Verifiera och hantera enkel inloggning med AD FS
Uppdaterad: 25 juni 2015
Gäller för: Azure, Office 365, Power BI, Windows Intune
Anteckning
Det här avsnittet kanske inte är helt tillämpligt för användare av Microsoft Azure i Kina. Mer information om Azure-tjänsten i Kina finns i windowsazure.cn.
Innan du verifierar och hanterar enkel inloggning (kallas även identitetsfederation) granskar du informationen och utför stegen i Checklista: Använd AD FS för att implementera och hantera enkel inloggning.
När du har konfigurerat enkel inloggning bör du kontrollera att den fungerar korrekt. Det finns också flera hanteringsuppgifter som du ibland kan utföra för att hålla den igång smidigt.
Vad vill du göra?
Kontrollera att enkel inloggning har konfigurerats korrekt
Hantera enkel inloggning
Kontrollera att enkel inloggning har konfigurerats korrekt
Om du vill kontrollera att enkel inloggning har konfigurerats korrekt kan du utföra följande procedur för att bekräfta att du kan logga in på molntjänsten med företagets autentiseringsuppgifter, Testa enkel inloggning för olika användningsscenarier och Använda Microsoft Remote Connectivity Analyzer.
Anteckning
- Om du konverterade en domän i stället för att lägga till en domän kan det ta upp till 24 timmar att konfigurera enkel inloggning.
- Innan du verifierar enkel inloggning bör du slutföra konfigurationen av Active Directory-synkronisering, synkronisera dina kataloger och aktivera dina synkroniserade användare. Mer information finns i Översikt över katalogsynkronisering.
Utför följande steg för att kontrollera att enkel inloggning har konfigurerats korrekt.
Logga in på din Microsoft-molntjänst på en domänansluten dator med samma inloggningsnamn som du använder för företagets autentiseringsuppgifter.
Klicka i lösenordsrutan. Om enkel inloggning har konfigurerats kommer lösenordsrutan att skuggas och följande meddelande visas: "Du måste nu logga in på <ditt företag>."
Klicka på länken Logga in på <ditt företag> .
Om du kan logga in har enkel inloggning konfigurerats.
Testa enkel inloggning för olika användningsscenarier
När du har kontrollerat att enkel inloggning är klar testar du följande inloggningsscenarier för att säkerställa att enkel inloggning och AD FS 2.0-distributionen är korrekt konfigurerade. Be en grupp av dina användare att testa sin åtkomst till molntjänsttjänsterna från webbläsare och omfattande klientprogram, till exempel Microsoft Office 2010, i följande miljöer:
Från en domänansluten dator
Från en icke-domänansluten dator i företagsnätverket
Från en domänansluten roamingdator utanför företagsnätverket
Från de olika operativsystem som du använder i ditt företag
Från en hemdator
Från en helskärmsläge på Internet (testa åtkomsten till molntjänsten endast via en webbläsare)
Från en smart telefon (till exempel en smart telefon som använder Microsoft Exchange ActiveSync)
Använda Microsoft Remote Connectivity Analyzer
Om du vill testa enkel inloggningsanslutning kan du använda Microsoft Remote Connectivity Analyzer. Klicka på fliken Office 365, klicka på Microsoft Enkel inloggning och klicka sedan på Nästa. Utför testet genom att följa anvisningarna på skärmen. Analysatorn verifierar din möjlighet att logga in på molntjänsten med företagets autentiseringsuppgifter. Den validerar också vissa grundläggande AD FS 2.0-konfigurationer.
Vad vill du göra?
Schemalägg aktivitet för att uppdatera Azure AD när en ändring görs i tokensigneringscertifikatet inte längre rekommendationen
Om du använder AD FS 2.0 eller senare uppdaterar Office 365 och Azure AD automatiskt ditt certifikat innan det upphör att gälla. Du behöver inte utföra några manuella steg eller köra ett skript som en schemalagd aktivitet. För att detta ska fungera måste båda följande standardinställningar för AD FS-konfiguration gälla:
AD FS-egenskapen AutoCertificateRollover måste vara inställd på Sant, vilket indikerar att AD FS automatiskt genererar nya certifikat för tokensignering och tokendekryptering innan de gamla upphör att gälla. Om värdet är Falskt använder du anpassade certifikatinställningar. Gå hit för omfattande vägledning.
Federationsmetadata måste vara tillgängliga för det offentliga Internet.
Hantera enkel inloggning
Det finns andra valfria eller tillfälliga uppgifter som du kan göra för att hålla enkel inloggning igång smidigt.
Innehåll i det här avsnittet
Lägga till URL:er till betrodda platser i Internet Explorer
Begränsa användare från att logga in på molntjänsten
Visa aktuella inställningar
Uppdatera förtroendeegenskaper
Återställa en AD FS-server
Anpassa lokal autentiseringstyp
Lägga till URL:er till betrodda platser i Internet Explorer
När du har lagt till eller konverterat dina domäner som en del av konfigurationen av enkel inloggning kanske du vill lägga till det fullständigt kvalificerade domännamnet för AD FS-servern i listan över betrodda platser i Internet Explorer. Detta säkerställer att användarna inte uppmanas att ange sitt lösenord till AD FS-servern. Den här ändringen måste göras på klienten. Du kan också göra den här ändringen för dina användare genom att ange en grupprincip inställning som automatiskt lägger till den här URL:en i listan Betrodda platser för domänanslutna datorer. Mer information finns i Internet Explorer Policy Inställningar.
Begränsa användare från att logga in på molntjänsten
AD FS ger administratörer möjlighet att definiera anpassade regler som beviljar eller nekar användarna åtkomst. För enkel inloggning ska de anpassade reglerna tillämpas på det förlitande partförtroende som är associerat med molntjänsten. Du skapade det här förtroendet när du körde cmdletarna i Windows PowerShell för att konfigurera enkel inloggning.
Mer information om hur du begränsar användare från att logga in på tjänster finns i Skapa en regel för att tillåta eller neka användare baserat på ett inkommande anspråk. Mer information om hur du kör cmdletar för att konfigurera enkel inloggning finns i Installera Windows PowerShell för enkel inloggning med AD FS.
Visa aktuella inställningar
Om du när som helst vill visa den aktuella AD FS-servern och molntjänstinställningarna kan du öppna Microsoft Azure Active Directory-modulen för Windows PowerShell och köra Connect-MSOLService
och sedan köra Get-MSOLFederationProperty –DomainName <domain>
. På så sätt kan du kontrollera att inställningarna på AD FS-servern överensstämmer med inställningarna i molntjänsten. Om inställningarna inte matchar kan du köra Update-MsolFederatedDomain –DomainName <domain>
. Mer information finns i nästa avsnitt, "Uppdatera förtroendeegenskaper".
Anteckning
Om du behöver stöd för flera toppnivådomäner, till exempel contoso.com och fabrikam.com, måste du använda växeln SupportMultipleDomain med alla cmdletar. Mer information finns i Stöd för flera toppnivådomäner.
Vad vill du göra?
Uppdatera förtroendeegenskaper
Du måste uppdatera egenskaperna för förtroende för enkel inloggning i molntjänsten när:
URL:en ändras: Om du gör ändringar i URL:en för AD FS-servern måste du uppdatera förtroendeegenskaperna.
Det primära tokensigneringscertifikatet har ändrats: Om du ändrar det primära tokensigneringscertifikatet utlöses händelse-ID 334 eller händelse-ID 335 i Loggboken för AD FS-servern. Vi rekommenderar att du kontrollerar Loggboken regelbundet, åtminstone varje vecka.
Följ dessa steg för att visa händelserna för AD FS-servern.
Klicka på Start och sedan på Kontrollpanelen. I kategorivyn klickar du på System och säkerhet, klickar sedan på Administrationsverktyg och sedan på Loggboken.
Om du vill visa händelserna för AD FS i den vänstra rutan i Loggboken klickar du på Program- och tjänstloggar, klickar sedan på AD FS 2.0 och klickar sedan på Admin.
Certifikatet för tokensignering upphör att gälla varje år: Certifikatet för tokensignering är avgörande för federationstjänstens stabilitet. Om den ändras måste Azure AD meddelas om den här ändringen. Annars misslyckas begäranden som görs till dina molntjänster.
Följ dessa steg om du vill uppdatera förtroendeegenskaperna manuellt.
Anteckning
Om du behöver stöd för flera toppnivådomäner, till exempel contoso.com och fabrikam.com, måste du använda växeln SupportMultipleDomain med alla cmdletar. Mer information finns i Stöd för flera toppnivådomäner.
Öppna modulen Microsoft Azure Active Directory för Windows PowerShell.
Kör
$cred=Get-Credential
. När den här cmdleten uppmanar dig att ange autentiseringsuppgifter skriver du autentiseringsuppgifterna för molntjänstens administratörskonto.Kör
Connect-MsolService –Credential $cred
. Den här cmdleten ansluter dig till molntjänsten. Du måste skapa en kontext som ansluter dig till molntjänsten innan du kör någon av de ytterligare cmdletar som installerats av verktyget.Kör
Set-MSOLAdfscontext -Computer <AD FS primary server>
, där <DEN primära AD FS-servern> är det interna FQDN-namnet på den primära AD FS-servern. Den här cmdleten skapar en kontext som ansluter dig till AD FS.Anteckning
Om du har installerat Microsoft Azure Active Directory-modulen på den primära servern behöver du inte köra den här cmdleten.
Kör
Update-MSOLFederatedDomain –DomainName <domain>
. Den här cmdleten uppdaterar inställningarna från AD FS i molntjänsten och konfigurerar förtroenderelationen mellan de två.
Vad vill du göra?
Återställa en AD FS-server
Om du förlorar din primära server och inte kan återställa den, måste du befordra en annan server för att bli den primära servern. Mer information finns i AD FS 2.0 – Ange den primära federationsservern i en WID-servergrupp.
Anteckning
Om en av dina AD FS-servrar misslyckas och du har konfigurerat en servergruppskonfiguration med hög tillgänglighet kan användarna fortfarande komma åt molntjänsten. Om den misslyckade servern är den primära servern kan du inte utföra några uppdateringar av servergruppens konfiguration förrän du befordrar en annan server till den primära servern.
Om du förlorar alla servrar i servergruppen måste du återskapa förtroendet med följande steg.
Anteckning
Om du behöver stöd för flera toppnivådomäner, till exempel contoso.com och fabrikam.com, måste du använda växeln SupportMultipleDomain med alla cmdletar. När du använder växeln SupportMultipleDomain måste du vanligtvis köra proceduren på var och en av dina domäner. Men för att återställa AD FS-servern behöver du bara följa proceduren en gång för en av dina domäner. När servern har återställts ansluter alla dina andra domäner för enkel inloggning till molntjänsten. Mer information finns i Stöd för flera toppnivådomäner.
Öppna modulen Microsoft Azure Active Directory.
Kör
$cred=Get-Credential
. När cmdleten uppmanar dig att ange autentiseringsuppgifter skriver du dina autentiseringsuppgifter för molntjänstadministratörskontot.Kör
Connect-MsolService –Credential $cred
. Den här cmdleten ansluter dig till molntjänsten. Du måste skapa en kontext som ansluter dig till molntjänsten innan du kör någon av de ytterligare cmdletar som installerats av verktyget.Kör
Set-MSOLAdfscontext -Computer <AD FS primary server>
, där <DEN primära AD FS-servern> är det interna FQDN-namnet på den primära AD FS-servern. Den här cmdleten skapar en kontext som ansluter dig till AD FS.Anteckning
Om du har installerat Microsoft Azure Active Directory-modulen på den primära AD FS-servern behöver du inte köra den här cmdleten.
Kör
Update-MsolFederatedDomain –DomainName <domain>
, där <domänen> är den domän som du vill uppdatera egenskaper för. Den här cmdleten uppdaterar egenskaperna och upprättar förtroenderelationen.Kör
Get-MsolFederationProperty –DomainName <domain>
, där <domänen> är den domän som du vill visa egenskaper för. Du kan sedan jämföra egenskaperna från den primära AD FS-servern och egenskaperna i molntjänsten för att se till att de matchar. Om de inte matchar kör duUpdate-MsolFederatedDomain –DomainName <domain>
igen för att synkronisera egenskaperna.
Se även
Begrepp
Checklista: Använda AD FS för att implementera och hantera enkel inloggning
Översikt över enkel inloggning