Федеративные несколько экземпляров идентификатора Microsoft Entra с одним экземпляром AD FS
Одна ферма AD FS с высокой доступностью может федеративно объединять несколько лесов, при условии, что между ними существует двустороннее доверие. Эти несколько лесов могут соответствовать одному и тому же идентификатору Microsoft Entra. В этой статье содержатся инструкции по настройке федерации между одним развертыванием AD FS и несколькими экземплярами идентификатора Microsoft Entra.
Примечание.
В этом сценарии не поддерживаются обратная запись устройств и автоматическое присоединение устройств.
Примечание.
Microsoft Entra Connect нельзя использовать для настройки федерации в этом сценарии, так как Microsoft Entra Connect может настроить федерацию для доменов в одном идентификаторе Microsoft Entra.
Действия по федерации AD FS с несколькими учетными записями Microsoft Entra
Рассмотрим, что домен contoso.com в Microsoft Entra contoso.onmicrosoft.com уже федеративн с локальной средой AD FS, установленной в среде contoso.com локальная служба Active Directory. Fabrikam.com — это домен в fabrikam.onmicrosoft.com идентификаторе Microsoft Entra.
Шаг 1. Установка взаимного доверия
Чтобы служба AD FS в contoso.com могла проверять подлинность пользователей в fabrikam.com, требуется взаимное доверие между contoso.com и fabrikam.com. Следуйте рекомендациям, приведенным в этой статье, чтобы создать отношения взаимного доверия.
Шаг 2. Изменение параметров федерации contoso.com
Издателем отдельного домена, включенного в федерацию AD FS, по умолчанию выступает http://ADFSServiceFQDN/adfs/services/trust", например http://fs.contoso.com/adfs/services/trust. Идентификатор Microsoft Entra id требует уникального издателя для каждого федеративного домена. Поскольку AD FS будет федератинговать два домена, значение издателя должно быть изменено таким образом, чтобы оно было уникальным.
Примечание.
Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.
Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.
На сервере AD FS откройте Azure AD PowerShell (убедитесь, что модуль MSOnline установлен) и выполните следующие действия:
Подключитесь к идентификатору Microsoft Entra, который содержит домен contoso.com.
Connect-MsolService
Обновление параметров федерации для contoso.com:
Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
Издатель в параметре федерации домена изменяется на http://contoso.com/adfs/services/trust, а правило утверждения выдачи добавляется для доверия проверяющей стороны Microsoft Entra ID, чтобы выдать правильное значение issuerId на основе суффикса имени участника-пользователя.
Шаг 3. Федерация fabrikam.com с AD FS
В сеансе Azure AD PowerShell выполните следующие действия: подключитесь к идентификатору Microsoft Entra, который содержит домен fabrikam.com
Connect-MsolService
Преобразуйте управляемый домен fabrikam.com в федеративный:
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
Предварительная операция объединяет домен fabrikam.com с тем же AD FS. Параметры обоих доменов можно проверить с помощью командлета Get-MsolDomainFederationSettings.