Příprava jednotného přihlašování
Aktualizováno: 25. června 2015
Platí pro: Azure, Office 365, Power BI, Windows Intune
Poznámka
Toto téma nemusí být zcela použitelné pro uživatele Microsoft Azure v Číně. Další informace o službě Azure v Číně najdete v tématu windowsazure.cn.
Pokud se chcete připravit na jednotné přihlašování, proveďte následující kroky:
Krok 1: Kontrola požadavků na jednotné přihlašování
Krok 2: Příprava služby Active Directory
Krok 1: Kontrola požadavků na jednotné přihlašování
Abyste mohli implementovat toto řešení jednotného přihlašování, musíte splnit následující požadavky:
Nasadili a spouštěli službu Active Directory v Windows Serveru 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 nebo Windows Server 2012 R2 s funkční úrovní smíšeného nebo nativního režimu.
Pokud chcete službu AD FS používat jako službu STS, budete muset provést jednu z těchto věcí:
Stáhněte, nainstalujte a nasaďte službu AD FS 2.0 na server Windows Server 2008 nebo Windows Server 2008 R2. Pokud se uživatelé budou připojovat mimo síť vaší společnosti, musíte nasadit proxy server služby AD FS 2.0.
Nainstalujte službu role AD FS na server Windows Server 2012 nebo Windows Server 2012 R2.
Pokud chcete jako službu ZABEZPEČENÍ používat zprostředkovatele identity Shibboleth, budete muset nainstalovat a připravit provozní zprostředkovatele identity Shibboleth.
Důležité
Microsoft podporuje toto prostředí jednotného přihlašování jako integraci cloudové služby Microsoftu, například Microsoft Intune nebo Office 365, s již nainstalovaným a provozním poskytovatelem identity Shibboleth. Zprostředkovatel identity Shibboleth je produkt třetí strany, a proto Microsoft neposkytuje podporu pro nasazení, konfiguraci, řešení potíží, osvědčené postupy atd. problémy a dotazy týkající se zprostředkovatele identity Shibboleth. Další informace o zprostředkovateli identity Shibboleth naleznete v tématu https://go.microsoft.com/fwlink/?LinkID=256497.
Na základě typu služby ZABEZPEČENÍ, který nastavíte, použijte modul Microsoft Azure Active Directory pro Windows PowerShell k vytvoření federovaného vztahu důvěryhodnosti mezi místním stS a Azure AD.
Nainstalujte požadované aktualizace pro předplatná cloudových služeb Microsoftu, abyste zajistili, že vaši uživatelé používají nejnovější aktualizace Windows 7, Windows Vista nebo Windows XP. Některé funkce nemusí správně fungovat bez příslušných verzí operačních systémů, prohlížečů a softwaru. Další informace najdete v dodatku A: Kontrola požadavků na software.
Krok 2: Příprava služby Active Directory
Aby služba Active Directory správně fungovala s jednotným přihlašováním, musí mít nakonfigurovaná určitá nastavení. Zejména hlavní název uživatele (UPN), označovaný také jako přihlašovací jméno uživatele, musí být pro každého uživatele nastaveno určitým způsobem.
Poznámka
Pokud chcete připravit prostředí služby Active Directory pro jednotné přihlašování, doporučujeme spustit nástroj Microsoft Deployment Readiness Tool. Tento nástroj zkontroluje prostředí služby Active Directory a poskytuje sestavu, která obsahuje informace o tom, jestli jste připraveni nastavit jednotné přihlašování. Pokud ne, zobrazí seznam změn, které je potřeba provést k přípravě na jednotné přihlašování. Kontroluje například, jestli mají uživatelé hlavní názvy uživatelů a jestli jsou tyto hlavní názvy uživatelů ve správném formátu.
V závislosti na každé z vašich domén možná budete muset provést následující akce:
Hlavní název uživatele (UPN) musí být nastavený a známý uživatelem.
Přípona domény hlavního názvu uživatele (UPN) musí být pod doménou, kterou se rozhodnete nastavit pro jednotné přihlašování.
Doména, kterou se rozhodnete federovat, musí být zaregistrovaná jako veřejná doména u doménového registrátora nebo ve vašich vlastních veřejných serverech DNS.
Pokud chcete vytvořit hlavní názvy uživatelů(UPN), postupujte podle pokynů v tématu Služby Active Directory Přidání přípon hlavního názvu uživatele. Mějte na paměti, že upN, které se používají pro jednotné přihlašování, můžou obsahovat jenom písmena, číslice, tečky, pomlčky a podtržítka.
Pokud název domény služby Active Directory není veřejnou internetovou doménou (například končí příponou .local), musíte nastavit hlavní název uživatele (UPN) tak, aby měl příponu domény, která je pod názvem internetové domény, která se dá zaregistrovat veřejně. Doporučujeme, abyste uživatelům používali něco známého, například jejich e-mailovou doménu.
Pokud jste už nastavili synchronizaci služby Active Directory, hlavní název uživatele nemusí odpovídat místnímu hlavnímu názvu uživatele definovanému ve službě Active Directory. Pokud chcete tento problém vyřešit, přejmenujte hlavní název uživatele pomocí rutiny Set-MsolUserPrincipalName v modulu Microsoft Azure Active Directory pro Windows PowerShell.