Windows azure 联合身份验证服务配置(SSO)

  • 时间:
  • 浏览:0
  • 来源:uu快3下载网站_uu快3开户二维码

在服务器管理器的“仪表板”页上,单击“通知”标志,其他单击“在服务器上配置联合身份验证服务”

选折 功能页上,单击下一步。系统已预先选折 了所需的必备组件。你不前要选折 任何其他功能。

setsqn -q host/adfs.iiosoft.com 进行注册

安装完成,后后该软件非常小,什么都比较快

将现有域转换为单一登录域时,每个许可用户将成为联合用户,并使用其现有 Active Directory 企业凭据(用户名和密码)来访真不知道的云服务。目前不后后执行单一登录的分阶段部署,但还可不可否使用生产型 Active Directory 林中的一组生产用户试点单一登录。有关完正信息,请参阅Run a pilot to test single signon before setting it up(optional)

加在后大伙再回到windows azure portal页面进行查看AD域验证信息:

hostname:iio-dc.iiosoft.com

后后大伙本地另另4个多多SQL 数据库的,什么都大伙选折 了指定的数据库,确实建议选折 默认的数据库即可。

重定向完成,输入有效的本地AD账户信息进行验证登录

ip:10.1.1.254

大伙发现还可不可否 登录,其他登录后提示那么订阅,见到以下页面就能说明是通过本地的信息验证通过的,后后前要改用户成功登录话语,大伙前要给改用户委派订阅。

大伙为了测试并不清楚浏览器缓存,后后据了解ie的cokie不对windows azure的服务做缓存。

运行 Connect-MsolService –Credential $cred。此 cmdlet 会将你连接到 Azure AD。在运行该工具安装的任何附加cmdlet 后后,前要创建将你连接到 AzureAD 的上下文。

提示安装组件

接下来大伙还可不可否根据提示进行配置目录集成了。

转换域

选折 蕴含私钥的证书文件;

hostname:adfss.iiosoft.com

打开服务器管理器。为此,请在"刚开使"屏幕上单击"服务器管理器",后后在桌面上的任务栏中单击"服务器管理器"。在"仪表板"页上的"欢迎"磁贴的"快速启动"选项卡中,单击"加在角色和功能"。也还可不可否在"管理"菜单中单击"加在角色和功能"

导入蕴含你前面获取的 SSL 证书和密钥的 .pfx 文件。如查看有关部署 AD FS 的要求的“证书要求”要素中所述,前要获取此证书并将它克隆好友到要配置为联合服务器的计算机上。若要通过向导导入该 .pfx 文件,请单击“导入”并浏览到该文件的位置。经常出现提示时,请指定该 .pfx 文件的密码。

启动配置

若要将现有域转换为单一登录域,请执行以下步骤。

注:此处的联合身份验证服务器的名称一定要为:ADFS.IIOSOFT.COM,显示名称无所谓:当然该名称为申请证书后后定义的FQDN名称。该名称是无法更改的。什么都在规划的后后一定要定义好。

将计算机加域,其他通过domain admins用户登录

本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/12002467,如需转载请自行联系原作者

大伙选折 授权的用户进行加在

提供联合身份验证服务的名称。累似  fs.contoso.com。此名称前要与证书中的使用者名称或使用者可选名称之一匹配。提供联合身份验证服务的显示名称。累似  Contoso Corporation。将在 AD FS 登录页上向用户显示此名称。

比如:ADFS服务器的HostName为:ADFSS.IIOSOFT.COM

运行 $cred=Get-Credential。当 cmdlet 提示你输入凭据时,键入云服务管理员帐户凭据。

大伙在windows azure portal查看同步过来的用户信息

初始化数据库

运行ADFS服务的服务器名称一定并不和ADFS服务名称重名;

下载后大伙刚开使安装:提示错误,

使用 gMSA 的好处是还可不可否利用它的自动协商密码更新功能。

大伙前要在dns加在在txt记录; txt=MS=ms94955184

 备注

最好在用户共要的后后(如周末)执行转换,以减少对用户的影响。

hostname: iio-tmg.iiosoft.com

安装完成

完成安装

大伙首先打开windows azure 的portal页面,里面另另4个多多Active Directory服务,确实这些 AD服务跟本地的AD功能上相差甚远,也还可不可否说是不出同另另4个多层次上,是我不好在不久的将来就跟本地的AD就差那么来那么多了,windows azure的AD服务主要提供portal页面上的sharepoint 服务的验证,其他的也就没什么效果了。

后后经常出现以下错误。大伙还可不可否在命令提示符下运行:

输入证书自定义密码

备注:后后已在主 AD FS 服务器上安装了 Microsoft Azure Active Directory 模块,则不前要运行此 cmdlet。

运行 $cred=Get-Credential。当 cmdlet 提示你输入凭据时,键入云服务管理员帐户凭据。

ADFS证书申请:

加在完成。

后后后后执行了后期卸载又重装了。大伙还可不可否了再执行New-MsolFederatedDomain –DomainName<domain>命令了。大伙前要执行update命令来更新了。执行New-MsolFederatedDomain –DomainName<domain>是第一次配置后后第一台服务器的后后前要执行该命令。后后后后执行了就通过以下命令来更新即可。

若要验证转换是否正常工作,请通过运行 Get-MsolFederationProperty –DomainName <domain>(其中 <domain> 是想要查看其设置的域),来比较 AD FS 服务器与 Azure AD 中的设置。后后设置不匹配,我就运行 Update-MsolFederatedDomain –DomainName <domain> 来同步设置。

ip:10.1.1.1

以管理员运行:

刚开使安装windows azure AD模块

update-MsolFederatedDomain –DomainName<domain>

刚开使安装

服务器的名称为:ADFSS.IIOSOFT.COM(后后定义其他的名称)

大伙首先是单击已激活该服务同步。

http://technet.microsoft.com/zh-cn/library/jj205461.aspx

“指定服务帐户”页上指定另另4个多服务帐户。还可不可否创建或使用现有的组托管服务帐户 (gMSA),也还可不可否使用现有的域用户帐户。后后选折 创建新 gMSA 的选项,请指定新帐户的名称。后后选折 使用现有 gMSA 或域帐户的选项,请单击“选折 ...”按钮以选折 另另4个多帐户。

服务名称为:ADFS.IIOSOFT.COM

大伙在windowsazure.cn的登录页面进行登录的后后,输入本地用户名输入的后后,单击密码数据框的后后自动进行重定向

ADFS配置后后,大伙还前要最重要的一步,前要在ADFSAzure AD之间建立信任关系

3.加在adfs服务的FQDN----adfs.iiosoft.com

输入本地域名,通过勾选大伙计划配置此域为使用本地ACTIVE DIRECTORY进行单点登录

"选折 安装类型"页上,单击"基于角色或基于功能的安装",其他单击"下一步"

http://technet.microsoft.com/zh-cn/library/dn5288200.aspx

 备注

通过 Windows PowerShell 安装 AD FS 服务器角色

ADFS服务器名称为:ADFSSERVER.IIOSOFT.COM,IP:10.1.1.200

后后在配置ADFS的后后前要一张证书,大伙安装iis服务,其他申请证书

此时将启动Active Directory 联合身份验证服务配置向导”

加在完成

后后第一配置安装话语执行:New-MsolFederatedDomain –DomainName<domain>

大伙查看域的状况

大伙刚开使配置ADFS服务

对于以下的错误大问提大伙分析为:

"刚开使后后"页上,单击"下一步"

请使用 New-MsolFederatedDomain cmdlet 的结果提供的信息,联系域注册机构以创建所需的 DNS 记录。这将验证你是否拥有该域。请注意,这后后前要长达 15 分钟的传播时间,具体取决于注册机构。将更改传播到整个系统中后后前要长达 72 小时。有关完正信息,请参阅向任何域名注册机构验证域

环境介绍:

注:都在ADFS服务器的FQDN哦;ADFS服务是运行在windows后后其他os上的应用服务。而ADFS服务器是承载ADFS应用服务的介质;加在后保存确认,其他关闭浏览器重新访问即可。

后后是卸载后重装后后定义另另4个多群集话语,大伙前要执行:Update-MsolFederatedDomain –DomainName<domain>

后后禁用了 gMSA 选项并就看累似 于“后后尚未设置 KDS 根密钥,其他组托管服务帐户不可用”的错误消息,还可不可否通过在 Active Directory 域中 Windows Server 2012 或更高版本的域控制器上执行以下 Windows PowerShell 命令,在域中启用 gMSA:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)。其他返回到向导,依次单击“上一步”按钮和“下一步”按钮以重新进入“指定服务帐户”页。现在应该已启用 gMSA,我就选折 它并输入所需的 gMSA 帐户名。

再次安装同步工具;注:使用本地的administrator账户登录,还可不可否了通过域用户登陆了

为了保证大伙通过本地的AD用户验证,大伙还前要在windows portal页面加在在管理员

确认确认安装选折 页上的信息后,单击安装

导入成功-

要联合的每个域前要加在为单一登录域,后后前要从标准域转换为单一登录域。加在或转换域会在 AD FS  Microsoft Azure Active Directory (Microsoft Azure AD) 之间建立信任。

role:DC、dns、CA

"选折 目标服务器"页上,单击"从服务器池中选折 服务器",确认目标计算机已突经常出现示,其他单击"下一步"

前要勾选同步密码,不然同步过去的用户无法登陆

经常出现以下大问提是因为是:ADFS服务器和ADFS服务名称重名了,大伙前要卸载ADFS服务后,其他修改ADFS服务器的计算机名,其他保持ADFS服务器的名称和ADFS服务名称不一致即可

大伙在內部dns加在在txt记录

2.默认勾选---其他单击高级

role:ADFS

完成证书申请操作

http://technet.microsoft.com/zh-cn/library/jj205461.aspx#BKMK_ConvertDomain

单击浏览器工具----internet设置---安全---本地intranet---站点

运行 Convert-MsolDomainToFederated–DomainName <domain>,其中 <domain>

大伙通过该用户信息登录尝试

再次大伙前要在dns加在在两根A记录:

该用户前要提供公司本地的Active Directory 目录服务具有的企业管理员权限账户的凭据,次账户运行Mictosoft Azure Active Directory 同步工具的计算机所加入的Active directory林中国前要具有企业管理员权限

配置完成

注意:后后要使用 gMSA,则运行 Windows Server 2012 操作系统的环境中前要共要另另4个多多域控制器。

本地的Active Directory信息同步过去了,其他大伙无法通过本地的域信息进行验证登录,什么都大伙还前要配置联合身份验证服务(ADFS),配置后大伙还可不可否通过本地的Active Direcroy信息进行验证登录。在此大伙通过2012R2系统自带的ADFS进行配置。

后后大伙前要一张带私钥的证书,什么都大伙前要导出证书文件

再次运行 New-MsolFederatedDomain,并指定同一域名以完成此过程。

运行 Set-MsolAdfscontext -Computer<AD FS primary server>,其中 <AD FS primaryserver> 是主 AD FS 服务器的內部 FQDN 名称。此 cmdlet 创建将你连接到 AD FS 的上下文。

刚开使配置

提示错误,什么都大伙前要在DC上执行另另4个多命令:大伙查看ADFS相关的服务器配置信息

页面信息变了

操作完成后,大伙再次回到windows azure portal页面查看同步信息:

大伙最后再说另另4个多登陆的大问提。比如大伙本地是使用域用户登录,其他访问windows azure的portal也是使用本地的域用户等,每次登录都前要输入账户及密码。另另4个多多很不方便。其他大伙还可不可否通过设置浏览器来提高登录的波特率,其他另另4个多多不安全。

https://bposast.vo.msecnd.net/dirsync/7020.0/dirsync.exe

加在完成后,跳转到目录集成页面

http://www.microsoft.com/zh-cn/download/details.aspx?id=419200

刚开使安装online services

“指定服务属性”页上执行以下操作,其他单击“下一步”

“连接到 AD DS页上,指定对此计算机加入到的 AD 域拥有域管理员权限的帐户,其他单击“下一步”

最后大伙查看FIMSyncadmin成员

说到SSO,相信大伙后后没熟悉了,SSO=单点登录,当然都在叫目录集成的说法。那在windows azure上实现SSO会有什么效果呢?后后大伙的机构內部后后在使用本地的 Active Directory,则可将其与大伙的 Azure AD 目录相集成,借此可自动执行基于云的管理任务,并可向用户提供更加冗杂的登录体验。 Azure AD 支持以下一种生活目录集成功能: l目录同步 - 用于将本地目录对象(用户、组、联系人)与云同步,以帮助减小管理开 销。设置目录同步后,管理员可将本地 Active Directory 中的目录对象设置到云租户 中。 单一登录 (SSO) - 当用户登录到公司网络后访问微软云服务时,用于向用户提供更加 冗杂的身份验证体验。为了设置单一登录,还前要在本地部署安全令牌服务。设置单一 登录后,用户还可不可否使用公司內部环境的 Active Directory 凭据(用户名和密码)访问 云及其现有本地资源中的服务。那具体为什么在么在会 做呢,共要分为两步:1.通过dirsync工具将本地的Active Direcroy信息同步到windows azure Active Directory下。2.通过配置ADFS联合身份验证后,通过本地用户的域信息进行验证登录windows azure portal。具体见下:

ADFS服务名称为:ADFS.IIOSOFT.COM

单击仪表盘大伙还可不可否看见其他配置。大伙呢,首先加在本地域名

 备注

刚开使配置:

填写证书服务名称,大伙建议按照严格的证书申请最好的依据来申请,大伙定义名称为adfs.iiosoft.com,及其他的组织信息,其他单击下一步来玩完成

先决条件检查

安装成功

https://bposast.vo.msecnd.net/MSOPMW/Current/amd64/AdministrationConfig-zh-hans.msi

最后大伙通过本地用户进行登陆成功

而注册ADFS服务的证书名称为ADFS.IIOSOFT.COM

ADFS服务名称执行ADFS服务器

是要进行转换的域。此 cmdlet 将该域从标准身份验证更改为单一登录。

提示错误,确实该错误还可不可否忽略:

什么都大伙后后把运行ADFS服务的服务器名称定义其他名称在运行到改配置的后后不让经常出现该提示错误

加在域:

准备好以上工作后,大伙前要在本地的Active Directoryazure Active Directory之间创建信任关系了。

完成安装

当运行ADFS服务的服务器名称和ADFS服务的名称命名重合都在经常出现以下大问提:

单击设置---管理员

注:ADFS服务器的名称并不和ADFS服务重名:(服务器名称和服务名称一定保持不一样)

选折 已激活,保存

打开 Microsoft Azure Active Directory 模块。

配置完成后,立即同步

 备注使用 New-MsolFederatedDomain cmdlet 加在顶级域后,将无法使用 New-MsolDomain cmdlet 加在标准域(非联合)

大伙选折 刚才导出的带私钥的证书文件

下载安装应用程序:大伙在本地安装另另4个多新的操作系统。其他加域,一同下载应用程序。

运行 New-MsolFederatedDomain –DomainName<domain>,其中 <domain> 是前要加在并前要启用单一登录的域。此 cmdlet 加在将针对联合身份验证进行配置的新顶级域或子域。

后后已在主 AD FS 服务器上安装了 Microsoft Azure Active Directory 模块,则不前要运行此 cmdlet。

http://technet.microsoft.com/zh-cn/library/jj151815.aspx

Windows azure AD模块下载链接:

在要配置为联合服务器的计算机上,打开 Windows PowerShell 命令窗口并运行以下命令:Install-windowsfeature adfs-federation -IncludeManagementTools

大伙前要在DC上执行以下命令

警告信息。

运行 Connect-MsolService –Credential $cred。此 cmdlet 会将你连接到 AzureAD。在运行该工具安装的任何附加 cmdlet 后后,前要创建将你连接到 Azure AD 的上下文。

打开 Microsoft AzureActive Directory 模块。

运行 Set-MsolAdfscontext -Computer <AD FSprimary server>,其中 <AD FSprimary server> 是主 AD FS 服务器的內部 FQDN 名称。此 cmdlet 创建将你连接到 AD FS 的上下文。

大伙通过內部的CA服务器进行证书申请提交

大伙首先是在ADFS下安装azure powershell

大伙再次回到windows azure portal页面

安装下 度页上,确认已正确安装所有项目,其他单击关闭



通过加在角色和功能向导安装 AD FS 服务器角色

后后ADFS服务名称和ADFS服务器的名称不一样话语,就正常安装了,

role:geteway

正在重定向

大伙前要输入windos azure的portal页面登录管理员

ip:10.1.1.200

“Active Directory 联合身份验证服务(AD FS)”页上,单击下一步

选折 服务器角色页上,单击“Active Directory 联合身份验证服务,其他单击下一步

大伙知道windows 2012系统默认是安装了netframwork4.5的,什么都大伙前要安装netframwork3.5.1即可