabrikam.com, você deve usar a mudança SupportMultipleDomain com quaisquer cmdlets. Para obter mais informações, veja Suporte para vários domínios de nível superior.

  1. Abra o Módulo Microsoft Azure Active Directory para Windows PowerShell.

  2. Execute $cred=Get-Credential. Quando este cmdlet solicitar credenciais, digite as credenciais da conta de administrador de serviços de nuvem.

  3. Execute Connect-MsolService –Credential $cred. Esse cmdlet conecta você ao serviço de nuvem. A criação de um contexto que conecta você ao serviço de nuvem é necessária antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta.

  4. Execute Set-MSOLAdfscontext -Computer <AD FS primary server>, em que <o servidor> primário do AD FS é o nome FQDN interno do servidor AD FS primário. Esse cmdlet cria um contexto que conecta você ao AD FS.

    Observação

    Se você instalou o módulo Microsoft Azure Active Directory no servidor primário, não será necessário executar esse cmdlet.

  5. Execute Update-MSOLFederatedDomain –DomainName <domain>. Esse cmdlet atualiza as configurações do AD FS no serviço de nuvem e configura a relação de confiança entre os dois.

O que você deseja fazer?

Recuperar um servidor de AD FS

Se perder o servidor primário e não puder recuperá-lo, você precisará promover outro servidor para que ele se torne o servidor primário. Para obter mais informações, consulte a AD FS 2.0 – Como definir o servidor de federação primária em um farm de WID.

Observação

Se um dos servidores do AD FS falhar e você tiver configurado uma configuração de farm de alta disponibilidade, os usuários ainda poderão acessar o serviço de nuvem. Se o servidor que falhou for o servidor primário, você não conseguirá fazer alterações na configuração do farm até promover outro servidor para que ele se torne o primário.

Se perder todos os servidores no farm, você deverá reconstruir a confiança com as seguintes etapas.

Observação

Se você precisar oferecer suporte a vários domínios de nível superior, como o contoso.com e fabrikam.com, você deve usar a mudança SupportMultipleDomain com quaisquer cmdlets. Quando você usa a alteração SupportMultipleDomain, você geralmente tem que executar o procedimento em casa um dos seus domínios. No entanto, para recuperar seu servidor do AD FS, você somente precisa seguir os procedimentos uma vez para um dos seus domínios. Depois que o servidor for recuperado, todos os outros domínios de logon único se conectarão ao serviço de nuvem. Para obter mais informações, veja Suporte para vários domínios de nível superior.

  1. Abra o módulo Microsoft Azure Active Directory.

  2. Execute $cred=Get-Credential. Quando o cmdlet solicitar as credenciais, digite suas credenciais da conta do administrador do serviço de nuvem.

  3. Execute Connect-MsolService –Credential $cred. Esse cmdlet conecta você ao serviço de nuvem. A criação de um contexto que conecta você ao serviço de nuvem é necessária antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta.

  4. Execute Set-MSOLAdfscontext -Computer <AD FS primary server>, em que <o servidor> primário do AD FS é o nome FQDN interno do servidor AD FS primário. Esse cmdlet cria um contexto que conecta você ao AD FS.

    Observação

    Se você instalou o módulo Microsoft Azure Active Directory no servidor AD FS primário, não será necessário executar esse cmdlet.

  5. Executar Update-MsolFederatedDomain –DomainName <domain>, onde <o domínio> é o domínio para o qual você deseja atualizar as propriedades. Esse cmdlet atualiza as propriedades e estabelece a relação de confiança.

  6. Executar Get-MsolFederationProperty –DomainName <domain>, onde <o domínio> é o domínio para o qual você deseja exibir propriedades. Em seguida, você pode comparar as propriedades do servidor AD FS primário e as propriedades no serviço de nuvem para verificar se elas correspondem. Se elas não corresponderem, execute o Update-MsolFederatedDomain –DomainName <domain> de novo para sincronizar as propriedades.

Consulte Também

Conceitos

Lista de verificação: usar o AD FS para implementar e gerenciar o logon único
Mapa do logon único