Preparar o início de sessão único
Atualizado: 25 de junho de 2015
Aplica-se a: Azure, Office 365, Power BI, Windows Intune
Nota
Este tópico pode não ser totalmente aplicável aos utilizadores de Microsoft Azure na China. Para mais informações sobre o serviço Azure na China, consulte windowsazure.cn.
Para se preparar para um único sinal, complete os seguintes passos:
Passo 1: Rever os requisitos para um único sinal
Passo 2: Preparar diretório ativo
Passo 1: Rever os requisitos para um único sinal
Para implementar esta solução SSO, deve cumprir os seguintes requisitos:
Ter o Ative Directory implantado e a funcionar em Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2 com um nível funcional de modo misto ou nativo.
Se pretender utilizar o AD FS como SEU STS, terá de fazer uma das seguintes:
Descarregue, instale e implemente o AD FS 2.0 num servidor Windows Server 2008 ou Windows Server 2008. Além disso, se os utilizadores estiverem a ligar-se de fora da rede da sua empresa, tem de implementar um proxy AD FS 2.0.
Instale o serviço de funções AD FS num servidor Windows Server 2012 ou Windows Server 2012 R2.
Se planeia utilizar o Shibboleth Identity Provider como SEU STS, terá de instalar e preparar um Fornecedor de Identidade Shibboleth operacional.
Importante
A Microsoft suporta esta experiência única de início de saúde como a integração de um serviço de cloud da Microsoft, como Microsoft Intune ou Office 365, com o já instalado e operacional Fornecedor de Identidade Shibboleth. Shibboleth Identity Provider é um produto de terceiros e, portanto, a Microsoft não fornece suporte para a implementação, configuração, resolução de problemas, boas práticas, etc. questões e questões relativas ao Fornecedor de Identidade Shibboleth. Para obter mais informações sobre o Fornecedor de Identidade Shibboleth, consulte https://go.microsoft.com/fwlink/?LinkID=256497.
Com base no tipo de STS que irá configurar, utilize o Módulo Microsoft Azure Ative Directory para Windows PowerShell para estabelecer uma confiança federada entre o seu STS no local e Azure AD.
Instale as atualizações necessárias para as subscrições do serviço de cloud da Microsoft para garantir que os seus utilizadores estão a executar as atualizações mais recentes de Windows 7, Windows Vista ou Windows XP. Algumas funcionalidades podem não funcionar corretamente sem as versões apropriadas de sistemas operativos, navegadores e software. Para obter mais informações, consulte o Apêndice A: Rever os requisitos do software.
Passo 2: Preparar diretório ativo
O Diretório Ativo deve ter determinadas definições configuradas para funcionar corretamente com uma única inscrição. Em particular, o nome principal do utilizador (UPN), também conhecido como nome de logotipo do utilizador, deve ser configurado de forma específica para cada utilizador.
Nota
Para preparar o ambiente do Ative Directory para uma única santidade, recomendamos que execute a Ferramenta de Preparação para a Implementação da Microsoft. Esta ferramenta inspeciona o ambiente do Ative Directory e fornece um relatório que inclui informações sobre se está ou não pronto para configurar uma única inscrição. Caso contrário, enumera as alterações que precisa de fazer para se preparar para uma única s inscrição. Por exemplo, inspeciona se os seus utilizadores têm ou não UPNs e se esses UPNs estão no formato correto.
Dependendo de cada um dos seus domínios, poderá ter de fazer o seguinte:
A UPN deve ser definida e conhecida pelo utilizador.
O sufixo de domínio UPN deve estar sob o domínio que escolhe configurar para um único s-on.
O domínio que escolher para federar deve ser registado como um domínio público com um registo de domínio ou dentro dos seus próprios servidores DNS públicos.
Para criar UPNs, siga as instruções no tópico Ative Directory Adicionar Sufixos de Nome Principal do Utilizador. Tenha em mente que as UPNs que são utilizadas para um único sinal de inscrição só podem conter letras, números, períodos, traços e sublinhados.
Se o seu nome de domínio Ative Directory não for um domínio público da Internet (por exemplo, termina com um sufixo ".local"), tem de configurar um SUÉn de domínio para ter um sufixo de domínio que esteja sob um nome de domínio da Internet que possa ser registado publicamente. Recomendamos que utilize algo familiar para os seus utilizadores, como o seu domínio de e-mail.
Se já tiver configurado a sincronização do Ative Directory, a UPN do utilizador pode não corresponder às UPN definidas no Diretório Ativo do utilizador. Para corrigir isto, rebatize o UPN do utilizador utilizando o Set-MsolUserPrincipalName cmdlet no Módulo Microsoft Azure Ative Directory para Windows PowerShell.