Federování více instancí ID Microsoft Entra s jednou instancí služby AD FS
Jedna vysoce dostupná farma AD FS může federovat více doménových struktur, pokud mezi nimi existuje obousměrný důvěryhodný vztah. Tyto více doménových struktur mohou nebo nemusí odpovídat stejnému ID Microsoft Entra. Tento článek obsahuje pokyny ke konfiguraci federace mezi jedním nasazením služby AD FS a několika instancemi MICROSOFT Entra ID.
Poznámka:
Zpětný zápis zařízení a automatické připojení zařízení nejsou v tomto scénáři podporovány.
Poznámka:
Microsoft Entra Connect nelze použít ke konfiguraci federace v tomto scénáři, protože Microsoft Entra Connect může nakonfigurovat federaci pro domény v jednom ID Microsoft Entra.
Postup pro propojení služby AD FS pomocí více identit Microsoft Entra
Zvažte contoso.com domény v Microsoft Entra contoso.onmicrosoft.com je už federovaný s místní službou AD FS nainstalovanou v contoso.com místní Active Directory prostředí. Fabrikam.com je doména v fabrikam.onmicrosoft.com ID Microsoft Entra.
Krok 1: Vytvoření obousměrného vztahu důvěryhodnosti
Aby služba AD FS v doméně contoso.com mohla ověřovat uživatele v doméně fabrikam.com, je potřebný obousměrný vztah důvěryhodnosti mezi doménami contoso.com a fabrikam.com. Při vytváření obousměrného vztahu důvěryhodnosti postupujte podle pokynů v tomto článku.
Krok 2: Úprava nastavení federace contoso.com
Výchozí vystavitel nastavený pro jednu doménu federovanou do služby AD FS je "http://ADFSServiceFQDN/adfs/services/trust", například http://fs.contoso.com/adfs/services/trust. Id Microsoft Entra vyžaduje jedinečné vystavitele pro každou federovanou doménu. Vzhledem k tomu, že služba AD FS bude federovat dvě domény, je potřeba upravit hodnotu vystavitele tak, aby byla jedinečná.
Poznámka:
Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.
Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.
Na serveru AD FS otevřete Azure AD PowerShell (ujistěte se, že je nainstalovaný modul MSOnline) a proveďte následující kroky:
Připojte se k ID Microsoft Entra, které obsahuje doménu contoso.com.
Connect-MsolService
Aktualizujte nastavení federace pro contoso.com:
Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
Vystavitel v nastavení federace domény se změní na http://contoso.com/adfs/services/trust a pro důvěryhodnostní vztah Relying Party pro Microsoft Entra ID se přidá pravidlo vydávání nároku, které bude vydávat správnou hodnotu issuerId na základě přípony UPN.
Krok 3: Vytvoření federace domény fabrikam.com se službou AD FS
V relaci Azure AD PowerShellu proveďte následující kroky: Připojení k ID Microsoft Entra, které obsahuje doménu fabrikam.com
Connect-MsolService
Převeďte spravovanou doménu fabrikam.com na federovanou:
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
Předchozí operace federuje doménu fabrikam.com se stejnou službou AD FS. Nastavení domény můžete ověřit pomocí příkazu Get-MsolDomainFederationSettings pro obě domény.