Windows azure 联合身份验证服务配置(SSO)

  • 时间:
  • 浏览:1

单击仪表盘当当我们都都还后能 看见一点配置。当当我们都都呢,首先换成本地域名

http://technet.microsoft.com/zh-cn/library/jj205461.aspx

ADFS服务名称为:ADFS.IIOSOFT.COM

“连接到 AD DS页上,指定对此计算机加入到的 AD 域拥有域管理员权限的帐户,为何让 单击“下一步”

安放在度页上,确认已正确安装所有项目,为何让 单击关闭

刚开始英语 英语 安装windows azure AD模块

将会当当我们都都本地有那我SQL 数据库的,什么都有当当我们都都选择了指定的数据库,随便说说建议选择默认的数据库即可。

打开 Microsoft Azure Active Directory 模块。

"选择目标服务器"页上,单击"从服务器池中选择服务器",确认目标计算机已突突然出现示,为何让 单击"下一步"

先决条件检查

突然出现以下大问题由于是:ADFS服务器和ADFS服务名称重名了,当当我们都都能够 卸载ADFS服务后,为何让 修改ADFS服务器的计算机名,为何让 保持ADFS服务器的名称和ADFS服务名称不一致即可

接下来当当我们都都还后能 根据提示进行配置目录集成了。

 备注

当当我们都都知道windows 2012系统默认是安装了netframwork4.5的,什么都有当当我们都都能够 安装netframwork3.5.1即可

若要将现有域转换为单一登录域,请执行以下步骤。

提示安装组件

重定向完成,输入有效的本地AD账户信息进行验证登录

导入成功-

运行 Connect-MsolService –Credential $cred。此 cmdlet 会将你连接到 Azure AD。在运行该工具安装的任何附加cmdlet 那我,能够 创建将你连接到 AzureAD 的上下文。

比如:ADFS服务器的HostName为:ADFSS.IIOSOFT.COM

为了保证当当我们都都通过本地的AD用户验证,当当我们都都还能够 在windows portal页面上换成管理员

提供联合身份验证服务的名称。例如 fs.contoso.com。此名称能够 与证书中的使用者名称或使用者可选名称之一匹配。提供联合身份验证服务的显示名称。例如 Contoso Corporation。将在 AD FS 登录页上向用户显示此名称。

当当我们都都能够 在DC上执行以下命令

安装成功

打开服务器管理器。为此,请在"刚开始英语 英语 "屏幕上单击"服务器管理器",将会在桌面上的任务栏中单击"服务器管理器"。在"仪表板"页上的"欢迎"磁贴的"快速启动"选项卡中,单击"换成角色和功能"。也还后能 在"管理"菜单中单击"换成角色和功能"

role:DC、dns、CA

选择服务器角色页上,单击“Active Directory 联合身份验证服务,为何让 单击下一步

该用户能够 提供公司本地的Active Directory 目录服务具有的企业管理员权限账户的凭据,次账户运行Mictosoft Azure Active Directory 同步工具的计算机所加入的Active directory林中国能够 具有企业管理员权限

将会当当我们都都能够 一张带私钥的证书,什么都有当当我们都都能够 导出证书文件

当当我们都都首先是单击已激活该服务同步。



通过换成角色和功能向导安装 AD FS 服务器角色

http://technet.microsoft.com/zh-cn/library/dn5288500.aspx

当当我们都都查看域的情形

输入本地域名,通过勾选当当我们都都计划配置此域为使用本地ACTIVE DIRECTORY进行单点登录

完成安装

运行 Set-MsolAdfscontext -Computer<AD FS primary server>,其中 <AD FS primaryserver> 是主 AD FS 服务器的组织组织结构 FQDN 名称。此 cmdlet 创建将你连接到 AD FS 的上下文。

刚开始英语 英语 配置:

使用 gMSA 的好处是还后能 利用它的自动协商密码更新功能。

当当我们都都首先打开windows azure 的portal页面,顶端有那我Active Directory服务,随便说说这一AD服务跟本地的AD功能上相差甚远,也还后能 说是没了同那我层次上,跟我说在不久的将来就跟本地的AD就差不多了,windows azure的AD服务主要提供portal页面上的sharepoint 服务的验证,一点的也就没法 哪些效果了。

注:ADFS服务器的名称不多说和ADFS服务重名:(服务器名称和服务名称一定保持不一样)

运行 Convert-MsolDomainToFederated–DomainName <domain>,其中 <domain>

提示错误,什么都有当当我们都都能够 在DC上执行那我命令:当当我们都都查看ADFS相关的服务器配置信息

role:ADFS

ADFS服务器名称为:ADFSSERVER.IIOSOFT.COM,IP:10.1.1.500

服务器的名称为:ADFSS.IIOSOFT.COM(将会定义一点的名称)

刚开始英语 英语 安装online services

将会将会执行了后期卸载又重装了。当当我们都也有能再执行New-MsolFederatedDomain –DomainName<domain>命令了。当当我们都都能够 执行update命令来更新了。执行New-MsolFederatedDomain –DomainName<domain>是第一次配置将会第一台服务器的那我能够 执行该命令。将会将会执行了就通过以下命令来更新即可。

将会突然出现以下错误。当当我们都都还后能 在命令提示符下运行:

http://technet.microsoft.com/zh-cn/library/jj205461.aspx#BKMK_ConvertDomain

将会禁用了 gMSA 选项并看多例如于“将会尚未设置 KDS 根密钥,为何让 组托管服务帐户不可用”的错误消息,还后能 通过在 Active Directory 域中 Windows Server 2012 或更高版本的域控制器上执行以下 Windows PowerShell 命令,在域中启用 gMSA:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)。为何让 返回到向导,依次单击“上一步”按钮和“下一步”按钮以重新进入“指定服务帐户”页。现在应该已启用 gMSA,让我选择它并输入所需的 gMSA 帐户名。

若要验证转换不是正常工作,请通过运行 Get-MsolFederationProperty –DomainName <domain>(其中 <domain> 是帮我查看其设置的域),来比较 AD FS 服务器与 Azure AD 中的设置。将会设置不匹配,让我运行 Update-MsolFederatedDomain –DomainName <domain> 来同步设置。

正在重定向

ADFS服务名称执行ADFS服务器

运行 Connect-MsolService –Credential $cred。此 cmdlet 会将你连接到 AzureAD。在运行该工具安装的任何附加 cmdlet 那我,能够 创建将你连接到 Azure AD 的上下文。

“Active Directory 联合身份验证服务(AD FS)”页上,单击下一步

 备注使用 New-MsolFederatedDomain cmdlet 换成顶级域后,将无法使用 New-MsolDomain cmdlet 换成标准域(非联合)

是要进行转换的域。此 cmdlet 将该域从标准身份验证更改为单一登录。

"选择安装类型"页上,单击"基于角色或基于功能的安装",为何让 单击"下一步"

再次运行 New-MsolFederatedDomain,并指定同一域名以完成此过程。

当当我们都都选择授权的用户进行换成

当当我们都都选择刚才导出的带私钥的证书文件

role:geteway

当当我们都都再次回到windows azure portal页面

setsqn -q host/adfs.iiosoft.com 进行注册

最后当当我们都都通过本地用户进行登陆成功

打开 Microsoft AzureActive Directory 模块。

换成后当当我们都都再回到windows azure portal页面进行查看AD域验证信息:

注意:将会要使用 gMSA,则运行 Windows Server 2012 操作系统的环境中能够 共要有那我域控制器。

https://bposast.vo.msecnd.net/MSOPMW/Current/amd64/AdministrationConfig-zh-hans.msi

ADFS配置那我,当当我们都都还能够 最重要的一步,能够 在ADFSAzure AD之间建立信任关系

“指定服务属性”页上执行以下操作,为何让 单击“下一步”

http://www.microsoft.com/zh-cn/download/details.aspx?id=419500

当当我们都都发现还后能 登录,为何让 登录后提示没法 订阅,见到以下页面就能说明是通过本地的信息验证通过的,将会能够 改用户成功登录语句,当当我们都都能够 给改用户委派订阅。

当当我们都都最后再说那我登陆的大问题。比如当当我们都都本地是使用域用户登录,为何让 访问windows azure的portal也是使用本地的域用户等,每次登录都能够 输入账户及密码。那我很不方便。为何让 当当我们都都还后能 通过设置浏览器来提高登录的波特率,为何让 那我不安全。

完成安装

服务名称为:ADFS.IIOSOFT.COM

本地的Active Directory信息同步过去了,为何让 当当我们都都无法通过本地的域信息进行验证登录,什么都有当当我们都都还能够 配置联合身份验证服务(ADFS),配置后当当我们都都还后能 通过本地的Active Direcroy信息进行验证登录。在此当当我们都都通过2012R2系统自带的ADFS进行配置。

hostname:iio-dc.iiosoft.com

选择已激活,保存

导入中含你前面获取的 SSL 证书和密钥的 .pfx 文件。如查看有关部署 AD FS 的要求的“证书要求”每项中所述,能够 获取此证书并将它群克隆到要配置为联合服务器的计算机上。若要通过向导导入该 .pfx 文件,请单击“导入”并浏览到该文件的位置。突然出现提示时,请指定该 .pfx 文件的密码。

http://technet.microsoft.com/zh-cn/library/jj151815.aspx

换成完成后,跳转到目录集成页面

请使用 New-MsolFederatedDomain cmdlet 的结果提供的信息,联系域注册机构以创建所需的 DNS 记录。这将验证你不是拥有该域。请注意,这将会能够 长达 15 分钟的传播时间,具体取决于注册机构。将更改传播到整个系统中将会能够 长达 72 小时。有关完整版信息,请参阅向任何域名注册机构验证域

下载安放到程:当当我们都也有本地安装那我新的操作系统。为何让 加域,一同下载程序运行运行。

选择中含私钥的证书文件;

当当我们都也有windowsazure.cn的登录页面进行登录的那我,输入本地用户名输入的那我,单击密码数据框的那我自动进行重定向

再次安装同步工具;注:使用本地的administrator账户登录,还后能 通过域用户登陆了

在服务器管理器的“仪表板”页上,单击“通知”标志,为何让 单击“在服务器上配置联合身份验证服务”

当当我们都都通过组织组织结构的CA服务器进行证书申请提交

ADFS证书申请:

2.默认勾选---为何让 单击高级

当当我们都都通过该用户信息登录尝试

换成完成。

此时将启动Active Directory 联合身份验证服务配置向导”

本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/15002467,如需转载请自行联系原作者

 备注

下载后当当我们都都刚开始英语 英语 安装:提示错误,

在要配置为联合服务器的计算机上,打开 Windows PowerShell 命令窗口并运行以下命令:Install-windowsfeature adfs-federation -IncludeManagementTools

最后当当我们都都查看FIMSyncadmin成员

hostname:adfss.iiosoft.com

以管理员运行:

刚开始英语 英语 安装

ip:10.1.1.500

填写证书服务名称,当当我们都都建议按照严格的证书申请法子来申请,当当我们都都定义名称为adfs.iiosoft.com,及一点的组织信息,为何让 单击下一步来玩完成

单击浏览器工具----internet设置---安全---本地intranet---站点

启动配置

将计算机加域,为何让 通过domain admins用户登录

将现有域转换为单一登录域时,每个许可用户将成为联合用户,并使用其现有 Active Directory 企业凭据(用户名和密码)来访不知道的云服务。目前不将会执行单一登录的分阶段部署,但还后能 使用生产型 Active Directory 林中的一组生产用户试点单一登录。有关完整版信息,请参阅Run a pilot to test single signon before setting it up(optional)

将会是卸载后重装将会定义那我群集语句,当当我们都都能够 执行:Update-MsolFederatedDomain –DomainName<domain>

运行 $cred=Get-Credential。当 cmdlet 提示你输入凭据时,键入云服务管理员帐户凭据。

当当我们都都首先是在ADFS下安装azure powershell

将会已在主 AD FS 服务器上安装了 Microsoft Azure Active Directory 模块,则不能够 运行此 cmdlet。

页面信息变了

“指定服务帐户”页上指定那我服务帐户。还后能 创建或使用现有的组托管服务帐户 (gMSA),也还后能 使用现有的域用户帐户。将会选择创建新 gMSA 的选项,请指定新帐户的名称。将会选择使用现有 gMSA 或域帐户的选项,请单击“选择...”按钮以选择那我帐户。

配置完成后,立即同步

初始化数据库

运行ADFS服务的服务器名称一定不多说和ADFS服务名称重名;

提示错误,随便说说该错误还后能 忽略:

准备好以上工作后,当当我们都都能够 在本地的Active Directoryazure Active Directory之间创建信任关系了。

当当我们都也有windows azure portal查看同步过来的用户信息

运行 $cred=Get-Credential。当 cmdlet 提示你输入凭据时,键入云服务管理员帐户凭据。

再次当当我们都都能够 在dns上换成二根A记录:

安装完成

注:也有ADFS服务器的FQDN哦;ADFS服务是运行在windows将会一点os上的应用服务。而ADFS服务器是承载ADFS应用服务的介质;换成后保存确认,为何让 关闭浏览器重新访问即可。

当当我们都都刚开始英语 英语 配置ADFS服务

 备注

当当我们都都为了测试不多说清楚浏览器缓存,将会据了解ie的cokie不对windows azure的服务做缓存。

换成完成

环境介绍:

3.换成adfs服务的FQDN----adfs.iiosoft.com

配置完成

当运行ADFS服务的服务器名称和ADFS服务的名称命名重合都会突然出现以下大问题:

什么都有当当我们都都将会把运行ADFS服务的服务器名称定义一点名称在运行到改配置的那不多突然出现该提示错误

完成证书申请操作

单击设置---管理员

"刚开始英语 英语 那我"页上,单击"下一步"

ip:10.1.1.254

转换域

hostname: iio-tmg.iiosoft.com

说到SSO,相信当当我们都都将会很熟悉了,SSO=单点登录,当然也有叫目录集成的说法。那在windows azure上实现SSO会有有哪些效果呢?将会当当我们都都的机构组织组织结构将会在使用本地的 Active Directory,则可将其与当当我们都都的 Azure AD 目录相集成,借此可自动执行基于云的管理任务,并可向用户提供更加冗杂的登录体验。 Azure AD 支持以下有某种目录集成功能: l目录同步 - 用于将本地目录对象(用户、组、联系人)与云同步,以帮助减小管理开 销。设置目录同步后,管理员可将本地 Active Directory 中的目录对象设置到云租户 中。 单一登录 (SSO) - 当用户登录到公司网络后访问微软云服务时,用于向用户提供更加 冗杂的身份验证体验。为了设置单一登录,还能够 在本地部署安全令牌服务。设置单一 登录后,用户还后能 使用公司组织组织结构环境的 Active Directory 凭据(用户名和密码)访问 云及其现有本地资源中的服务。那具体为何会么会做呢,共要分为两步:1.通过dirsync工具将本地的Active Direcroy信息同步到windows azure Active Directory下。2.通过配置ADFS联合身份验证后,通过本地用户的域信息进行验证登录windows azure portal。具体见下:

Windows azure AD模块下载链接:

通过 Windows PowerShell 安装 AD FS 服务器角色

最好在用户共要的那我(如周末)执行转换,以减少对用户的影响。

将会第一配置安装语句执行:New-MsolFederatedDomain –DomainName<domain>

警告信息。

能够 勾选同步密码,不然同步过去的用户无法登陆

换成域:

要联合的每个域能够 换成为单一登录域,将会能够 从标准域转换为单一登录域。换成或转换域会在 AD FS  Microsoft Azure Active Directory (Microsoft Azure AD) 之间建立信任。

对于以下的错误大问题当当我们都都分析为:

update-MsolFederatedDomain –DomainName<domain>

刚开始英语 英语 配置

选择功能页上,单击下一步。系统已预先选择了所需的必备组件。你不能够 选择任何一点功能。

操作完成后,当当我们都都再次回到windows azure portal页面查看同步信息:

https://bposast.vo.msecnd.net/dirsync/7020.0/dirsync.exe

当当我们都都能够 在dns上换成txt记录; txt=MS=ms94955184

ip:10.1.1.1

输入证书自定义密码

确认确认安装选择页上的信息后,单击安装

当当我们都都能够 输入windos azure的portal页面登录管理员

将会在配置ADFS的那我能够 一张证书,当当我们都都安装iis服务,为何让 申请证书

备注:将会已在主 AD FS 服务器上安装了 Microsoft Azure Active Directory 模块,则不能够 运行此 cmdlet。

当当我们都也有组织组织结构dns上换成txt记录

将会ADFS服务名称和ADFS服务器的名称不一样语句,就正常安装了,

运行 Set-MsolAdfscontext -Computer <AD FSprimary server>,其中 <AD FSprimary server> 是主 AD FS 服务器的组织组织结构 FQDN 名称。此 cmdlet 创建将你连接到 AD FS 的上下文。

而注册ADFS服务的证书名称为ADFS.IIOSOFT.COM

注:此处的联合身份验证服务器的名称一定要为:ADFS.IIOSOFT.COM,显示名称无所谓:当然该名称为申请证书那我定义的FQDN名称。该名称是无法更改的。什么都有在规划的那我一定要定义好。

安装完成,将会该软件非常小,什么都有比较快

运行 New-MsolFederatedDomain –DomainName<domain>,其中 <domain> 是能够 换成并能够 启用单一登录的域。此 cmdlet 换成将针对联合身份验证进行配置的新顶级域或子域。