Partilhar via

Criar um fundo entre a AD FS e a Azure AD

  • Artigo

Atualizado: 25 de junho de 2015

Aplica-se a: Azure, Office 365, Power BI, Windows Intune

Cada domínio que pretende federar deve ser adicionado como um único domínio de sinalização ou convertido para ser um único domínio de inscrição a partir de um domínio padrão. Adicionar ou converter um domínio cria uma confiança entre AD FS e Microsoft Azure Ative Directory (Microsoft Azure AD).

Importante

  • Se estiver a utilizar um subdomínio (por exemplo, corp.contoso.com) para além de um domínio de nível superior (por exemplo, contoso.com), deve adicionar o domínio de nível superior no seu serviço de nuvem antes de adicionar quaisquer subdomínios. Quando o domínio de nível superior é configurado para uma única inscrição, todos os subdomínios são automaticamente configurado também.

  • A criação de um fundo é uma operação única e não é necessário executar novamente o Módulo Microsoft Azure Ative Directory para Windows PowerShell cmdlets se adicionar mais servidores AD FS à sua quinta de servidores.

  • Se adicionar e verificar um domínio com o Módulo Microsoft Azure Ative Directory, tem de especificar várias definições adicionais. Estas definições são necessárias para que possa ver os registos DNS que deve configurar para permitir que o seu domínio funcione com o seu serviço na nuvem.

Se necessitar de suportar vários domínios de nível superior, deve utilizar o interruptor SupportMultipleDomain com quaisquer cmdlets, tais como os cmdlets utilizados nos procedimentos "Adicionar um domínio" e os procedimentos "Converter um domínio".

Por exemplo, para adicionar tanto contoso.com como fabrikam.com como domínios de entrada única, seguiria o procedimento "Adicionar um domínio" para contoso.com, utilizando o interruptor SupportMultipleDomain em cada passo que tem um cmdlet. Então, para o passo 5, usarias New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Depois de completar todos os passos do procedimento para contoso.com, repetirá o procedimento para o seu domínio fabrikam.com. No passo 5, usarias New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Para obter mais informações, consulte Suporte para vários domínios de nível superior.

Complete um dos seguintes procedimentos para configurar a sua confiança federada com Azure AD, dependendo se precisa de adicionar um novo domínio ou converter um domínio existente.

  • Adicionar um domínio

  • Converter um domínio

Adicionar um domínio

  1. Abra o Módulo Microsoft Azure Ative Directory.

  2. Execute $cred=Get-Credential. Quando o cmdlet lhe pedir credenciais, escreva as credenciais de conta do administrador de serviço na nuvem.

  3. Execute Connect-MsolService –Credential $cred. Este cmdlet liga-o a Azure AD. É necessário criar um contexto que o ligue a Azure AD é necessário antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta.

  4. Executar Set-MsolAdfscontext -Computer <AD FS primary server>, onde <o servidor> primário AD FS é o nome FQDN interno do servidor FS AD primário. Este cmdlet cria um contexto que o liga ao AD FS.

    Nota

    Se instalou o Módulo Microsoft Azure Ative Directory no servidor AD FS primário, então não precisa de executar este cmdlet.

  5. Executar New-MsolFederatedDomain –DomainName <domain>, onde <o domínio> é o domínio a ser adicionado e ativado para uma única sposição. Este cmdlet adiciona um novo domínio ou subdomínio de nível superior que será configurado para a autenticação federada.

    Nota

    Depois de ter utilizado o New-MsolFederatedDomain cmdlet para adicionar um domínio de nível superior, não poderá utilizar o New-MsolDomain cmdlet para adicionar domínios padrão (não federados).

  6. Utilizando as informações fornecidas pelos resultados do cmdlet, contacte o New-MsolFederatedDomain seu registo de domínio para criar o registo DNS necessário. Isto verifica se é dono do domínio. Note que isto pode demorar até 15 minutos a propagar-se, dependendo do seu registo. Pode levar até 72 horas para que as alterações se propaguem através do sistema. Para obter mais informações, consulte Verificar um domínio em qualquer registo de nome de domínio.

  7. Executar New-MsolFederatedDomain uma segunda vez, especificando o mesmo nome de domínio para finalizar o processo.

Converter um domínio

Quando converter um domínio existente num único domínio de entrada, cada utilizador licenciado tornar-se-á um utilizador federado, utilizando as suas credenciais corporativas ative existentes (nome de utilizador e palavra-passe) para aceder aos seus serviços na nuvem. A realização de um lançamento encenado de uma única sposição não é atualmente possível; no entanto, pode pilotar um único sign-on com um conjunto de utilizadores de produção da sua produção Ative Directory forest. Para obter mais informações, consulte executar um piloto para testar um único sinal antes de o configurar (opcional).

Nota

É melhor realizar uma conversão quando há menos utilizadores, como num fim de semana, para reduzir o impacto nos seus utilizadores.

Para converter um domínio existente num único domínio de inscrição, siga estes passos.

  1. Abra o Módulo Microsoft Azure Ative Directory.

  2. Execute $cred=Get-Credential. Quando o cmdlet lhe pedir credenciais, escreva as credenciais de conta do administrador de serviço na nuvem.

  3. Execute Connect-MsolService –Credential $cred. Este cmdlet liga-o a Azure AD. É necessário criar um contexto que o ligue a Azure AD é necessário antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta.

  4. Executar Set-MsolAdfscontext -Computer <AD FS primary server>, onde <o servidor> primário AD FS é o nome FQDN interno do servidor FS AD primário. Este cmdlet cria um contexto que o liga ao AD FS.

    Nota

    Se instalou o Módulo Microsoft Azure Ative Directory no servidor AD FS primário, então não precisa de executar este cmdlet.

  5. Executar Convert-MsolDomainToFederated –DomainName <domain>, onde <o domínio> é o domínio a ser convertido. Este cmdlet altera o domínio da autenticação padrão para uma única inscrição.

Nota

Para verificar se a conversão funcionou, compare as definições no servidor AD FS e em Azure AD executando Get-MsolFederationProperty –DomainName <domain>, onde <o domínio> é o domínio para o qual pretende visualizar as definições. Se não corresponderem, pode correr Update-MsolFederatedDomain –DomainName <domain> para sincronizar as definições.

Passo seguinte

Agora que estabeleceu um fundo entre a AD FS e a Azure AD, tem de configurar a sincronização do Ative Directory. Para mais informações, consulte o roteiro de sincronização do Diretório. Depois de configurar a sincronização do Ative Directory, consulte Verificar e gerir um único s-on com AD FS.

Consulte também

Conceitos

Lista de verificação: Utilize FS AD para implementar e gerir um único sinal
Roteiro único de inscrição