Przygotowanie do logowania jednokrotnego
Zaktualizowano: 25 czerwca 2015 r.
Dotyczy: Azure, Office 365, Power BI, Windows Intune
Uwaga
Ten temat może nie dotyczyć użytkowników Microsoft Azure w Chinach. Aby uzyskać więcej informacji na temat usługi platformy Azure w Chinach, zobacz windowsazure.cn.
Aby przygotować się do logowania jednokrotnego, wykonaj następujące kroki:
Krok 1. Przegląd wymagań dotyczących logowania jednokrotnego
Krok 2. Przygotowanie usługi Active Directory
Krok 1. Przegląd wymagań dotyczących logowania jednokrotnego
Aby zaimplementować to rozwiązanie do logowania jednokrotnego, należy spełnić następujące wymagania:
Usługa Active Directory została wdrożona i uruchomiona w programie Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 lub Windows Server 2012 R2 z poziomem funkcjonalności trybu mieszanego lub natywnego.
Jeśli planujesz używać usług AD FS jako usługi STS, należy wykonać jedną z następujących czynności:
Pobierz, zainstaluj i wdróż usługi AD FS 2.0 na serwerze Windows Server 2008 lub Windows Server 2008 R2. Ponadto, jeśli użytkownicy będą łączyć się spoza sieci firmowej, należy wdrożyć serwer proxy usług AD FS 2.0.
Zainstaluj usługę roli ad FS na serwerze Windows Server 2012 lub Windows Server 2012 R2.
Jeśli planujesz używać dostawcy tożsamości Shibboleth jako usługi STS, musisz zainstalować i przygotować działającego dostawcę tożsamości Shibboleth.
Ważne
Firma Microsoft obsługuje to środowisko logowania jednokrotnego jako integrację usługi w chmurze firmy Microsoft, takiej jak Microsoft Intune lub Office 365, z już zainstalowanym i operacyjnym dostawcą tożsamości Shibboleth. Shibboleth Identity Provider to produkt innej firmy, dlatego firma Microsoft nie zapewnia pomocy technicznej dotyczącej wdrażania, konfiguracji, rozwiązywania problemów, najlepszych rozwiązań itp. problemów i pytań dotyczących dostawcy tożsamości Shibboleth. Aby uzyskać więcej informacji na temat dostawcy tożsamości Shibboleth, zobacz https://go.microsoft.com/fwlink/?LinkID=256497.
Na podstawie typu usługi STS, który zostanie skonfigurowany, użyj modułu Microsoft Azure Active Directory dla Windows PowerShell, aby ustanowić federacyjną relację zaufania między lokalnymi usługami STS i Azure AD.
Zainstaluj wymagane aktualizacje dla subskrypcji usług w chmurze firmy Microsoft, aby upewnić się, że użytkownicy korzystają z najnowszych aktualizacji Windows 7, Windows Vista lub Windows XP. Niektóre funkcje mogą nie działać prawidłowo bez odpowiednich wersji systemów operacyjnych, przeglądarek i oprogramowania. Aby uzyskać więcej informacji, zobacz Dodatek A: Przegląd wymagań dotyczących oprogramowania.
Krok 2. Przygotowanie usługi Active Directory
Usługa Active Directory musi mieć określone ustawienia skonfigurowane w celu prawidłowego działania przy użyciu logowania jednokrotnego. W szczególności główna nazwa użytkownika (UPN), znana również jako nazwa logowania użytkownika, musi być skonfigurowana w określony sposób dla każdego użytkownika.
Uwaga
Aby przygotować środowisko usługi Active Directory do logowania jednokrotnego, zalecamy uruchomienie narzędzia gotowości do wdrażania firmy Microsoft. To narzędzie sprawdza środowisko usługi Active Directory i udostępnia raport zawierający informacje o tym, czy wszystko jest gotowe do skonfigurowania logowania jednokrotnego. W przeciwnym razie zostanie wyświetlona lista zmian, które należy wprowadzić, aby przygotować się do logowania jednokrotnego. Na przykład sprawdza, czy użytkownicy mają nazwy UPN i czy te nazwy UPN są w poprawnym formacie.
W zależności od każdej z domen może być konieczne wykonanie następujących czynności:
Nazwa UPN musi być ustawiona i znana przez użytkownika.
Sufiks domeny nazwy UPN musi znajdować się w domenie, którą chcesz skonfigurować na potrzeby logowania jednokrotnego.
Domena wybrana do federacji musi być zarejestrowana jako domena publiczna u rejestratora domen lub na własnych publicznych serwerach DNS.
Aby utworzyć nazwy UPN, postępuj zgodnie z instrukcjami w temacie Usługi Active Directory Dodawanie sufiksów głównej nazwy użytkownika. Należy pamiętać, że nazwy UPN używane do logowania jednokrotnego mogą zawierać tylko litery, cyfry, kropki, kreski i podkreślenia.
Jeśli nazwa domeny usługi Active Directory nie jest publiczną domeną internetową (na przykład kończy się sufiksem ".local"), należy ustawić nazwę UPN tak, aby miała sufiks domeny, który znajduje się pod nazwą domeny internetowej, którą można zarejestrować publicznie. Zalecamy, aby użytkownicy używali czegoś znajomego, takiego jak domena poczty e-mail.
Jeśli skonfigurowaliśmy już synchronizację usługi Active Directory, nazwa UPN użytkownika może być niezgodna z lokalną nazwą UPN użytkownika zdefiniowaną w usłudze Active Directory. Aby rozwiązać ten problem, zmień nazwę nazwy UPN użytkownika przy użyciu polecenia cmdlet Set-MsolUserPrincipalName w module Microsoft Azure Active Directory dla Windows PowerShell.