Ověření a správa jednotného přihlašování ve službě AD FS
Aktualizováno: 25. června 2015
Platí pro: Azure, Office 365, Power BI, Windows Intune
Poznámka
Toto téma nemusí být zcela použitelné pro uživatele Microsoft Azure v Číně. Další informace o službě Azure v Číně najdete v tématu windowsazure.cn.
Než jako správce ověříte a spravujete jednotné přihlašování (označované také jako federace identit), projděte si informace a proveďte kroky v kontrolním seznamu: Použití služby AD FS k implementaci a správě jednotného přihlašování.
Po nastavení jednotného přihlašování byste měli ověřit, že funguje správně. Existuje také několik úloh správy, které můžete občas provádět, aby běžel hladce.
Co chcete udělat?
Ověřte, že je správně nastavené jednotné přihlašování.
Správa jednotného přihlašování
Ověřte, že je správně nastavené jednotné přihlašování.
Pokud chcete ověřit, že je jednotné přihlašování správně nastavené, můžete následujícím postupem ověřit, že se můžete přihlásit ke cloudové službě pomocí firemních přihlašovacích údajů, otestovat jednotné přihlašování pro různé scénáře použití a použít Microsoft Remote Connectivity Analyzer.
Poznámka
- Pokud jste místo přidání domény převedli doménu, může nastavení jednotného přihlašování trvat až 24 hodin.
- Než ověříte jednotné přihlašování, měli byste dokončit nastavení synchronizace služby Active Directory, synchronizaci adresářů a aktivaci synchronizovaných uživatelů. Další informace najdete v tématu Plán synchronizace adresářů.
Pokud chcete ověřit, že je jednotné přihlašování správně nastavené, proveďte následující kroky.
Na počítači připojeném k doméně se přihlaste ke cloudové službě Microsoftu pomocí stejného přihlašovacího názvu, který používáte pro své podnikové přihlašovací údaje.
Klikněte do pole pro heslo. Pokud je nastavené jednotné přihlašování, bude pole s heslem stínované a zobrazí se následující zpráva: "Teď se musíte přihlásit ve <vaší společnosti>".
Klikněte na tlačítko Přihlásit se na <odkaz vaší společnosti> .
Pokud se můžete přihlásit, je nastavené jednotné přihlašování.
Testování jednotného přihlašování pro různé scénáře použití
Po ověření, že je jednotné přihlašování dokončené, otestujte následující scénáře přihlašování a ujistěte se, že je správně nakonfigurované jednotné přihlašování a nasazení služby AD FS 2.0. Požádejte skupinu uživatelů, aby otestovali přístup ke službám cloudové služby z prohlížečů a bohatých klientských aplikací, jako je Microsoft Office 2010, v následujících prostředích:
Z počítače připojeného k doméně
Z počítače, který není připojený k doméně uvnitř podnikové sítě
Z počítače připojeného k cestovní doméně mimo podnikovou síť
Z různých operačních systémů, které používáte ve vaší společnosti
Z domácího počítače
Z internetového veřejného terminálu (otestujte přístup ke cloudové službě jenom přes prohlížeč).
Z chytrého telefonu (například chytrý telefon, který používá Microsoft protokol Exchange ActiveSync)
Použití nástroje Microsoft Remote Connectivity Analyzer
K otestování připojení jednotného přihlašování můžete použít Microsoft Remote Connectivity Analyzer. Klikněte na kartu Office 365, klikněte na jednotné přihlašování Microsoftu a potom na tlačítko Další. Postupujte podle pokynů na obrazovce a proveďte test. Analyzátor ověří, jestli se můžete přihlásit ke cloudové službě pomocí firemních přihlašovacích údajů. Ověří také základní konfiguraci služby AD FS 2.0.
Co chcete udělat?
Naplánování úlohy pro aktualizaci Azure AD při změně podpisového certifikátu tokenu už doporučení
Pokud používáte službu AD FS 2.0 nebo novější, Office 365 a Azure AD certifikát před vypršením platnosti automaticky aktualizuje. Nemusíte provádět žádné ruční kroky ani spouštět skript jako naplánovanou úlohu. Aby to fungovalo, musí platit obě následující výchozí nastavení konfigurace služby AD FS:
Vlastnost AD FS AutoCertificateRollover musí být nastavena na Hodnotu True, což znamená, že služba AD FS automaticky vygeneruje nové podpisové certifikáty tokenu a dešifrování tokenů před vypršením platnosti starých certifikátů. Pokud je hodnota False, používáte vlastní nastavení certifikátu. Podrobné pokyny najdete tady.
Vaše federační metadata musí být dostupná pro veřejný internet.
Správa jednotného přihlašování
Existují i další volitelné nebo občasné úlohy, které můžete udělat, abyste mohli bez problémů spouštět jednotné přihlašování.
V této části
Přidání adres URL k důvěryhodným webům v Internet Exploreru
Omezení přihlašování uživatelů ke cloudové službě
Zobrazení aktuálního nastavení
Aktualizace vlastností důvěryhodnosti
Obnovení serveru AD FS
Přizpůsobení místního typu ověřování
Přidání adres URL k důvěryhodným webům v Internet Exploreru
Po přidání nebo převodu domén v rámci nastavení jednotného přihlašování můžete chtít přidat plně kvalifikovaný název domény serveru AD FS do seznamu důvěryhodných webů v Internet Exploreru. Tím zajistíte, že se uživatelům nezobrazí výzva k zadání hesla k serveru SLUŽBY AD FS. Tato změna musí být provedena v klientovi. Tuto změnu můžete provést také u uživatelů zadáním nastavení Zásady skupiny, které automaticky přidá tuto adresu URL do seznamu Důvěryhodných webů pro počítače připojené k doméně. Další informace naleznete v tématu Zásady aplikace Internet Explorer Nastavení.
Omezení přihlašování uživatelů ke cloudové službě
Služba AD FS poskytuje správcům možnost definovat vlastní pravidla, která uživatelům udělí nebo zamítnou přístup. U jednotného přihlašování by se vlastní pravidla měla použít u vztahu důvěryhodnosti předávající strany přidružené ke cloudové službě. Tento vztah důvěryhodnosti jste vytvořili při spuštění rutin v Windows PowerShell pro nastavení jednotného přihlašování.
Další informace o tom, jak omezit přihlašování uživatelů ke službám, najdete v tématu Vytvoření pravidla pro povolení nebo odepření uživatelů na základě příchozí deklarace identity. Další informace o spouštění rutin pro nastavení jednotného přihlašování najdete v tématu Instalace Windows PowerShell pro jednotné přihlašování se službou AD FS.
Zobrazení aktuálního nastavení
Pokud chcete kdykoli zobrazit aktuální server SLUŽBY AD FS a nastavení cloudové služby, můžete otevřít modul Microsoft Azure Active Directory pro Windows PowerShell a spustit Connect-MSOLService
Get-MSOLFederationProperty –DomainName <domain>
. To vám umožní zkontrolovat, jestli jsou nastavení na serveru SLUŽBY AD FS konzistentní s nastaveními v cloudové službě. Pokud se nastavení neshoduje, můžete spustit Update-MsolFederatedDomain –DomainName <domain>
. Další informace najdete v další části Aktualizace vlastností důvěryhodnosti.
Poznámka
Pokud potřebujete podporovat více domén nejvyšší úrovně, jako jsou contoso.com a fabrikam.com, musíte použít přepínač SupportMultipleDomain se všemi rutinami. Další informace najdete v tématu Podpora více domén nejvyšší úrovně.
Co chcete udělat?
Aktualizace vlastností důvěryhodnosti
Vlastnosti vztahu důvěryhodnosti jednotného přihlašování je nutné aktualizovat v cloudové službě v následujících případech:
Adresa URL se změní: Pokud provedete změny adresy URL serveru služby AD FS, musíte aktualizovat vlastnosti důvěryhodnosti.
Změnil se podpisový certifikát primárního tokenu: Změna podpisového certifikátu primárního tokenu aktivuje událost s ID 334 nebo ID události 335 v Prohlížeč událostí pro server SLUŽBY AD FS. Doporučujeme pravidelně kontrolovat Prohlížeč událostí alespoň týdně.
Pokud chcete zobrazit události pro server SLUŽBY AD FS, postupujte takto.
Klepněte na tlačítko Start a poté klepněte na tlačítko Ovládací panely. V zobrazení Kategorie klepněte na položku Systém a zabezpečení, klepněte na tlačítko Nástroje pro správu a poté klepněte na tlačítko Prohlížeč událostí.
Chcete-li zobrazit události služby AD FS, klikněte v levém podokně Prohlížeč událostí na protokoly aplikací a služeb, potom na AD FS 2.0 a potom klikněte na správce.
Podpisový certifikát tokenu vyprší každý rok: Podpisový certifikát tokenu je kritický pro stabilitu služby Federation Service. V případě, že dojde ke změně, musí být Azure AD o této změně upozorněni. V opačném případě se požadavky provedené ve vašich cloudových službách nezdaří.
Pokud chcete vlastnosti důvěryhodnosti aktualizovat ručně, postupujte takto.
Poznámka
Pokud potřebujete podporovat více domén nejvyšší úrovně, jako jsou contoso.com a fabrikam.com, musíte použít přepínač SupportMultipleDomain se všemi rutinami. Další informace najdete v tématu Podpora více domén nejvyšší úrovně.
Otevřete modul Microsoft Azure Active Directory pro Windows PowerShell.
Spusťte
$cred=Get-Credential
. Když vás tato rutina vyzve k zadání přihlašovacích údajů, zadejte přihlašovací údaje účtu správce cloudové služby.Spusťte
Connect-MsolService –Credential $cred
. Tato rutina vás připojí ke cloudové službě. Vytvoření kontextu, který vás připojí ke cloudové službě, se vyžaduje před spuštěním jakékoli další rutiny nainstalované nástrojem.Spusťte
Set-MSOLAdfscontext -Computer <AD FS primary server>
příkaz , kde <primární server> služby AD FS je interní název plně kvalifikovaného názvu domény primárního serveru SLUŽBY AD FS. Tato rutina vytvoří kontext, který vás připojí ke službě AD FS.Poznámka
Pokud jste nainstalovali modul Microsoft Azure Active Directory na primární server, nemusíte tuto rutinu spouštět.
Spusťte
Update-MSOLFederatedDomain –DomainName <domain>
. Tato rutina aktualizuje nastavení cloudové služby s použitím nastavení služby AD FS a nakonfiguruje mezi těmito dvěma službami vztah důvěryhodnosti.
Co chcete udělat?
Obnovení serveru AD FS
V případě ztráty primárního serveru a jeho obnovení nebudete moct zvýšit úroveň jiného serveru, aby se stal primárním serverem. Další informace najdete v tématu AD FS 2.0 – Nastavení primárního federačního serveru ve farmě Interní databáze Windows.
Poznámka
Pokud některý ze serverů AD FS selže a vy jste nastavili konfiguraci farmy s vysokou dostupností, budou mít uživatelé stále přístup ke cloudové službě. Pokud je serverem, který selhal, primárním serverem, nebudete moct provádět žádné aktualizace konfigurace farmy, dokud nebudete upřednostnět jiný server, aby se stal primárním serverem.
Pokud ztratíte všechny servery ve farmě, musíte vztah důvěryhodnosti znovu sestavit pomocí následujícího postupu.
Poznámka
Pokud potřebujete podporovat více domén nejvyšší úrovně, jako jsou contoso.com a fabrikam.com, musíte použít přepínač SupportMultipleDomain se všemi rutinami. Při použití přepínače SupportMultipleDomain obvykle musíte spustit postup pro každou z vašich domén. Pokud ale chcete obnovit server SLUŽBY AD FS, stačí postupovat pouze jednou pro jednu z vašich domén. Po obnovení serveru se všechny ostatní domény jednotného přihlašování připojí ke cloudové službě. Další informace najdete v tématu Podpora více domén nejvyšší úrovně.
Otevřete modul Microsoft Azure Active Directory.
Spusťte
$cred=Get-Credential
. Po zobrazení výzvy k zadání přihlašovacích údajů zadejte přihlašovací údaje účtu správce cloudové služby.Spusťte
Connect-MsolService –Credential $cred
. Tato rutina vás připojí ke cloudové službě. Vytvoření kontextu, který vás připojí ke cloudové službě, se vyžaduje před spuštěním jakékoli další rutiny nainstalované nástrojem.Spusťte
Set-MSOLAdfscontext -Computer <AD FS primary server>
příkaz , kde <primární server> služby AD FS je interní název plně kvalifikovaného názvu domény primárního serveru SLUŽBY AD FS. Tato rutina vytvoří kontext, který vás připojí ke službě AD FS.Poznámka
Pokud jste nainstalovali modul Microsoft Azure Active Directory na primární server služby AD FS, nemusíte tuto rutinu spouštět.
Spusťte
Update-MsolFederatedDomain –DomainName <domain>
, kde <doména je doména> , pro kterou chcete aktualizovat vlastnosti. Tato rutina aktualizuje vlastnosti a vytvoří vztah důvěryhodnosti.Spusťte
Get-MsolFederationProperty –DomainName <domain>
, kde <doména je doména> , pro kterou chcete zobrazit vlastnosti. Potom můžete porovnat vlastnosti z primárního serveru SLUŽBY AD FS a vlastností v cloudové službě, abyste měli jistotu, že odpovídají. Pokud se neshodují, spusťteUpdate-MsolFederatedDomain –DomainName <domain>
znovu synchronizaci vlastností.
Viz také
Koncepty
Kontrolní seznam: Použití služby AD FS k implementaci a správě jednotného přihlašování
Plán jednotného přihlašování