Sdílet prostřednictvím

Nastavení vztahu důvěryhodnosti mezi službou AD FS a Azure AD

  • Článek

Aktualizováno: 25. června 2015

Platí pro: Azure, Office 365, Power BI, Windows Intune

Každá doména, kterou chcete federovat, musí být buď přidána jako doména jednotného přihlašování, nebo převedená na doménu jednotného přihlašování ze standardní domény. Přidání nebo převod domény nastaví vztah důvěryhodnosti mezi službou AD FS a Microsoft Azure Active Directory (Microsoft Azure AD).

Důležité

  • Pokud používáte subdoménu (například corp.contoso.com) vedle domény nejvyšší úrovně (například contoso.com), musíte před přidáním jakýchkoli subdomén přidat doménu nejvyšší úrovně ve své cloudové službě. Když je doména nejvyšší úrovně nastavená pro jednotné přihlašování, všechny subdomény se automaticky nastaví i.

  • Nastavení vztahu důvěryhodnosti je jednorázová operace a pokud do serverové farmy přidáte další servery AD FS, nemusíte znovu spouštět modul Microsoft Azure Active Directory pro Windows PowerShell rutiny.

  • Pokud přidáte a ověříte doménu pomocí modulu Microsoft Azure Active Directory, musíte zadat několik dalších nastavení. Tato nastavení jsou povinná, abyste viděli záznamy DNS, které musíte nakonfigurovat tak, aby doména fungovala s vaší cloudovou službou.

Pokud potřebujete podporovat více domén nejvyšší úrovně, musíte použít přepínač SupportMultipleDomain s libovolnými rutinami, jako jsou rutiny používané v postupech Přidat doménu a Převést doménu.

Pokud chcete například přidat contoso.com i fabrikam.com jako domény jednotného přihlašování, postupujte podle postupu Přidat doménu pro contoso.com pomocí přepínače SupportMultipleDomain v každém kroku, který má rutinu. Takže pro krok 5 byste použili New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Jakmile dokončíte všechny kroky v postupu pro contoso.com, opakujte postup znovu pro vaši doménu fabrikam.com. V kroku 5 byste použili New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Další informace najdete v tématu Podpora více domén nejvyšší úrovně.

Pokud chcete nastavit federovaný vztah důvěryhodnosti pomocí Azure AD, proveďte jeden z následujících postupů v závislosti na tom, jestli potřebujete přidat novou doménu nebo převést existující doménu.

  • Přidat doménu

  • Převod domény

Přidat doménu

  1. Otevřete modul Microsoft Azure Active Directory.

  2. Spusťte $cred=Get-Credential. Po zobrazení výzvy k zadání přihlašovacích údajů zadejte přihlašovací údaje účtu správce cloudové služby.

  3. Spusťte Connect-MsolService –Credential $cred. Tato rutina vás připojí k Azure AD. Vytvoření kontextu, který vás připojí k Azure AD je vyžadován před spuštěním jakékoli další rutiny nainstalované nástrojem.

  4. Spusťte Set-MsolAdfscontext -Computer <AD FS primary server>příkaz , kde <primární server> služby AD FS je interní název plně kvalifikovaného názvu domény primárního serveru SLUŽBY AD FS. Tato rutina vytvoří kontext, který vás připojí ke službě AD FS.

    Poznámka

    Pokud jste nainstalovali modul Microsoft Azure Active Directory na primární server služby AD FS, nemusíte tuto rutinu spouštět.

  5. Spusťte New-MsolFederatedDomain –DomainName <domain>příkaz , kde <doména je doména> , která se má přidat a povolit pro jednotné přihlašování. Tato rutina přidá novou doménu nebo subdoménu nejvyšší úrovně, která se nakonfiguruje pro federované ověřování.

    Poznámka

    Jakmile použijete rutinu New-MsolFederatedDomain k přidání domény nejvyšší úrovně, nebudete moct pomocí rutiny New-MsolDomain přidat standardní domény (nefederované).

  6. Pomocí informací poskytovaných výsledky New-MsolFederatedDomain rutiny se obraťte na doménového registrátora a vytvořte požadovaný záznam DNS. Tím ověříte, že doménu vlastníte. Upozorňujeme, že rozšíření může trvat až 15 minut v závislosti na vašem registrátorovi. Rozšíření změn v systému může trvat až 72 hodin. Další informace najdete v tématu Ověření domény u libovolného registrátora názvů domén.

  7. Spusťte New-MsolFederatedDomain podruhé a zadejte stejný název domény, aby se proces finalizoval.

Převod domény

Když převedete existující doménu na doménu jednotného přihlašování, stane se každý licencovaný uživatel federovaným uživatelem pomocí svých stávajících podnikových přihlašovacích údajů služby Active Directory (uživatelské jméno a heslo) pro přístup ke cloudovým službám. Provedení postupného zavedení jednotného přihlašování není v současné době možné; Můžete ale nasadit jednotné přihlašování pomocí sady produkčních uživatelů z produkční doménové struktury služby Active Directory. Další informace najdete v tématu Spuštění pilotního nasazení pro otestování jednotného přihlašování před jeho nastavením (volitelné).

Poznámka

Nejlepší je provést převod, pokud existuje několik uživatelů, například o víkendu, abyste snížili dopad na uživatele.

Pokud chcete převést existující doménu na doménu jednotného přihlašování, postupujte takto.

  1. Otevřete modul Microsoft Azure Active Directory.

  2. Spusťte $cred=Get-Credential. Po zobrazení výzvy k zadání přihlašovacích údajů zadejte přihlašovací údaje účtu správce cloudové služby.

  3. Spusťte Connect-MsolService –Credential $cred. Tato rutina vás připojí k Azure AD. Vytvoření kontextu, který vás připojí k Azure AD je vyžadován před spuštěním jakékoli další rutiny nainstalované nástrojem.

  4. Spusťte Set-MsolAdfscontext -Computer <AD FS primary server>příkaz , kde <primární server> služby AD FS je interní název plně kvalifikovaného názvu domény primárního serveru SLUŽBY AD FS. Tato rutina vytvoří kontext, který vás připojí ke službě AD FS.

    Poznámka

    Pokud jste nainstalovali modul Microsoft Azure Active Directory na primární server služby AD FS, nemusíte tuto rutinu spouštět.

  5. Spusťte Convert-MsolDomainToFederated –DomainName <domain>příkaz , kde <doména> je doména, která se má převést. Tato rutina změní doménu ze standardního ověřování na jednotné přihlašování.

Poznámka

Pokud chcete ověřit, že převod fungoval, porovnejte nastavení na serveru služby AD FS a v Azure AD spuštěním Get-MsolFederationProperty –DomainName <domain>, kde <doména je doména>, pro kterou chcete zobrazit nastavení. Pokud se neshodují, můžete spustit Update-MsolFederatedDomain –DomainName <domain> synchronizaci nastavení.

Další krok

Teď, když jste nastavili vztah důvěryhodnosti mezi službou AD FS a Azure AD, musíte nastavit synchronizaci služby Active Directory. Další informace najdete v tématu Plán synchronizace adresářů. Po nastavení synchronizace služby Active Directory si přečtěte téma Ověření a správa jednotného přihlašování pomocí služby AD FS.

Viz také

Koncepty

Kontrolní seznam: Použití služby AD FS k implementaci a správě jednotného přihlašování
Plán jednotného přihlašování