Partilhar via

Criar um fundo entre Shibboleth e Azure AD

  • Artigo

Atualizado: 25 de junho de 2015

Aplica-se a: Azure, Office 365, Power BI, Windows Intune

Azure AD domínios são federados usando o Módulo Microsoft Azure Ative Directory para Windows PowerShell. Utilizará este tópico para executar uma série de cmdlets na interface de linha de comando Windows PowerShell para adicionar ou converter domínios para uma única sing-on.

Importante

Antes de poder completar as instruções neste tópico, tem de rever e completar os passos em Instalar Windows PowerShell para um único sinal de início com Shibboleth.

Cada domínio ative directory que pretende federar usando Shibboleth deve ser adicionado como um único domínio de sinalização ou convertido para ser um único domínio de sinalização de um domínio padrão. Adicionar ou converter um domínio cria uma confiança entre o Shibboleth Identity Provider e Azure Ative Directory.

O procedimento que se segue percorre a forma de converter um domínio padrão existente num domínio federado.

  1. Abra o Módulo Microsoft Azure Ative Directory.

  2. Execute $cred=Get-Credential. Quando o cmdlet lhe pedir credenciais, escreva as credenciais de conta do administrador de serviço na nuvem.

  3. Execute Connect-MsolService –Credential $cred. Este cmdlet liga-o a Azure AD. É necessário criar um contexto que o ligue a Azure AD é necessário antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta.

  4. Executar os seguintes comandos para converter um domínio existente (neste exemplo, mail.contoso.com) para um único sinal em:

    $dom = "mail.contoso.com”
$url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO"
$ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP"
$uri = "https://idp.contoso.com/idp/shibboleth"
$logouturl = "https://idp.contoso.com/logout/" 
$cert = "MIIFYzCCBEugAw...2tLRtyN"

Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

    Nota

    Só tem de funcionar $ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP se configurar a extensão ECP do Fornecedor de Identidade Shibboleth. Apesar de ser um passo opcional, recomenda-se que instale a extensão ECP do Fornecedor de Identidade Shibboleth para que o sNL de Saúde e a saúde funcione com um telefone inteligente, a Microsoft Outlook ou outros clientes. Para obter mais informações, consulte "Opcional: Instale a extensão Shibboleth ECP" em Configure Shibboleth para utilização com um único sinal.

Consulte também

Conceitos

Instale Windows PowerShell para um único sign-on com Shibboleth
Use o Fornecedor de Identidade Shibboleth para implementar um único sinal de saúde