Windows azure 联合身份验证服务配置(SSO)

  • 时间:
  • 浏览:1

然后 亲们有然后 把运行ADFS服务的服务器名称定义然后 名称在运行到改配置的然后不想跳出该提示错误

亲们选者 授权的用户进行去掉

使用 gMSA 的好处是可不都要利用它的自动协商密码更新功能。

"现在现在开始 英语 然后"页上,单击"下一步"

http://technet.microsoft.com/zh-cn/library/jj151815.aspx

运行 Connect-MsolService –Credential $cred。此 cmdlet 会将你连接到 AzureAD。在运行该工具安装的任何附加 cmdlet 然后,都要创建将你连接到 Azure AD 的上下文。

配置完成后,立即同步

本地的Active Directory信息同步过去了,有然后 亲们无法通过本地的域信息进行验证登录,然后 亲们还都要配置联合身份验证服务(ADFS),配置后亲们可不都要通过本地的Active Direcroy信息进行验证登录。在此亲们通过2012R2系统自带的ADFS进行配置。

在服务器管理器的“仪表板”页上,单击“通知”标志,有然后 单击“在服务器上配置联合身份验证服务”

单击设置---管理员

完成证书申请操作

role:geteway

先决条件检查

运行 Convert-MsolDomainToFederated–DomainName <domain>,其中 <domain>

打开服务器管理器。为此,请在"现在现在开始 英语 "屏幕上单击"服务器管理器",有然后 在桌面上的任务栏中单击"服务器管理器"。在"仪表板"页上的"欢迎"磁贴的"快速启动"选项卡中,单击"去掉 角色和功能"。也可不都要在"管理"菜单中单击"去掉 角色和功能"

转换域

3.去掉 adfs服务的FQDN----adfs.iiosoft.com

初始化数据库

有然后 禁用了 gMSA 选项并就看这名于“有然后 尚未设置 KDS 根密钥,有然后 组托管服务帐户不可用”的错误消息,可不都要通过在 Active Directory 域中 Windows Server 2012 或更高版本的域控制器上执行以下 Windows PowerShell 命令,在域中启用 gMSA:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)。有然后 返回到向导,依次单击“上一步”按钮和“下一步”按钮以重新进入“指定服务帐户”页。现在应该已启用 gMSA,让我选者 它并输入所需的 gMSA 帐户名。

提供联合身份验证服务的名称。这名 fs.contoso.com。此名称都要与证书中的使用者名称或使用者可选名称之一匹配。提供联合身份验证服务的显示名称。这名 Contoso Corporation。将在 AD FS 登录页上向用户显示此名称。

服务名称为:ADFS.IIOSOFT.COM

ADFS服务名称为:ADFS.IIOSOFT.COM

提示安装组件

ADFS证书申请:

有然后 第一配置安装说说执行:New-MsolFederatedDomain –DomainName<domain>

ADFS服务器名称为:ADFSSERVER.IIOSOFT.COM,IP:10.1.1.200

亲们最后再说一另好几个 登陆的什么的问题。比如亲们本地是使用域用户登录,有然后 访问windows azure的portal也是使用本地的域用户等,每次登录都都要输入账户及密码。另一另好几个 很不方便。有然后 亲们可不都要通过设置浏览器来提高登录的传输速率,有然后 另一另好几个 不安全。

最后亲们查看FIMSyncadmin成员

服务器的名称为:ADFSS.IIOSOFT.COM(有然后 定义然后 的名称)

完成安装

接下来亲们可不都要根据提示进行配置目录集成了。

选者 含晒 私钥的证书文件;

以管理员运行:

运行 Set-MsolAdfscontext -Computer<AD FS primary server>,其中 <AD FS primaryserver> 是主 AD FS 服务器的内部管理 FQDN 名称。此 cmdlet 创建将你连接到 AD FS 的上下文。

配置完成

再次运行 New-MsolFederatedDomain,并指定同一域名以完成此过程。

注:ADFS服务器的名称不想和ADFS服务重名:(服务器名称和服务名称一定保持不一样)

提示错误,着实该错误可不都要忽略:

现在现在开始 英语 安装

安装完成

现在现在开始 英语 配置

现在现在开始 英语 安装online services

下载安装多线程 :亲们在本地安装一另好几个 新的操作系统。有然后 加域,同時 下载多线程 。

hostname:iio-dc.iiosoft.com

http://technet.microsoft.com/zh-cn/library/dn5288200.aspx

亲们在windows azure portal查看同步过来的用户信息

ip:10.1.1.1

跳出以下什么的问题因为是:ADFS服务器和ADFS服务名称重名了,亲们都要卸载ADFS服务后,有然后 修改ADFS服务器的计算机名,有然后 保持ADFS服务器的名称和ADFS服务名称不一致即可

有然后 亲们都要一张带私钥的证书,然后 亲们都要导出证书文件

安装到去度页上,确认已正确安装所有项目,有然后 单击关闭

有然后 ADFS服务名称和ADFS服务器的名称不一样说说,就正常安装了,

再次安装同步工具;注:使用本地的administrator账户登录,没法 通过域用户登陆了

选者 功能页上,单击下一步。系统已预先选者 了所需的必备组件。你不都要选者 任何然后 功能。

选者 已激活,保存

"选者 安装类型"页上,单击"基于角色或基于功能的安装",有然后 单击"下一步"

去掉 完成

http://www.microsoft.com/zh-cn/download/details.aspx?id=419200

请使用 New-MsolFederatedDomain cmdlet 的结果提供的信息,联系域注册机构以创建所需的 DNS 记录。这将验证你有无 拥有该域。请注意,这有然后 都要长达 15 分钟的传播时间,具体取决于注册机构。将更改传播到整个系统含晒 然后 都要长达 72 小时。有关完正信息,请参阅向任何域名注册机构验证域

注:此处的联合身份验证服务器的名称一定要为:ADFS.IIOSOFT.COM,显示名称无所谓:当然该名称为申请证书然后定义的FQDN名称。该名称是无法更改的。然后 在规划的然后一定要定义好。

运行ADFS服务的服务器名称一定不想和ADFS服务名称重名;

“连接到 AD DS页上,指定对此计算机加入到的 AD 域拥有域管理员权限的帐户,有然后 单击“下一步”



通过去掉 角色和功能向导安装 AD FS 服务器角色

Windows azure AD模块下载链接:

亲们首先打开windows azure 的portal页面,后边有一另好几个 Active Directory服务,着实这名 AD服务跟本地的AD功能上相差甚远,也可不都要说是不出同一另好几个 层次上,是我不好在不久的将来就跟本地的AD就差不想 了,windows azure的AD服务主要提供portal页面上的sharepoint 服务的验证,然后 的也就没哪几个效果了。

ADFS配置然后,亲们还都要最重要的一步,都要在ADFSAzure AD之间建立信任关系

为了保证亲们通过本地的AD用户验证,亲们还都要在windows portal页面上去掉 管理员

比如:ADFS服务器的HostName为:ADFSS.IIOSOFT.COM

注:都有ADFS服务器的FQDN哦;ADFS服务是运行在windows有然后 然后 os上的应用服务。而ADFS服务器是承载ADFS应用服务的介质;去掉 后保存确认,有然后 关闭浏览器重新访问即可。

对于以下的错误什么的问题亲们分析为:

"选者 目标服务器"页上,单击"从服务器池中选者 服务器",确认目标计算机已突跳出示,有然后 单击"下一步"

运行 Set-MsolAdfscontext -Computer <AD FSprimary server>,其中 <AD FSprimary server> 是主 AD FS 服务器的内部管理 FQDN 名称。此 cmdlet 创建将你连接到 AD FS 的上下文。

在要配置为联合服务器的计算机上,打开 Windows PowerShell 命令窗口并运行以下命令:Install-windowsfeature adfs-federation -IncludeManagementTools

https://bposast.vo.msecnd.net/MSOPMW/Current/amd64/AdministrationConfig-zh-hans.msi

确认确认安装选者 页上的信息后,单击安装

有然后 亲们本地有一另好几个 SQL 数据库的,然后 亲们选者 了指定的数据库,着实建议选者 默认的数据库即可。

此时将启动Active Directory 联合身份验证服务配置向导”

打开 Microsoft AzureActive Directory 模块。

“Active Directory 联合身份验证服务(AD FS)”页上,单击下一步

页面信息变了

下载后亲们现在现在开始 英语 安装:提示错误,

亲们都要在dns上去掉 txt记录; txt=MS=ms94955184

有然后 有然后 执行了后期卸载又重装了。亲们没法 再执行New-MsolFederatedDomain –DomainName<domain>命令了。亲们都要执行update命令来更新了。执行New-MsolFederatedDomain –DomainName<domain>是第一次配置有然后 第一台服务器的然后都要执行该命令。有然后 有然后 执行了就通过以下命令来更新即可。

亲们通过内部管理的CA服务器进行证书申请提交

role:DC、dns、CA

最好在用户要花费 的然后(如周末)执行转换,以减少对用户的影响。

运行 $cred=Get-Credential。当 cmdlet 提示你输入凭据时,键入云服务管理员帐户凭据。

当运行ADFS服务的服务器名称和ADFS服务的名称命名重合都会跳出以下什么的问题:

去掉 完成后,跳转到目录集成页面

输入证书自定义密码

 备注

准备好以上工作后,亲们都要在本地的Active Directoryazure Active Directory之间创建信任关系了。

是要进行转换的域。此 cmdlet 将该域从标准身份验证更改为单一登录。

“指定服务帐户”页上指定一另好几个 服务帐户。可不都要创建或使用现有的组托管服务帐户 (gMSA),也可不都要使用现有的域用户帐户。有然后 选者 创建新 gMSA 的选项,请指定新帐户的名称。有然后 选者 使用现有 gMSA 或域帐户的选项,请单击“选者 ...”按钮以选者 一另好几个 帐户。

ip:10.1.1.254

若要验证转换有无 正常工作,请通过运行 Get-MsolFederationProperty –DomainName <domain>(其中 <domain> 在等让我要查看其设置的域),来比较 AD FS 服务器与 Azure AD 中的设置。有然后 设置不匹配,让我运行 Update-MsolFederatedDomain –DomainName <domain> 来同步设置。

有然后 跳出以下错误。亲们可不都要在命令提示符下运行:

提示错误,然后 亲们都要在DC上执行一另好几个 命令:亲们查看ADFS相关的服务器配置信息

选者 服务器角色页上,单击“Active Directory 联合身份验证服务,有然后 单击下一步

亲们首先是在ADFS下安装azure powershell

亲们选者 刚才导出的带私钥的证书文件

role:ADFS

完成安装

亲们首先是单击已激活该服务同步。

有然后 是卸载后重装有然后 定义一另好几个 群集说说,亲们都要执行:Update-MsolFederatedDomain –DomainName<domain>

导入含晒 你前面获取的 SSL 证书和密钥的 .pfx 文件。如查看有关部署 AD FS 的要求的“证书要求”每种中所述,都要获取此证书并将它克隆qq好友好友到要配置为联合服务器的计算机上。若要通过向导导入该 .pfx 文件,请单击“导入”并浏览到该文件的位置。跳出提示时,请指定该 .pfx 文件的密码。

亲们再次回到windows azure portal页面

打开 Microsoft Azure Active Directory 模块。

都要勾选同步密码,不然同步过去的用户无法登陆

亲们都要输入windos azure的portal页面登录管理员

若要将现有域转换为单一登录域,请执行以下步骤。

环境介绍:

最后亲们通过本地用户进行登陆成功

亲们通过该用户信息登录尝试

操作完成后,亲们再次回到windows azure portal页面查看同步信息:

 备注

亲们现在现在开始 英语 配置ADFS服务

要联合的每个域都要去掉 为单一登录域,有然后 都要从标准域转换为单一登录域。去掉 或转换域会在 AD FS  Microsoft Azure Active Directory (Microsoft Azure AD) 之间建立信任。

http://technet.microsoft.com/zh-cn/library/jj205461.aspx#BKMK_ConvertDomain

亲们查看域的情况报告

警告信息。

setsqn -q host/adfs.iiosoft.com 进行注册

启动配置

现在现在开始 英语 安装windows azure AD模块

亲们发现可不都要 登录,有然后 登录后提示没法 订阅,见到以下页面就能说明是通过本地的信息验证通过的,有然后 都要改用户成功登录说说,亲们都要给改用户委派订阅。

通过 Windows PowerShell 安装 AD FS 服务器角色

有然后 已在主 AD FS 服务器上安装了 Microsoft Azure Active Directory 模块,则不都要运行此 cmdlet。

单击浏览器工具----internet设置---安全---本地intranet---站点

亲们为了测试不想清楚浏览器缓存,有然后 据了解ie的cokie不对windows azure的服务做缓存。

update-MsolFederatedDomain –DomainName<domain>

“指定服务属性”页上执行以下操作,有然后 单击“下一步”

去掉 完成。

hostname: iio-tmg.iiosoft.com

正在重定向

本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/12002467,如需转载请自行联系原作者

 备注

将现有域转换为单一登录域时,每个许可用户将成为联合用户,并使用其现有 Active Directory 企业凭据(用户名和密码)来访我不知道的云服务。目前不有然后 执行单一登录的分阶段部署,但可不都要使用生产型 Active Directory 林中的一组生产用户试点单一登录。有关完正信息,请参阅Run a pilot to test single signon before setting it up(optional)

再次亲们都要在dns上去掉 二根A记录:

安装完成,有然后 该软件非常小,然后 比较快

https://bposast.vo.msecnd.net/dirsync/7020.0/dirsync.exe

亲们在windowsazure.cn的登录页面进行登录的然后,输入本地用户名输入的然后,单击密码数据框的然后自动进行重定向

说到SSO,相信亲们有然后 没熟悉了,SSO=单点登录,当然都有叫目录集成的说法。那在windows azure上实现SSO会有哪几个效果呢?有然后 亲们的机构内部管理有然后 在使用本地的 Active Directory,则可将其与亲们的 Azure AD 目录相集成,借此可自动执行基于云的管理任务,并可向用户提供更加复杂性的登录体验。 Azure AD 支持以下一种目录集成功能: l目录同步 - 用于将本地目录对象(用户、组、联系人)与云同步,以帮助减小管理开 销。设置目录同步后,管理员可将本地 Active Directory 中的目录对象设置到云租户 中。 单一登录 (SSO) - 当用户登录到公司网络后访问微软云服务时,用于向用户提供更加 复杂性的身份验证体验。为了设置单一登录,还都要在本地部署安全令牌服务。设置单一 登录后,用户可不都要使用公司内部管理环境的 Active Directory 凭据(用户名和密码)访问 云及其现有本地资源中的服务。那具体为什么我做呢,要花费 分为两步:1.通过dirsync工具将本地的Active Direcroy信息同步到windows azure Active Directory下。2.通过配置ADFS联合身份验证后,通过本地用户的域信息进行验证登录windows azure portal。具体见下:

单击仪表盘亲们可不都要看见然后 配置。亲们呢,首先去掉 本地域名

填写证书服务名称,亲们建议按照严格的证书申请最好的办法来申请,亲们定义名称为adfs.iiosoft.com,及然后 的组织信息,有然后 单击下一步来玩完成

 备注使用 New-MsolFederatedDomain cmdlet 去掉 顶级域后,将无法使用 New-MsolDomain cmdlet 去掉 标准域(非联合)

该用户都要提供公司本地的Active Directory 目录服务具有的企业管理员权限账户的凭据,次账户运行Mictosoft Azure Active Directory 同步工具的计算机所加入的Active directory林中国都要具有企业管理员权限

http://technet.microsoft.com/zh-cn/library/jj205461.aspx

去掉 后亲们再回到windows azure portal页面进行查看AD域验证信息:

亲们在内部管理dns上去掉 txt记录

而注册ADFS服务的证书名称为ADFS.IIOSOFT.COM

去掉 域:

安装成功

ip:10.1.1.200

注意:有然后 要使用 gMSA,则运行 Windows Server 2012 操作系统的环境中都要要花费 有一另好几个 域控制器。

hostname:adfss.iiosoft.com

现在现在开始 英语 配置:

运行 Connect-MsolService –Credential $cred。此 cmdlet 会将你连接到 Azure AD。在运行该工具安装的任何附加cmdlet 然后,都要创建将你连接到 AzureAD 的上下文。

有然后 在配置ADFS的然后都要一张证书,亲们安装iis服务,有然后 申请证书

将计算机加域,有然后 通过domain admins用户登录

亲们都要在DC上执行以下命令

备注:有然后 已在主 AD FS 服务器上安装了 Microsoft Azure Active Directory 模块,则不都要运行此 cmdlet。

2.默认勾选---有然后 单击高级

亲们知道windows 2012系统默认是安装了netframwork4.5的,然后 亲们都要安装netframwork3.5.1即可

输入本地域名,通过勾选亲们计划配置此域为使用本地ACTIVE DIRECTORY进行单点登录

运行 New-MsolFederatedDomain –DomainName<domain>,其中 <domain> 是都要去掉 并都要启用单一登录的域。此 cmdlet 去掉 将针对联合身份验证进行配置的新顶级域或子域。

ADFS服务名称执行ADFS服务器

导入成功-

运行 $cred=Get-Credential。当 cmdlet 提示你输入凭据时,键入云服务管理员帐户凭据。

重定向完成,输入有效的本地AD账户信息进行验证登录