Sdílet prostřednictvím

Nastavení vztahu důvěryhodnosti mezi Shibbolethem a Azure AD

  • Článek

Aktualizováno: 25. června 2015

Platí pro: Azure, Office 365, Power BI, Windows Intune

Azure AD domény se federují pomocí modulu Microsoft Azure Active Directory pro Windows PowerShell. Toto téma použijete ke spuštění řady rutin v rozhraní příkazového řádku Windows PowerShell pro přidání nebo převod domén pro jednotné přihlašování.

Důležité

Než budete moct dokončit pokyny v tomto tématu, musíte zkontrolovat a dokončit kroky v části Instalace Windows PowerShell pro jednotné přihlašování pomocí Shibboleth.

Každá doména služby Active Directory, kterou chcete federovat pomocí Shibboleth, musí být buď přidána jako doména jednotného přihlašování, nebo převedena na doménu jednotného přihlašování ze standardní domény. Přidání nebo převod domény nastaví vztah důvěryhodnosti mezi zprostředkovatelem identity Shibboleth a Azure Active Directory.

Následující postup vás provede převodem existující standardní domény na federovanou doménu.

  1. Otevřete modul Microsoft Azure Active Directory.

  2. Spusťte $cred=Get-Credential. Po zobrazení výzvy k zadání přihlašovacích údajů zadejte přihlašovací údaje účtu správce cloudové služby.

  3. Spusťte Connect-MsolService –Credential $cred. Tato rutina vás připojí k Azure AD. Vytvoření kontextu, který vás připojí k Azure AD je vyžadován před spuštěním jakékoli další rutiny nainstalované nástrojem.

  4. Spuštěním následujících příkazů převeďte existující doménu (v tomto příkladu mail.contoso.com) pro jednotné přihlašování:

    $dom = "mail.contoso.com”
$url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
$ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
$uri = "https://idp.contoso.com/idp/shibboleth"
$logouturl = "https://idp.contoso.com/logout/" 
$cert = "MIIFYzCCBEugAw...2tLRtyN"

Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

    Poznámka

    Je nutné spustit $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP pouze v případě, že nastavíte rozšíření ECP zprostředkovatele identity Shibboleth. I když je volitelný krok, doporučujeme nainstalovat rozšíření ECP zprostředkovatele identity Shibboleth, aby jednotné přihlašování fungovalo s inteligentním telefonem, Microsoft Outlook nebo jinými klienty. Další informace naleznete v tématu Volitelné: Instalace rozšíření Shibboleth ECP v konfiguraci Shibboleth pro použití s jednotným přihlašováním.

Viz také

Koncepty

Instalace Windows PowerShell pro jednotné přihlašování pomocí Shibboleth
Použití zprostředkovatele identity Shibboleth k implementaci jednotného přihlašování