Verifique e gere um único sinal com AD FS

  • Artigo

Atualizado: 25 de junho de 2015

Aplica-se a: Azure, Office 365, Power BI, Windows Intune

Nota

Este tópico pode não ser totalmente aplicável aos utilizadores de Microsoft Azure na China. Para mais informações sobre o serviço Azure na China, consulte windowsazure.cn.

Como administrador, antes de verificar e gerir um único sign-on (também chamado federação de identidade), reveja as informações e execute os passos na Lista de Verificação: Use AD FS para implementar e gerir um único sinal.

Depois de configurar uma única inscrição, deve verificar se está a funcionar corretamente. Além disso, existem várias tarefas de gestão que pode ocasionalmente executar para mantê-lo funcionando sem problemas.

O que pretende fazer?

  • Verifique se o único sinal foi configurado corretamente

  • Gerir o início de sessão único

Verifique se o único sinal foi configurado corretamente

Para verificar se o único sinal de sôns foi configurado corretamente, pode executar o seguinte procedimento para confirmar que é capaz de iniciar sação no serviço de cloud com as suas credenciais corporativas, testar um único sinal para diferentes cenários de utilização e utilizar o Analisador de Conectividade Remota da Microsoft.

Nota

  • Se converteu um domínio, em vez de adicionar um, pode levar até 24 horas para configurar uma única inscrição.

  • Antes de verificar uma única sposição, deve terminar a configuração da sincronização do Ative Directory, sincronizar os seus diretórios e ativar os seus utilizadores sincronizados. Para mais informações, consulte o roteiro de sincronização do Diretório.

Para verificar se a única inscrição foi corretamente configurada, complete os seguintes passos.

  1. Num computador ligado a domínios, inscreva-se no seu serviço de cloud microsoft usando o mesmo nome de logon que utiliza para as suas credenciais corporativas.

  2. Clique dentro da caixa de senha. Se for configurado um único sinal, a caixa de palavra-passe será sombreada e verá a seguinte mensagem: "Agora é obrigado a iniciar seduca na <sua empresa>."

  3. Clique no Início de Sação no <link da sua empresa> .

    Se conseguir assinar, foi configurado um único sinse.

Teste um único sinal para diferentes cenários de utilização

Depois de verificar se o único sinal de sôr-in está completo, teste os seguintes cenários de inscrição para garantir que a única sação e a implantação AD FS 2.0 estão corretamente configuradas. Peça a um grupo de seus utilizadores para testar o seu acesso aos serviços de serviços de nuvem a partir de navegadores, bem como aplicações ricas de clientes, como Microsoft Office 2010, nos seguintes ambientes:

  • De um computador de domínio

  • De um computador não-de domínio dentro da rede corporativa

  • De um computador de roaming de domínios fora da rede corporativa

  • Dos diferentes sistemas operativos que utiliza na sua empresa

  • De um computador doméstico

  • A partir de um quiosque de Internet (teste de acesso ao serviço de nuvem apenas através de um navegador)

  • A partir de um telefone inteligente (por exemplo, um telefone inteligente que usa o Microsoft Exchange ActiveSync)

Utilize o Analisador de Conectividade Remota da Microsoft

Para testar uma única conectividade de entrada, pode utilizar o Analisador de Conectividade Remota da Microsoft. Clique no separador Office 365, clique em Microsoft Single Sign-On e, em seguida, clique em Seguinte. Siga as instruções do ecrã para realizar o teste. O analisador valida a sua capacidade de se inscrever no serviço de cloud com as suas credenciais corporativas. Também valida alguma configuração básica de AD FS 2.0.

O que pretende fazer?

Agendar tarefa para atualizar Azure AD quando uma alteração é feita no certificado de assinatura de token já não é a recomendação

Se estiver a utilizar o AD FS 2.0 ou mais tarde, Office 365 e Azure AD atualizarão automaticamente o seu certificado antes de expirar.  Não precisa de executar quaisquer passos manuais ou executar um script como tarefa programada.  Para que isto funcione, ambas as seguintes definições de configuração AD FS predefinidos devem estar em vigor:

  1. A propriedade AD FS AutoCertificateRollover deve ser definida para True, indicando que AD FS gerará automaticamente novos certificados de assinatura de token e desencriptação antes que os antigos expirem. Se o valor for falso, está a utilizar as definições de certificado personalizado.  Vá aqui para uma orientação abrangente.

  2. Os metadados da federação devem estar disponíveis na internet pública.

Gerir o início de sessão único

Existem outras tarefas opcionais ou ocasionais que pode fazer para manter o único sinal a funcionar sem problemas.

Nesta secção

  • Adicione URLs a sites fidedignos no Internet Explorer

  • Restringir os utilizadores de iniciar sessão no serviço de cloud

  • Ver definições de corrente

  • Atualizar propriedades de confiança

  • Recuperar um servidor AD FS

  • Personalizar o Tipo de Autenticação Local

Adicione URLs a sites fidedignos no Internet Explorer

Depois de adicionar ou converter os seus domínios como parte da configuração de um único início de sposição, pode querer adicionar o nome de domínio totalmente qualificado do seu servidor AD FS à lista de Sites Fidedignos no Internet Explorer. Isto irá garantir que os utilizadores não são solicitados para a sua palavra-passe para o servidor AD FS. Esta mudança tem de ser feita ao cliente. Também pode escamar esta alteração para os seus utilizadores especificando uma definição de Política de Grupo que adicionará automaticamente este URL à lista de Sites Fidedignos para computadores unidos pelo domínio. Para mais informações, consulte a Definições política do Internet Explorer.

Restringir os utilizadores de iniciar sessão no serviço de cloud

A AD FS oferece aos administradores a opção de definir regras personalizadas que concedam ou neguem o acesso dos utilizadores. Para um único sign-on, as regras personalizadas devem ser aplicadas à confiança do partido dependente associada ao serviço na nuvem. Criaste essa confiança quando executaste os cmdlets em Windows PowerShell para configurar uma única inscrição.

Para obter mais informações sobre como restringir os utilizadores de iniciar sessão nos serviços, consulte Criar uma Regra para Permitir ou Negar utilizadores com base numa Reclamação recebida. Para obter mais informações sobre a execução de cmdlets para configurar uma única inscrição, consulte instalar Windows PowerShell para um único sinal de entrada com FS AD.

Ver definições de corrente

Se em qualquer momento pretender visualizar o atual servidor AD FS e as definições de serviço na nuvem, pode abrir o Módulo Microsoft Azure Ative Directory para Windows PowerShell e executar Connect-MSOLService, em seguida, executar Get-MSOLFederationProperty –DomainName <domain>. Isto permite-lhe verificar se as definições no servidor AD FS são consistentes com as do serviço de cloud. Se as definições não coincidirem, pode correr Update-MsolFederatedDomain –DomainName <domain>. Consulte a secção seguinte, "Atualizar propriedades fideditivas", para obter mais informações.

Nota

Se precisar de suportar vários domínios de alto nível, tais como contoso.com e fabrikam.com, deve utilizar o interruptor SupportMultipleDomain com quaisquer cmdlets. Para obter mais informações, consulte Suporte para vários domínios de nível superior.

O que pretende fazer?

Atualizar propriedades de confiança

Tem de atualizar as propriedades de confiança única no serviço de nuvem quando:

  • O URL altera: Se escamar alterações no URL para o servidor AD FS, então deve atualizar as propriedades fideditivas.

  • O certificado de assinatura principal foi alterado: Alterar o certificado de assinatura de token primário desencadeia o ID 334 ou o ID 335 do evento em Visualizador de Eventos para o servidor AD FS. Recomendamos que verifique Visualizador de Eventos regularmente, pelo menos semanalmente.

    Para ver os eventos para o servidor AD FS, siga estes passos.

    1. Clique em Iniciar, e, em seguida, clique em Painel de controlo. Na visualização de categoria, clique em Sistema e Segurança, clique em Ferramentas Administrativas e, em seguida, clique Visualizador de Eventos.

    2. Para ver os eventos para AD FS, no painel esquerdo de Visualizador de Eventos, clique em Aplicações e Registos de Serviços, em seguida, clique em AD FS 2.0 e, em seguida, clique em Administração.

  • O certificado de assinatura token expira todos os anos: O certificado de assinatura de fichas é fundamental para a estabilidade do Serviço da Federação. No caso de ser alterada, Azure AD precisa de ser notificada sobre esta mudança. Caso contrário, os pedidos feitos aos seus serviços na nuvem falharão.

Para atualizar manualmente as propriedades de confiança, siga estes passos.

Nota

Se precisar de suportar vários domínios de alto nível, tais como contoso.com e fabrikam.com, deve utilizar o interruptor SupportMultipleDomain com quaisquer cmdlets. Para obter mais informações, consulte Suporte para vários domínios de nível superior.

  1. Abra o Módulo Microsoft Azure Ative Directory para Windows PowerShell.

  2. Execute $cred=Get-Credential. Quando este cmdlet lhe pedir credenciais, escreva as credenciais da conta do administrador de serviço na nuvem.

  3. Execute Connect-MsolService –Credential $cred. Este cmdlet liga-o ao serviço de nuvem. É necessário criar um contexto que o ligue ao serviço de nuvem antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta.

  4. Executar Set-MSOLAdfscontext -Computer <AD FS primary server>, onde <o servidor> primário AD FS é o nome FQDN interno do servidor FS AD primário. Este cmdlet cria um contexto que o liga ao AD FS.

    Nota

    Se instalou o Módulo Microsoft Azure Ative Directory no servidor primário, então não precisa de executar este cmdlet.

  5. Execute Update-MSOLFederatedDomain –DomainName <domain>. Este cmdlet atualiza as definições do AD FS no serviço cloud e configura a relação de confiança entre os dois.

O que pretende fazer?

Recuperar um servidor AD FS

No caso de perder o seu servidor primário e não conseguir recuperá-lo, terá de promover outro servidor para se tornar o servidor principal. Para obter mais informações, consulte AD FS 2.0 - Como definir o servidor da Federação Primária numa Quinta WID.

Nota

Se um dos seus servidores AD FS falhar e tiver configurado uma configuração de fazenda de alta disponibilidade, os utilizadores ainda poderão aceder ao serviço de cloud. Se o servidor falhado for o servidor primário, não será capaz de executar quaisquer atualizações para a configuração da fazenda até que promova outro servidor para se tornar o principal.

Se perder todos os servidores da quinta, deve reconstruir a confiança com os seguintes passos.

Nota

Se precisar de suportar vários domínios de alto nível, tais como contoso.com e fabrikam.com, deve utilizar o interruptor SupportMultipleDomain com quaisquer cmdlets. Quando utiliza o interruptor SupportMultipleDomain , normalmente tem de executar o procedimento em cada um dos seus domínios. No entanto, para recuperar o servidor AD FS, só precisa de seguir o procedimento uma vez para um dos seus domínios. Assim que o seu servidor estiver recuperado, todos os seus outros domínios de inscrição ligar-se-ão ao serviço de cloud. Para obter mais informações, consulte Suporte para vários domínios de nível superior.

  1. Abra o Módulo Microsoft Azure Ative Directory.

  2. Execute $cred=Get-Credential. Quando o cmdlet lhe pedir credenciais, escreva as credenciais de conta do administrador de serviço na nuvem.

  3. Execute Connect-MsolService –Credential $cred. Este cmdlet liga-o ao serviço de nuvem. É necessário criar um contexto que o ligue ao serviço de nuvem antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta.

  4. Executar Set-MSOLAdfscontext -Computer <AD FS primary server>, onde <o servidor> primário AD FS é o nome FQDN interno do servidor FS AD primário. Este cmdlet cria um contexto que o liga ao AD FS.

    Nota

    Se instalou o Módulo Microsoft Azure Ative Directory no servidor AD FS primário, então não precisa de executar este cmdlet.

  5. Executar Update-MsolFederatedDomain –DomainName <domain>, onde <o domínio> é o domínio para o qual pretende atualizar propriedades. Este cmdlet atualiza as propriedades e estabelece a relação de confiança.

  6. Executar Get-MsolFederationProperty –DomainName <domain>, onde <o domínio> é o domínio para o qual pretende visualizar propriedades. Em seguida, pode comparar as propriedades do servidor AD FS primário e as propriedades no serviço de nuvem para se certificar de que correspondem. Se não coincidirem, volte a correr Update-MsolFederatedDomain –DomainName <domain> para sincronizar as propriedades.

Consulte também

Conceitos

Lista de verificação: Utilize FS AD para implementar e gerir um único sinal
Roteiro único de inscrição