Microsoft Entra Kimliği ile Federasyon için Birden Çok Etki Alanı Desteği
Aşağıdaki belgelerde, Microsoft 365 veya Microsoft Entra etki alanlarıyla federasyon yaparken birden çok üst düzey etki alanı ve alt etki alanını kullanma hakkında yönergeler sağlanmaktadır.
Birden çok üst düzey etki alanı desteği
Microsoft Entra ID ile birden çok üst düzey etki alanını bir araya getirmek için, bir üst düzey etki alanıyla federasyon sırasında gerekli olmayan bazı ek yapılandırmalar gerekir.
Bir etki alanı Microsoft Entra Id ile birleştirilirse, Azure'da etki alanında çeşitli özellikler ayarlanır. Önemli bir tanesi IssuerUri'dir. Bu özellik, belirtecin ilişkilendirdiği etki alanını tanımlamak için Microsoft Entra Id tarafından kullanılan bir URI'dir. URI'nin herhangi bir şeyi çözümlemesi gerekmez, ancak geçerli bir URI olmalıdır. Varsayılan olarak, Microsoft Entra Id URI'yi şirket içi AD FS yapılandırmanızdaki federasyon hizmeti tanımlayıcısının değerine ayarlar.
Not
Federasyon hizmeti tanımlayıcısı, bir federasyon hizmetini benzersiz olarak tanımlayan bir URI'dir. Federasyon hizmeti, güvenlik belirteci hizmeti olarak işlev gösteren bir AD FS örneğidir.
PowerShell komutunu Get-MsolDomainFederationSettings -DomainName <your domain>
kullanarak IssuerUri'yi görüntüleyebilirsiniz.
Not
Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.
Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.
Birden fazla üst düzey etki alanı eklediğinizde bir sorun oluşur. Örneğin, Microsoft Entra Id ile şirket içi ortamınız arasında federasyon ayarladığınızı varsayalım. Bu belge için bmcontoso.com etki alanı kullanılıyor. Şimdi ikinci bir üst düzey etki alanı bmfabrikam.com eklendi.
bmfabrikam.com etki alanını federasyona dönüştürmeye çalıştığınızda bir hata oluşur. Bunun nedeni, Microsoft Entra Id'nin IssuerUri özelliğinin birden fazla etki alanı için aynı değere sahip olmasına izin vermeyecek bir kısıtlaması olmasıdır.
SupportMultipleDomain Parametresi
Bu kısıtlamayı geçici olarak çözmek için parametresi kullanılarak -SupportMultipleDomain
yapılabilecek farklı bir IssuerUri eklemeniz gerekir. Bu parametre aşağıdaki cmdlet'lerle kullanılır:
New-MsolFederatedDomain
Convert-MsolDomaintoFederated
Update-MsolFederatedDomain
Bu parametre, Microsoft Entra Id'nin IssuerUri'yi etki alanının adına dayalı olacak şekilde yapılandırmasına neden olur. IssuerUri, Microsoft Entra Id'deki dizinler arasında benzersiz olacaktır. parametresini kullanmak, PowerShell komutunun başarıyla tamamlanmasını sağlar.
-SupportMultipleDomain
adfs.bmcontoso.com federasyon hizmetine işaret etmek üzere yapılandırılmış olan diğer uç noktaları değiştirmez.
-SupportMultipleDomain
ayrıca AD FS sisteminin Microsoft Entra Id için verilen belirteçlere uygun Veren değerini içermesini sağlar. Bu değer, kullanıcının UPN'sinin etki alanı bölümü alınarak ve IssuerUri'de https://{upn suffix}/adfs/services/trust
etki alanı olarak kullanılarak ayarlanır.
Bu nedenle, Microsoft Entra Id veya Microsoft 365 kimlik doğrulaması sırasında, kullanıcının belirtecindeki IssuerUri öğesi, Etki alanını Microsoft Entra Id'de bulmak için kullanılır. Eşleşme bulunamazsa kimlik doğrulaması başarısız olur.
Örneğin, bir kullanıcının UPN'si ise bsimon@bmcontoso.com, belirtecin (AD FS veren) IssuerUri öğesi olarak http://bmcontoso.com/adfs/services/trust
ayarlanır. Bu öğe Microsoft Entra yapılandırmasıyla eşleşir ve kimlik doğrulaması başarılı olur.
Aşağıdaki özelleştirilmiş talep kuralı bu mantığı uygular:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));
Önemli
Yeni etki alanları eklemeye veya zaten var olan etki alanlarını dönüştürmeye çalışırken -SupportMultipleDomain anahtarını kullanmak için, federasyon güveninizin bunları destekleyecek şekilde ayarlanmış olması gerekir.
AD FS ile Microsoft Entra Id arasındaki güveni güncelleştirme
AD FS ile Microsoft Entra Id örneğiniz arasında federasyon güvenini ayarlamadıysanız, bu güveni yeniden oluşturmanız gerekebilir. Bunun nedeni, başlangıçta parametresi olmadan -SupportMultipleDomain
ayarlandığında IssuerUri'nin varsayılan değerle ayarlanmasıdır. Aşağıdaki ekran görüntüsünde IssuerUri değerinin olarak https://adfs.bmcontoso.com/adfs/services/trust
ayarlandığını görebilirsiniz.
Microsoft Entra yönetim merkezine başarıyla yeni bir etki alanı eklediyseniz ve kullanarak Convert-MsolDomaintoFederated -DomainName <your domain>
bu etki alanını dönüştürmeyi denerseniz aşağıdaki hatayı alırsınız.
Anahtarı eklemeye -SupportMultipleDomain
çalışırsanız aşağıdaki hatayı alırsınız:
Yalnızca özgün etki alanında çalıştırmaya Update-MsolFederatedDomain -DomainName <your domain> -SupportMultipleDomain
çalışmak da hataya neden olur.
Ek bir üst düzey etki alanı eklemek için aşağıdaki adımları kullanın. Zaten bir etki alanı eklediyseniz ve parametresini -SupportMultipleDomain
kullanmadıysanız, özgün etki alanınızı kaldırma ve güncelleştirme adımlarıyla başlayın. Henüz üst düzey bir etki alanı eklemediyseniz, Microsoft Entra Connect'in PowerShell'ini kullanarak etki alanı ekleme adımlarıyla başlayabilirsiniz.
Microsoft Online güvenini kaldırmak ve özgün etki alanınızı güncelleştirmek için aşağıdaki adımları kullanın.
- AD FS federasyon sunucunuzda AD FS Management'ı açın.
- Sol tarafta Güven İlişkileri ve Bağlı Olan Taraf Güvenleri'ni genişletin.
- Sağ tarafta Microsoft Office 365 Kimlik Platformu girişini silin.
- Azure AD PowerShell modülünün yüklü olduğu bir makinede aşağıdaki PowerShell'i çalıştırın:
$cred=Get-Credential
. - Federasyon yaptığınız Microsoft Entra etki alanı için Karma Kimlik Yöneticisi'nin kullanıcı adını ve parolasını girin.
- PowerShell'de girin
Connect-MsolService -Credential $cred
. - PowerShell'de girin
Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -SupportMultipleDomain
. Bu güncelleştirme özgün etki alanına yöneliktir. Bu nedenle yukarıdaki etki alanları kullanıldığında şu şekilde olur:Update-MsolFederatedDomain -DomainName bmcontoso.com -SupportMultipleDomain
PowerShell kullanarak yeni üst düzey etki alanını eklemek için aşağıdaki adımları kullanın
- Azure AD PowerShell modülünün yüklü olduğu bir makinede aşağıdaki PowerShell'i çalıştırın:
$cred=Get-Credential
. - Federasyon yaptığınız Microsoft Entra etki alanı için Karma Kimlik Yöneticisi'nin kullanıcı adını ve parolasını girin
- PowerShell'de
Connect-MsolService -Credential $cred
- PowerShell'de
New-MsolFederatedDomain –SupportMultipleDomain –DomainName
Microsoft Entra Connect kullanarak yeni üst düzey etki alanını eklemek için aşağıdaki adımları kullanın.
- Microsoft Entra Connect'i masaüstünden veya başlat menüsünden başlatma
- "Ek bir Microsoft Entra Etki Alanı ekle" seçeneğini belirleyin
- Microsoft Entra Kimliğinizi ve Active Directory kimlik bilgilerinizi girin
- Federasyon için yapılandırmak istediğiniz ikinci etki alanını seçin.
- Yükle'ye tıklayın
Yeni üst düzey etki alanını doğrulama
PowerShell komutunu Get-MsolDomainFederationSettings -DomainName <your domain>
kullanarak güncelleştirilmiş IssuerUri'yi görüntüleyebilirsiniz. Aşağıdaki ekran görüntüsünde federasyon ayarlarının özgün etki alanında güncelleştirilmiş olduğu gösterilmektedir http://bmcontoso.com/adfs/services/trust
Yeni etki alanındaki IssuerUri de https://bmcontoso.com/adfs/services/trust
Alt etki alanları desteği
Bir alt etki alanı eklediğinizde, Microsoft Entra Id'nin etki alanlarını işleme şekli nedeniyle üst etki alanının ayarlarını devralır. Bu nedenle IssuerUri'nin ebeveynlerle eşleşmesi gerekiyor.
Örneğin bmcontoso.com sahip olduğumu ve ardından corp.bmcontoso.com ekleyebilirim. corp.bmcontoso.com bir kullanıcının IssuerUri'sinin olması http://bmcontoso.com/adfs/services/trust
gerekir. Bununla birlikte, yukarıda Microsoft Entra Id için uygulanan standart kural, etki alanının gerekli değeriyle eşleşmeyen ve kimlik doğrulaması başarısız olan, veren olarak http://corp.bmcontoso.com/adfs/services/trust
bir belirteç oluşturur.
Alt etki alanları için desteği etkinleştirme
Bu davranışı geçici olarak çözmek için Microsoft Online için AD FS bağlı olan taraf güveninin güncelleştirilmesi gerekir. Bunu yapmak için, özel bir talep kuralı yapılandırarak özel Veren değerini oluştururken kullanıcının UPN sonekindeki tüm alt etki alanları çıkarması gerekir.
Aşağıdaki talebi kullanın:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));
[! NOT] Normal ifade kümesindeki son sayı, kök etki alanınızda kaç üst etki alanı olduğudur. Burada bmcontoso.com kullanıldığından iki üst etki alanı gereklidir. Üç üst etki alanı tutulacaksa (yani, corp.bmcontoso.com), sayı üç olurdu. Sonunda bir aralık gösterilebilir, eşleşme en fazla etki alanıyla eşleşecek şekilde yapılır. "{2,3}" iki ile üç etki alanı (bmfabrikam.com ve corp.bmcontoso.com) eşleşir.
Alt etki alanlarını desteklemek üzere özel bir talep eklemek için aşağıdaki adımları kullanın.
- AD FS Yönetimi'nin açılması
- Microsoft Online RP güveni'ne sağ tıklayın ve Talep Kurallarını Düzenle'yi seçin
- Üçüncü talep kuralını seçin ve
- Geçerli talebi değiştirin:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));
ile
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));
- Tamam'a tıklayın. Uygula'ya tıklayın. Tamam'a tıklayın. AD FS Yönetimi'ne tıklayın.
Sonraki adımlar
Artık Microsoft Entra Connect'i yüklediğinize göre yüklemeyi doğrulayabilir ve lisans atayabilirsiniz.
Yükleme ile etkinleştirilen bu özellikler hakkında daha fazla bilgi edinin: Otomatik yükseltme, Yanlışlıkla silmeleri önleme ve Microsoft Entra Connect Health.
Bu yaygın konular hakkında daha fazla bilgi edinin: zamanlayıcı ve eşitlemeyi tetikleme.
Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.