Проверка и управление единым входом в службы федерации Active Directory
Обновлено: 25 июня 2015 г.
Область применения: Azure, Office 365, Power BI, Windows Intune
Примечание
Этот раздел может быть частично неприменим к пользователям Microsoft Azure в Китае. Дополнительные сведения о службе Azure в Китае см. в windowsazure.cn.
Перед проверкой единого входа (также называемой федерацией удостоверений) администратором ознакомьтесь с информацией и выполните действия в контрольном списке. Используйте AD FS для реализации единого входа и управления им.
После настройки единого входа следует убедиться в том, что он работает правильно. Также есть несколько задач, которые можно выполнять время от времени для обеспечения бесперебойной работы этого компонента.
Выбор действия
Проверка правильности настройки единого входа
Управление единым входом
Проверка правильности настройки единого входа
Чтобы убедиться, что единый вход настроен правильно, выполните следующую процедуру, чтобы убедиться, что вы можете войти в облачную службу с помощью корпоративных учетных данных, проверить единый вход для различных сценариев использования и использовать Анализатор удаленного подключения Майкрософт.
Примечание
- Если вместо добавления домен преобразуется, то для настройки единого входа может понадобиться до 24 часов.
- Прежде чем проверить единый вход, необходимо завершить настройку синхронизации Active Directory, синхронизировать каталоги и активировать синхронизированных пользователей. Дополнительные сведения см. в схеме синхронизации каталогов.
Чтобы проверить правильность настройки единого входа, выполните следующие действия.
На присоединенном к домену компьютере войдите в облачную службу (Майкрософт) с помощью того же имени входа, которое используется в организации.
Щелкните в поле "Пароль". Если настроен единый вход, поле пароля будет затенен, и появится следующее сообщение: "Теперь вам потребуется войти в <вашу компанию>".
Щелкните ссылку "Войти" по <ссылке компании> .
Если вход возможен, то единый вход настроен.
Тестирование единого входа в различных сценариях использования
Убедившись, что единый вход завершен, проверьте следующие сценарии входа, чтобы убедиться, что единый вход и развертывание AD FS 2.0 настроены правильно. Попросите группу пользователей проверить доступ к облачным службам из браузеров, а также полнофункциональные клиентские приложения, такие как Microsoft Office 2010, в следующих средах:
с компьютера, присоединенного к домену;
с компьютера, не присоединенного к домену, внутри сети предприятия;
с мобильного компьютера, не присоединенного к домену, за пределами сети предприятия;
из других операционных систем, используемых в организации;
с домашнего компьютера;
Из киоска Интернета (только для тестирования доступа к облачной службе через браузер)
С помощью смарт-телефона (например, смарт-телефона, использующего Microsoft Exchange ActiveSync)
Использование анализатора удаленного подключения (Майкрософт)
Чтобы проверить подключение к единому входу, можно использовать Microsoft Remote Connectivity Analyzer. Перейдите на вкладку Office 365, Microsoft Single Sign-On (Единый вход Майкрософт), а затем нажмите кнопку Next (Далее). Для выполнения проверки следуйте указанием на экране. Анализатор проверяет возможность входа в облачную службу с помощью корпоративных учетных данных. Он также проверяет базовую конфигурацию AD FS 2.0.
Выбор действия
Планирование обновления Azure AD при изменении сертификата подписи маркера больше не рекомендуется
Если вы используете AD FS 2.0 или более поздней версии, Office 365 и Azure AD автоматически обновит сертификат до истечения срока его действия. Вам не нужно выполнять никаких действий вручную или запускать скрипт в качестве запланированной задачи. Для этого оба следующих параметра конфигурации AD FS по умолчанию должны быть в силе:
Свойство AD FS AutoCertificateRollover должно иметь значение True, указывающее, что AD FS автоматически создаст новые сертификаты подписи маркера и расшифровки маркеров до истечения срока действия старых. Если значение равно False, вы используете настраиваемые параметры сертификата. Ознакомьтесь с подробными рекомендациями.
Метаданные федерации должны быть доступны в общедоступном Интернете.
Управление единым входом
Есть несколько дополнительных задач, которые можно выполнять время от времени для обеспечения бесперебойной работы этого компонента.
В этом разделе
Добавление URL-адресов в число надежных сайтов в Internet Explorer
Запрет входа пользователей в облачную службу
Просмотр текущих параметров
Обновление свойств доверия
Восстановление сервера AD FS
Настройка типа локальной проверки подлинности
Добавление URL-адресов в число надежных сайтов в Internet Explorer
После добавления или преобразования доменов в рамках настройки единого входа может потребоваться добавление полного доменного имени сервера AD FS в список надежных сайтов в Internet Explorer. Это гарантирует отсутствие запроса у пользователей пароля к серверу AD FS. Это изменение должно выполняться на клиентском компьютере. Кроме того, это изменение можно внести с помощью параметра групповой политики, который будет автоматически добавлять данный URL-адрес в список надежных сайтов для компьютеров, присоединенных к домену. Дополнительные сведения см. в Параметры политики Internet Explorer.
Запрет входа пользователей в облачную службу
AD FS позволяет администраторам задавать пользовательские правила, которые предоставляют пользователям доступ или блокируют его. Для единого входа настраиваемые правила должны применяться к доверию проверяющей стороны, связанному с облачной службой. Вы создали это доверие при выполнении командлетов в Windows PowerShell для настройки единого входа.
Дополнительные сведения о том, как ограничить вход пользователей в службы, см. в разделе "Создание правила для разрешения или запрета пользователей на основе входящего утверждения". Дополнительные сведения о выполнении командлетов для настройки единого входа см. в статье Install Windows PowerShell для единого входа в AD FS.
Просмотр текущих параметров
Если в любое время вы хотите просмотреть текущий сервер AD FS и параметры облачной службы, можно открыть модуль Microsoft Azure Active Directory для Windows PowerShell и запустить, а затем запустить Connect-MSOLService
Get-MSOLFederationProperty –DomainName <domain>
. Это позволяет проверить, согласованы ли параметры на сервере AD FS с облачными службами. Если параметры не совпадают, можно выполнить команду Update-MsolFederatedDomain –DomainName <domain>
. Дополнительные сведения см. в следующем подразделе "Обновление свойств доверия".
Примечание
При необходимости поддержки нескольких доменов верхнего уровня, например contoso.com и fabrikam.com, требуется использовать параметр SupportMultipleDomain с любым командлетом. Дополнительные сведения см. в статье Поддержка нескольких доменов для федерации с Azure AD.
Выбор действия
Обновление свойств доверия
Необходимо обновить свойства доверия единого входа в облачной службе, если:
URL-адрес изменяется: При внесении изменений в URL-адрес сервера AD FS необходимо обновить свойства доверия.
Основной сертификат подписи маркера был изменен: Изменение основного сертификата подписи маркера активирует событие с идентификатором 334 или идентификатором события 335 в Просмотр событий для сервера AD FS. Рекомендуется регулярно проверять средство просмотра событий (минимум раз в неделю).
Для просмотра событий для сервера AD FS выполните следующие действия.
Нажмите кнопку Пуск и выберите Панель управления. В представлении Категория щелкните Система и безопасность, затем Администрирование и Просмотр событий.
Для просмотра событий для AD FS в левой области средства просмотра событий щелкните Журналы приложений и служб, затем щелкните AD FS 2.0 и Администратор.
Срок действия сертификата подписи маркера истекает каждый год: Сертификат подписи маркера имеет решающее значение для стабильности службы федерации. В случае изменения Azure AD необходимо получать уведомления об этом изменении. В противном случае запросы к облачным службам будут отклоняться.
Для ручного обновления свойств отношений доверия выполните следующие действия.
Примечание
При необходимости поддержки нескольких доменов верхнего уровня, например contoso.com и fabrikam.com, требуется использовать параметр SupportMultipleDomain с любым командлетом. Дополнительные сведения см. в статье Поддержка нескольких доменов для федерации с Azure AD.
Откройте модуль Microsoft Azure Active Directory для Windows PowerShell.
Выполните команду
$cred=Get-Credential
. Если этот командлет запрашивает учетные данные, введите данные учетной записи администратора облачных служб.Выполните команду
Connect-MsolService –Credential $cred
. Этот командлет подключит вас к облачной службе. Перед выполнением любых дополнительных командлетов, установленных с помощью средства, необходимо создать контекст, который подключит вас к облачной службе.Запустите
Set-MSOLAdfscontext -Computer <AD FS primary server>
, где <сервер-источник> AD FS — это внутреннее полное доменное имя основного сервера AD FS. Этот командлет создает контекст, подключающий вас к AD FS.Примечание
Если вы установили модуль Microsoft Azure Active Directory на сервере-источнике, вам не нужно запускать этот командлет.
Выполните команду
Update-MSOLFederatedDomain –DomainName <domain>
. Этот командлет обновляет параметры AD FS в облачной службе и настраивает отношения доверия между ними.
Выбор действия
Восстановление сервера AD FS
При потере основного сервера и невозможности его восстановления потребуется сделать другой сервер основным. Дополнительные сведения см. в статье AD FS 2.0. Настройка основного сервера федерации в ферме WID.
Примечание
Если один из серверов AD FS завершается сбоем и настроена конфигурация фермы с высоким уровнем доступности, пользователи по-прежнему смогут получить доступ к облачной службе. Если же сбой возникает на основном сервере, до назначения другого сервера основным администратор не сможет обновить конфигурацию фермы.
Если все серверы фермы становятся недоступными, следует воссоздать отношение доверия, выполнив следующие действия.
Примечание
При необходимости поддержки нескольких доменов верхнего уровня, например contoso.com и fabrikam.com, требуется использовать параметр SupportMultipleDomain с любым командлетом. При использовании параметра SupportMultipleDomain обычно необходимо запустить процедуру в каждом домене. Однако для восстановления сервера AD FS необходимо выполнить процедуру только однажды для одного из доменов. После восстановления сервера все остальные домены единого входа будут подключаться к облачной службе. Дополнительные сведения см. в статье Поддержка нескольких доменов для федерации с Azure AD.
Откройте модуль Microsoft Azure Active Directory.
Выполните команду
$cred=Get-Credential
. Когда этот командлет запросит учетные данные, введите учетные данные администратора облачной службы.Выполните команду
Connect-MsolService –Credential $cred
. Этот командлет подключит вас к облачной службе. Перед выполнением любых дополнительных командлетов, установленных с помощью средства, необходимо создать контекст, который подключит вас к облачной службе.Запустите
Set-MSOLAdfscontext -Computer <AD FS primary server>
, где <сервер-источник> AD FS — это внутреннее полное доменное имя основного сервера AD FS. Этот командлет создает контекст, подключающий вас к AD FS.Примечание
Если вы установили модуль Microsoft Azure Active Directory на основном сервере AD FS, вам не нужно запускать этот командлет.
Запустите
Update-MsolFederatedDomain –DomainName <domain>
, где <домен является доменом> , для которого требуется обновить свойства. Этот командлет обновляет свойства и устанавливает отношение доверия.Запустите
Get-MsolFederationProperty –DomainName <domain>
, где <домен является доменом> , для которого требуется просмотреть свойства. Затем можно сравнить свойства с основного сервера AD FS и свойств облачной службы, чтобы убедиться, что они совпадают. Если они не совпадают, можно вновь запуститьUpdate-MsolFederatedDomain –DomainName <domain>
для синхронизации свойств.
См. также:
Основные понятия
Контрольный список: использование AD FS для внедрения и управления единым входом
Стратегия внедрения единого входа