Konfigurowanie zaufania między shibboleth i Azure AD
Zaktualizowano: 25 czerwca 2015 r.
Dotyczy: Azure, Office 365, Power BI, Windows Intune
domeny Azure AD są sfederowane przy użyciu modułu Microsoft Azure Active Directory dla Windows PowerShell. Ten temat służy do uruchamiania serii poleceń cmdlet w interfejsie wiersza polecenia Windows PowerShell w celu dodawania lub konwertowania domen na potrzeby logowania jednokrotnego.
Ważne
Przed wykonaniem instrukcji w tym temacie należy przejrzeć i wykonać kroki opisane w temacie Instalowanie Windows PowerShell na potrzeby logowania jednokrotnego przy użyciu rozwiązania Shibboleth.
Każda domena usługi Active Directory, którą chcesz sfederować przy użyciu narzędzia Shibboleth, musi zostać dodana jako domena logowania jednokrotnego lub przekonwertowana na domenę logowania jednokrotnego z domeny standardowej. Dodawanie lub konwertowanie domeny powoduje skonfigurowanie relacji zaufania między dostawcą tożsamości Shibboleth a Azure Active Directory.
Poniższa procedura przeprowadzi Cię przez proces konwertowania istniejącej domeny standardowej na domenę federacyjną.
Otwórz moduł Microsoft Azure Active Directory.
Uruchom polecenie
$cred=Get-Credential. Gdy polecenie cmdlet wyświetli monit o podanie poświadczeń, wpisz poświadczenia konta administratora usługi w chmurze.Uruchom polecenie
Connect-MsolService –Credential $cred. To polecenie cmdlet łączy Cię z Azure AD. Utworzenie kontekstu łączącego cię z Azure AD jest wymagane przed uruchomieniem dowolnego z dodatkowych poleceń cmdlet zainstalowanych przez narzędzie.Uruchom następujące polecenia, aby przekonwertować istniejącą domenę (w tym przykładzie mail.contoso.com) na potrzeby logowania jednokrotnego:
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLPUwaga
Należy uruchomić polecenie
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECPtylko wtedy, gdy skonfigurowano rozszerzenie ECP dostawcy tożsamości Shibboleth. Chociaż jest to krok opcjonalny, zaleca się zainstalowanie rozszerzenia ECP dostawcy tożsamości Shibboleth, aby logowanie jednokrotne działało z telefonem inteligentnym, firmą Microsoft Outlook lub innymi klientami. Aby uzyskać więcej informacji, zobacz sekcję "Optional: Install the Shibboleth ECP Extension" (Opcjonalne: instalowanie rozszerzenia ECP Shibboleth) w temacie Configure Shibboleth for use with single sign-on (Konfigurowanie shibboleth na potrzeby logowania jednokrotnego).
Zobacz też
Pojęcia
Instalowanie Windows PowerShell na potrzeby logowania jednokrotnego przy użyciu rozwiązania Shibboleth
Implementowanie logowania jednokrotnego przy użyciu narzędzia Shibboleth Identity Provider