Partilhar via


Configurar uma relação de confiança entre o Shibboleth e o Azure AD

Atualizado: June 25, 2015

Aplica-se a: Azure, Office 365, Power BI, Windows Intune

Os domínios do Azure AD são federados usando o Módulo Ative Directory do Microsoft Azure para Windows PowerShell. Você usará este tópico para executar uma série de cmdlets na interface de linha de comando do Windows PowerShell para adicionar ou converter domínios para logon único.

Importante

Antes de concluir as instruções neste tópico, você deve revisar e concluir as etapas em Instalar o Windows PowerShell para logon único com Shibboleth.

Cada domínio do Ative Directory que você deseja federar usando o Shibboleth deve ser adicionado como um domínio de logon único ou convertido para ser um domínio de logon único de um domínio padrão. Adicionar ou converter um domínio configura uma relação de confiança entre o Shibboleth Identity Provider e o Azure Ative Directory.

O procedimento a seguir orienta você sobre como converter um domínio padrão existente em um domínio federado.

  1. Abra o Módulo Ative Directory do Microsoft Azure.

  2. Execute $cred=Get-Credential. Quando o cmdlet solicitar credenciais, digite as credenciais da conta de administrador do serviço de nuvem.

  3. Execute Connect-MsolService –Credential $cred. Este cmdlet conecta você ao Azure AD. É necessário criar um contexto que o conecte ao Azure AD antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta.

  4. Execute os seguintes comandos para converter um domínio existente (neste exemplo, mail.contoso.com) para logon único:

    $dom = "mail.contoso.com”
    $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
    $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
    $uri = "https://idp.contoso.com/idp/shibboleth"
    $logouturl = "https://idp.contoso.com/logout/" 
    $cert = "MIIFYzCCBEugAw...2tLRtyN"
    
    Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
    

    Observação

    Você deve executar $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP somente se configurar a extensão ECP do Shibboleth Identity Provider. Embora seja uma etapa opcional, é recomendável que você instale a extensão ECP do Shibboleth Identity Provider para que o logon único funcione com um smartphone, Microsoft Outlook ou outros clientes. Para obter mais informações, consulte "Opcional: Instalar a extensão Shibboleth ECP" em Configurar o Shibboleth para uso com logon único.

Ver também

Conceitos

Instalar o Windows PowerShell para logon único com Shibboleth
Use o Shibboleth Identity Provider para implementar o logon único