Configurar uma confiança entre Shibboleth e Azure AD
Atualizado: 25 de junho de 2015
Aplica-se a: Azure, Office 365, Power BI, Windows Intune
Azure AD domínios são federados usando o Módulo Microsoft Azure Active Directory para Windows PowerShell. Você usará este tópico para executar uma série de cmdlets na interface de linha de comando Windows PowerShell para adicionar ou converter domínios para logon único.
Importante
Antes de concluir as instruções neste tópico, você deve examinar e concluir as etapas em Instalar Windows PowerShell para logon único com o Shibboleth.
Cada domínio do Active Directory que deseja federar usando Shibboleth deve ser adicionado como um domínio de logon único ou convertido para domínio de logon único a partir de um domínio padrão. A adição ou conversão de um domínio configura uma confiança entre o Shibboleth Identity Provider e o Azure Active Directory.
O procedimento a seguir descreve como converter um domínio padrão existente em um domínio federado.
Abra o módulo Microsoft Azure Active Directory.
Execute
$cred=Get-Credential
. Quando o cmdlet solicitar as credenciais, digite suas credenciais da conta do administrador do serviço de nuvem.Execute
Connect-MsolService –Credential $cred
. Esse cmdlet conecta você a Azure AD. A criação de um contexto que conecta você a Azure AD é necessária antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta.Execute os seguintes comandos para converter um domínio existente (nesse exemplo, mail.contoso.com) para logon único:
$dom = "mail.contoso.com” $url = "https://idp.contoso.com/idp/profile/SAML2/POST/SSO" $ecpUrl = "https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP" $uri = "https://idp.contoso.com/idp/shibboleth" $logouturl = "https://idp.contoso.com/logout/" $cert = "MIIFYzCCBEugAw...2tLRtyN" Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
Observação
Você deve executar
$ecpUrl = https://idp.contoso.com/idp/profile/SAML2/SOAP/ECP
somente se configurar a extensão ECP do Shibboleth Identity Provider. Embora seja uma etapa opcional, é recomendado que você instale a extensão ECP do Shibboleth Identity Provider para que o logon único funcione com um smart phone, Microsoft Outlook ou outros clientes. Para obter mais informações, consulte "Opcional: Instalar a Extensão ECP shibboleth" em Configurar Shibboleth para uso com logon único.
Consulte Também
Conceitos
Instale o Windows PowerShell para logon único com o Shibboleth
Usar provedores de identidade Shibboleth para implementar o logon único