Федеративные несколько экземпляров идентификатора Microsoft Entra с одним экземпляром AD FS
Одна высокодоступная ферма AD FS может объединять несколько лесов при наличии взаимного доверия между ними. Эти несколько лесов могут соответствовать одному и тому же идентификатору Microsoft Entra. В этой статье содержатся инструкции по настройке федерации между одним развертыванием AD FS и несколькими экземплярами идентификатора Microsoft Entra.
Примечание.
В этом сценарии не поддерживаются обратная запись устройств и автоматическое присоединение устройств.
Примечание.
Microsoft Entra Подключение нельзя использовать для настройки федерации в этом сценарии, так как Microsoft Entra Подключение может настроить федерацию для доменов в одном идентификаторе Microsoft Entra.
Действия по федеративной федерации AD FS с несколькими идентификаторами Microsoft Entra
Рассмотрим, что домен contoso.com в Microsoft Entra contoso.onmicrosoft.com уже федеративн с локальной средой AD FS, установленной в среде contoso.com локальная служба Active Directory. Fabrikam.com — это домен в fabrikam.onmicrosoft.com идентификаторе Microsoft Entra.
Шаг 1. Установка взаимного доверия
Чтобы служба AD FS в contoso.com могла проверять подлинность пользователей в fabrikam.com, требуется взаимное доверие между contoso.com и fabrikam.com. Следуйте рекомендациям, приведенным в этой статье, чтобы создать отношения взаимного доверия.
Шаг 2. Изменение параметров федерации contoso.com
Издателем отдельного домена, включенного в федерацию AD FS, по умолчанию выступает http://ADFSServiceFQDN/adfs/services/trust", например http://fs.contoso.com/adfs/services/trust. Идентификатор Microsoft Entra id требует уникального издателя для каждого федеративного домена. Поскольку для AD FS будет создана федерация двух доменов, значение поля "Издатель" необходимо изменить, чтобы оно было уникальным.
Примечание.
Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.
Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.
На сервере AD FS откройте Azure AD PowerShell (убедитесь, что модуль MSOnline установлен) и выполните следующие действия:
Подключение идентификатор Microsoft Entra, содержащий доменcontoso.com.
Connect-MsolService
Обновление параметров федерации для contoso.com:
Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
Издатель в параметре федерации домена будет изменен http://contoso.com/adfs/services/trust , а правило утверждения выдачи будет добавлено для доверия проверяющей стороны Microsoft Entra ID, чтобы выдать правильное значение issuerId на основе суффикса имени участника-пользователя.
Шаг 3. Федерация fabrikam.com с AD FS
В сеансе Azure AD PowerShell выполните следующие действия: Подключение идентификатор Microsoft Entra, содержащий домен fabrikam.com
Connect-MsolService
Преобразуйте управляемый домен fabrikam.com в федеративный:
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
Вышеуказанная операция добавит домен fabrikam.com в федерацию с тем же экземпляром AD FS. Параметры обоих доменов можно проверить с помощью командлета Get-MsolDomainFederationSettings.
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по