Federování více instancí ID Microsoft Entra s jednou instancí služby AD FS
Jedna vysoce dostupná farma AD FS může federovat více doménových struktur, pokud mezi nimi existuje obousměrný důvěryhodný vztah. Tyto různé lesy mohou nebo nemusí odpovídat stejnému ID Microsoft Entra. Tento článek obsahuje pokyny ke konfiguraci federace mezi jedním nasazením služby AD FS a několika instancemi MICROSOFT Entra ID.
Poznámka:
Zpětný zápis zařízení a automatické připojení zařízení nejsou v tomto scénáři podporovány.
Poznámka:
Microsoft Entra Connect nelze použít ke konfiguraci federace v tomto scénáři, protože Microsoft Entra Connect může nakonfigurovat federaci pro domény v jednom ID Microsoft Entra.
Postup pro propojení služby AD FS pomocí více identit Microsoft Entra
Zvažte doménu contoso.com v Microsoft Entra. Contoso.onmicrosoft.com je již federována s místní službou AD FS, která je nainstalována v místním prostředí Active Directory společnosti contoso.com. Fabrikam.com je doména v Microsoft Entra ID fabrikam.onmicrosoft.com.
Krok 1: Vytvoření obousměrného vztahu důvěryhodnosti
Aby služba AD FS v doméně contoso.com mohla ověřovat uživatele v doméně fabrikam.com, je potřebný obousměrný vztah důvěryhodnosti mezi doménami contoso.com a fabrikam.com. Při vytváření obousměrného vztahu důvěryhodnosti postupujte podle pokynů v tomto článku.
Krok 2: Úprava nastavení federace contoso.com
Výchozí vystavitel nastavený pro jednu doménu federovanou do AD FS je "http://ADFSServiceFQDN/adfs/services/trust", například http://fs.contoso.com/adfs/services/trust. Microsoft Entra ID vyžaduje jedinečného vystavitele pro každou federovanou doménu. Vzhledem k tomu, že služba AD FS bude federovat dvě domény, je potřeba upravit hodnotu vystavitele tak, aby byla jedinečná.
Poznámka:
Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci ukončení podpory. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.
Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x MSOnline mohou být narušeny po 30. červnu 2024.
Na serveru AD FS otevřete Azure AD PowerShell (ujistěte se, že je nainstalovaný modul MSOnline) a proveďte následující kroky:
Připojte se k ID Microsoft Entra, které obsahuje doménu contoso.com.
Connect-MsolService
Aktualizujte nastavení federace pro contoso.com:
Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
Vystavitel v nastavení federace domény se změní na http://contoso.com/adfs/services/trust a pro důvěryhodnostní vztah Relying Party pro Microsoft Entra ID se přidá pravidlo vydávání nároku, které bude vydávat správnou hodnotu issuerId na základě přípony UPN.
Krok 3: Vytvoření federace domény fabrikam.com se službou AD FS
V relaci Azure AD PowerShell proveďte následující kroky: Připojte se k Entra ID společnosti Microsoft, které obsahuje doménu fabrikam.com
Connect-MsolService
Převeďte spravovanou doménu fabrikam.com na federovanou:
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
Předchozí operace federuje doménu fabrikam.com se stejnou službou AD FS. Nastavení domény můžete ověřit pomocí příkazu Get-MsolDomainFederationSettings pro obě domény.