AD FS ile çoklu oturum açmayı doğrulama ve yönetme
Güncelleştirme: 25 Haziran 2015
Şunlar için geçerlidir: Azure, Office 365, Power BI Windows Intune
Not
Bu konu, Çin'deki Microsoft Azure kullanıcıları için tamamen geçerli olmayabilir. Çin'deki Azure hizmeti hakkında daha fazla bilgi için bkz. windowsazure.cn.
Yönetici olarak, çoklu oturum açmayı doğrulamadan ve yönetmeden önce (kimlik federasyonu olarak da adlandırılır), bilgileri gözden geçirin ve Denetim Listesi: Çoklu oturum açmayı uygulamak ve yönetmek için AD FS kullanma bölümündeki adımları uygulayın.
Çoklu oturum açmayı ayarladıktan sonra düzgün çalıştığını doğrulamanız gerekir. Ayrıca, düzgün çalışmasını sağlamak için zaman zaman gerçekleştirebileceğiniz çeşitli yönetim görevleri vardır.
Ne yapmak istiyorsunuz?
Çoklu oturum açmanın doğru ayarlandığını doğrulayın
Çoklu oturum açmayı yönetme
Çoklu oturum açmanın doğru ayarlandığını doğrulayın
Çoklu oturum açmanın doğru şekilde ayarlandığını doğrulamak için aşağıdaki yordamı gerçekleştirerek bulut hizmetinde kurumsal kimlik bilgilerinizle oturum açabildiğinizi onaylayabilir, farklı kullanım senaryoları için çoklu oturum açmayı test edebilir ve Microsoft Uzaktan Bağlantı Çözümleyicisi'ni kullanabilirsiniz.
Not
- Etki alanını eklemek yerine dönüştürdüyseniz, çoklu oturum açmanın ayarlanması 24 saat kadar sürebilir.
- Çoklu oturum açmayı doğrulamadan önce Active Directory eşitlemesini ayarlamayı tamamlamanız, dizinlerinizi eşitlemeniz ve eşitlenen kullanıcılarınızı etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . Dizin eşitleme yol haritası.
Çoklu oturum açmanın doğru şekilde ayarlandığını doğrulamak için aşağıdaki adımları tamamlayın.
Etki alanına katılmış bir bilgisayarda, kurumsal kimlik bilgileriniz için kullandığınız oturum açma adını kullanarak Microsoft bulut hizmetinizde oturum açın.
Parola kutusunun içine tıklayın. Çoklu oturum açma ayarlandıysa parola kutusu gölgelendirilir ve şu iletiyi görürsünüz: "Artık şirketinizde <>oturum açmanız gerekiyor."
Şirketinizde> oturum <açın bağlantısına tıklayın.
Oturum açabiliyorsanız çoklu oturum açma ayarlanmış demektir.
Farklı kullanım senaryoları için çoklu oturum açmayı test etme
Çoklu oturum açma işleminin tamamlandığını doğruladıktan sonra, çoklu oturum açma ve AD FS 2.0 dağıtımının doğru yapılandırıldığından emin olmak için aşağıdaki oturum açma senaryolarını test edin. Kullanıcılarınızdan bir grubun tarayıcılardan bulut hizmeti hizmetlerine ve Microsoft Office 2010 gibi zengin istemci uygulamalarına erişimini aşağıdaki ortamlarda test etmesini isteyin:
Etki alanına katılmış bir bilgisayardan
Şirket ağı içindeki etki alanına katılmamış bir bilgisayardan
Şirket ağı dışındaki gezici etki alanına katılmış bir bilgisayardan
Şirketinizde kullandığınız farklı işletim sistemlerinden
Ev bilgisayarından
İnternet bilgi noktası üzerinden (bulut hizmetine erişimi yalnızca bir tarayıcı üzerinden test edin)
Akıllı telefondan (örneğin, Microsoft Exchange ActiveSync kullanan bir akıllı telefon)
Microsoft Uzaktan Bağlantı Çözümleyicisi'ni kullanma
Çoklu oturum açma bağlantısını test etmek için Microsoft Uzaktan Bağlantı Çözümleyicisi'ni kullanabilirsiniz. Office 365 sekmesine tıklayın, Microsoft Çoklu Oturum Açma'ya ve ardından İleri'ye tıklayın. Testi gerçekleştirmek için ekran istemlerini izleyin. Çözümleyici, kurumsal kimlik bilgilerinizle bulut hizmetinde oturum açabileceğinizi doğrular. Ayrıca bazı temel AD FS 2.0 yapılandırmasını da doğrular.
Ne yapmak istiyorsunuz?
Belirteç imzalama sertifikasında değişiklik yapıldığında Azure AD güncelleştirilecek görevi zamanlama artık öneri değil
AD FS 2.0 veya sonraki bir sürümü kullanıyorsanız Office 365 ve Azure AD süresi dolmadan önce sertifikanızı otomatik olarak güncelleştirir. El ile herhangi bir adım gerçekleştirmeniz veya bir betiği zamanlanmış görev olarak çalıştırmanız gerekmez. Bunun çalışması için, aşağıdaki varsayılan AD FS yapılandırma ayarlarının her ikisinin de etkin olması gerekir:
AutoCertificateRollover AD FS özelliğinin True olarak ayarlanması gerekir. Bu, AD FS'nin eski belirteçlerin süresi dolmadan önce otomatik olarak yeni belirteç imzalama ve belirteç şifre çözme sertifikaları oluşturacağını gösterir. Değer False ise, özel sertifika ayarları kullanıyorsunuzdur. Kapsamlı rehberlik için buraya gidin.
Federasyon meta verilerinizin genel İnternet'e açık olması gerekir.
Çoklu oturum açmayı yönetme
Çoklu oturum açmanın sorunsuz çalışmasını sağlamak için yapabileceğiniz başka isteğe bağlı veya zaman zaman görevler de vardır.
Bu bölümde
Internet Explorer'da Güvenilen Sitelere URL'ler ekleme
Kullanıcıların bulut hizmetinde oturum açmasını kısıtlama
Geçerli ayarları görüntüleme
Güven özelliklerini güncelleştirme
AD FS sunucusunu kurtarma
Yerel Kimlik Doğrulama Türünü Özelleştirme
Internet Explorer'da Güvenilen Sitelere URL'ler ekleme
Çoklu oturum açma ayarlarının bir parçası olarak etki alanlarınızı ekledikten veya dönüştürdükten sonra, AD FS sunucunuzun tam etki alanı adını Internet Explorer'daki Güvenilen Siteler listesine eklemek isteyebilirsiniz. Bu, kullanıcılardan AD FS sunucusuna parolalarının sorulmamasını sağlar. Bu değişikliğin istemcide yapılması gerekir. Ayrıca, bu URL'yi etki alanına katılmış bilgisayarlar için Güvenilen Siteler listesine otomatik olarak ekleyecek bir grup ilkesi ayarı belirterek kullanıcılarınız için de bu değişikliği yapabilirsiniz. Daha fazla bilgi için bkz. Internet Explorer İlkesi Ayarlar.
Kullanıcıların bulut hizmetinde oturum açmasını kısıtlama
AD FS, yöneticilere kullanıcıların erişimini verecek veya reddedecek özel kurallar tanımlama seçeneği sağlar. Çoklu oturum açma için özel kurallar bulut hizmetiyle ilişkili bağlı olan taraf güvenine uygulanmalıdır. Çoklu oturum açmayı ayarlamak için Windows PowerShell cmdlet'lerini çalıştırdığınızda bu güveni oluşturdunuz.
Kullanıcıların hizmetlerde oturum açmasını kısıtlama hakkında daha fazla bilgi için bkz. Gelen Talep Temelinde Kullanıcılara İzin Vermek veya Reddetmek için Kural Oluşturma. Çoklu oturum açmayı ayarlamak için cmdlet'leri çalıştırma hakkında daha fazla bilgi için bkz. AD FS ile çoklu oturum açma için Windows PowerShell yükleme.
Geçerli ayarları görüntüleme
Herhangi bir zamanda geçerli AD FS sunucusunu ve bulut hizmeti ayarlarını görüntülemek isterseniz, Windows PowerShell için Microsoft Azure Active Directory Modülünü açıp komutunu çalıştırabilirsinizConnect-MSOLServiceGet-MSOLFederationProperty –DomainName <domain>. Bu, AD FS sunucusundaki ayarların bulut hizmetindeki ayarlarla tutarlı olup olmadığını denetlemenize olanak tanır. Ayarlar eşleşmiyorsa komutunu çalıştırabilirsiniz Update-MsolFederatedDomain –DomainName <domain>. Daha fazla bilgi için sonraki "Güven özelliklerini güncelleştirme" bölümüne bakın.
Not
contoso.com ve fabrikam.com gibi birden çok üst düzey etki alanını desteklemeniz gerekiyorsa, herhangi bir cmdlet ile SupportMultipleDomain anahtarını kullanmanız gerekir. Daha fazla bilgi için bkz . Birden Çok Üst Düzey Etki Alanı Desteği.
Ne yapmak istiyorsunuz?
Güven özelliklerini güncelleştirme
Aşağıdaki durumlarda bulut hizmetindeki çoklu oturum açma güven özelliklerini güncelleştirmeniz gerekir:
URL değişir: AD FS sunucusunun URL'sinde değişiklik yaparsanız, güven özelliklerini güncelleştirmeniz gerekir.
Birincil belirteç imzalama sertifikası değiştirildi: Birincil belirteç imzalama sertifikasının değiştirilmesi, AD FS sunucusu için Olay Görüntüleyicisi olay kimliği 334 veya olay kimliği 335'i tetikler. Olay Görüntüleyicisi düzenli olarak, en azından haftalık olarak denetlemenizi öneririz.
AD FS sunucusunun olaylarını görüntülemek için aşağıdaki adımları izleyin.
Başlat'a ve ardından Denetim Masası'a tıklayın. Kategori görünümünde Sistem ve Güvenlik'e ve ardından Yönetim Araçları'nı ve ardından Olay Görüntüleyicisi'e tıklayın.
AD FS olaylarını görüntülemek için, Olay Görüntüleyicisi sol bölmesinde Uygulamalar ve Hizmet Günlükleri'ne ve ardından AD FS 2.0'a ve ardından Yönetici'ye tıklayın.
Belirteç imzalama sertifikasının süresi her yıl dolar: Belirteç imzalama sertifikası, Federasyon Hizmeti'nin kararlılığı açısından kritik öneme sahiptir. Değiştirilmesi durumunda, Azure AD bu değişiklik hakkında bilgilendirilmesi gerekir. Aksi takdirde bulut hizmetlerinize yapılan istekler başarısız olur.
Güven özelliklerini el ile güncelleştirmek için aşağıdaki adımları izleyin.
Not
contoso.com ve fabrikam.com gibi birden çok üst düzey etki alanını desteklemeniz gerekiyorsa, herhangi bir cmdlet ile SupportMultipleDomain anahtarını kullanmanız gerekir. Daha fazla bilgi için bkz . Birden Çok Üst Düzey Etki Alanı Desteği.
Windows PowerShell için Microsoft Azure Active Directory Modülünü açın.
$cred=Get-Credentialöğesini çalıştırın. Bu cmdlet sizden kimlik bilgileri istendiğinde bulut hizmeti yönetici hesabı kimlik bilgilerinizi yazın.Connect-MsolService –Credential $credöğesini çalıştırın. Bu cmdlet sizi bulut hizmetine bağlar. Araç tarafından yüklenen ek cmdlet'lerden herhangi birini çalıştırmadan önce sizi bulut hizmetine bağlayan bir bağlam oluşturmak gerekir.komutunu çalıştırın
Set-MSOLAdfscontext -Computer <AD FS primary server>; burada <AD FS birincil sunucusu> , birincil AD FS sunucusunun iç FQDN adıdır. Bu cmdlet sizi AD FS'ye bağlayan bir bağlam oluşturur.Not
birincil sunucuya Microsoft Azure Active Directory Modülü yüklediyseniz, bu cmdlet'i çalıştırmanız gerekmez.
Update-MSOLFederatedDomain –DomainName <domain>öğesini çalıştırın. Bu cmdlet, bulut hizmetini AD FS ayarlarıyla güncelleştirir ve ikisi arasındaki güven ilişkisini yapılandırır.
Ne yapmak istiyorsunuz?
AD FS sunucusunu kurtarma
Birincil sunucunuzu kaybetmeniz ve kurtaramamanız durumunda, başka bir sunucuyu birincil sunucu olacak şekilde yükseltmeniz gerekir. Daha fazla bilgi için bkz. AD FS 2.0 - WiD Grubunda Birincil Federasyon Sunucusunu Ayarlama.
Not
AD FS sunucularınızdan biri başarısız olursa ve yüksek kullanılabilirlik grubu yapılandırması ayarladıysanız, kullanıcılar bulut hizmetine erişmeye devam eder. Başarısız sunucu birincil sunucuysa, başka bir sunucuyu birincil sunucu olacak şekilde yükseltene kadar grup yapılandırmasında herhangi bir güncelleştirme gerçekleştiremezsiniz.
Gruptaki tüm sunucuları kaybederseniz, aşağıdaki adımlarla güveni yeniden oluşturmanız gerekir.
Not
contoso.com ve fabrikam.com gibi birden çok üst düzey etki alanını desteklemeniz gerekiyorsa, herhangi bir cmdlet ile SupportMultipleDomain anahtarını kullanmanız gerekir. SupportMultipleDomain anahtarını kullandığınızda, genellikle her etki alanınızda yordamı çalıştırmanız gerekir. Ancak, AD FS sunucunuzu kurtarmak için, etki alanlarınızdan biri için yordamı yalnızca bir kez izlemeniz gerekir. Sunucunuz kurtarıldıktan sonra diğer tüm çoklu oturum açma etki alanlarınız bulut hizmetine bağlanır. Daha fazla bilgi için bkz . Birden Çok Üst Düzey Etki Alanı Desteği.
Microsoft Azure Active Directory Modülünü açın.
$cred=Get-Credentialöğesini çalıştırın. Cmdlet sizden kimlik bilgileri istendiğinde bulut hizmeti yönetici hesabı kimlik bilgilerinizi yazın.Connect-MsolService –Credential $credöğesini çalıştırın. Bu cmdlet sizi bulut hizmetine bağlar. Araç tarafından yüklenen ek cmdlet'lerden herhangi birini çalıştırmadan önce sizi bulut hizmetine bağlayan bir bağlam oluşturmak gerekir.komutunu çalıştırın
Set-MSOLAdfscontext -Computer <AD FS primary server>; burada <AD FS birincil sunucusu> , birincil AD FS sunucusunun iç FQDN adıdır. Bu cmdlet sizi AD FS'ye bağlayan bir bağlam oluşturur.Not
birincil AD FS sunucusuna Microsoft Azure Active Directory Modülü yüklediyseniz, bu cmdlet'i çalıştırmanız gerekmez.
komutunu çalıştırın
Update-MsolFederatedDomain –DomainName <domain>. Burada <etki alanı> , özelliklerini güncelleştirmek istediğiniz etki alanıdır. Bu cmdlet özellikleri güncelleştirir ve güven ilişkisini kurar.komutunu çalıştırın
Get-MsolFederationProperty –DomainName <domain>; burada <etki alanı> , özelliklerini görüntülemek istediğiniz etki alanıdır. Ardından, birincil AD FS sunucusundaki özellikleri ve bulut hizmetindeki özellikleri karşılaştırarak bunların eşleştiğinden emin olabilirsiniz. Eşleşmiyorsa, özellikleri eşitlemek için yeniden çalıştırınUpdate-MsolFederatedDomain –DomainName <domain>.
Ayrıca Bkz.
Kavramlar
Denetim Listesi: Çoklu oturum açmayı uygulamak ve yönetmek için AD FS kullanma
Çoklu oturum açma yol haritası