Active Directory összevonási szolgáltatások (AD FS) kezelése és testreszabása Azure AD Connect használatávalManage and customize Active Directory Federation Services by using Azure AD Connect

Ez a cikk a Active Directory összevonási szolgáltatások (AD FS) (AD FS) Azure Active Directory (Azure AD) használatával történő kezelését és testreszabását ismerteti.This article describes how to manage and customize Active Directory Federation Services (AD FS) by using Azure Active Directory (Azure AD) Connect. Emellett olyan gyakori AD FS feladatokat is tartalmaz, amelyeket a AD FS farmok teljes konfigurálásához lehet szükség.It also includes other common AD FS tasks that you might need to do for a complete configuration of an AD FS farm.

TémakörTopic Mire terjed kiWhat it covers
AD FS kezeléseManage AD FS
A megbízhatóság javításaRepair the trust Az Office 365 összevonási megbízhatóságának javítása.How to repair the federation trust with Office 365.
Összevonása az Azure AD-vel alternatív bejelentkezési azonosító használatávalFederate with Azure AD using alternate login ID Összevonás konfigurálása alternatív bejelentkezési azonosító használatávalConfigure federation using alternate login ID
AD FS-kiszolgáló hozzáadásaAdd an AD FS server AD FS Farm kibontása további AD FS-kiszolgálóval.How to expand an AD FS farm with an additional AD FS server.
AD FS webalkalmazás-proxy kiszolgáló hozzáadásaAdd an AD FS Web Application Proxy server AD FS Farm kibontása egy további webalkalmazás-proxy (WAP) kiszolgálóval.How to expand an AD FS farm with an additional Web Application Proxy (WAP) server.
Összevont tartomány hozzáadásaAdd a federated domain Összevont tartomány hozzáadása.How to add a federated domain.
Az SSL-tanúsítvány frissítéseUpdate the SSL certificate AD FS Farm SSL-tanúsítványának frissítése.How to update the SSL certificate for an AD FS farm.
AD FS testreszabásaCustomize AD FS
Egyéni vállalati embléma vagy illusztráció hozzáadásaAdd a custom company logo or illustration AD FS bejelentkezési oldal testreszabása vállalati emblémával és illusztrációval.How to customize an AD FS sign-in page with a company logo and illustration.
Bejelentkezési Leírás hozzáadásaAdd a sign-in description Bejelentkezési oldal leírásának hozzáadása.How to add a sign-in page description.
AD FSi jogcím szabályainak módosításaModify AD FS claim rules AD FS jogcímek módosítása különböző összevonási forgatókönyvekhez.How to modify AD FS claims for various federation scenarios.

AD FS kezeléseManage AD FS

A Azure AD Connect varázslóval számos AD FS kapcsolódó feladatot is végrehajthat Azure AD Connect minimális felhasználói beavatkozással.You can perform various AD FS-related tasks in Azure AD Connect with minimal user intervention by using the Azure AD Connect wizard. Miután befejezte a Azure AD Connect telepítését a varázsló futtatásával, további feladatok elvégzéséhez futtassa újra a varázslót.After you've finished installing Azure AD Connect by running the wizard, you can run the wizard again to perform additional tasks.

A megbízhatóság javításaRepair the trust

A Azure AD Connect segítségével megtekintheti a AD FS és az Azure AD megbízhatóságának aktuális állapotát, és megteheti a szükséges lépéseket a megbízhatóság kijavításához.You can use Azure AD Connect to check the current health of the AD FS and Azure AD trust and take appropriate actions to repair the trust. Az Azure AD és a AD FS megbízhatóság javításához kövesse az alábbi lépéseket.Follow these steps to repair your Azure AD and AD FS trust.

  1. Válassza ki a HRE és az ADFS-megbízhatóság javítása elemet a további feladatok listájából.Select Repair AAD and ADFS Trust from the list of additional tasks. HRE-és ADFS-megbízhatóság javításaRepair AAD and ADFS Trust

  2. A Kapcsolódás az Azure ad-hoz lapon adja meg az Azure ad globális rendszergazdai hitelesítő adatait, és kattintson a továbbgombra.On the Connect to Azure AD page, provide your global administrator credentials for Azure AD, and click Next. Csatlakozás az Azure AD-hezConnect to Azure AD

  3. A távelérési hitelesítő adatok lapon adja meg a tartományi rendszergazda hitelesítő adatait.On the Remote access credentials page, enter the credentials for the domain administrator.

    Távelérési hitelesítő adatok

    Miután rákattintott a továbbgombra, Azure ad Connect ellenőrzi a tanúsítvány állapotát, és megjeleníti a problémákat.After you click Next, Azure AD Connect checks for certificate health and shows any issues.

    Tanúsítványok állapota

    A konfigurálásra kész lapon a megbízhatóság javításához végrehajtandó műveletek listája látható.The Ready to configure page shows the list of actions that will be performed to repair the trust.

    Konfigurálásra kész

  4. A megbízhatóság kijavításához kattintson a telepítés gombra.Click Install to repair the trust.

Megjegyzés

Azure AD Connect csak önaláírt tanúsítványokat tud kijavítani vagy fellépni.Azure AD Connect can only repair or act on certificates that are self-signed. Azure AD Connect nem tudja kijavítani a külső gyártótól származó tanúsítványokat.Azure AD Connect can't repair third-party certificates.

Összevonása az Azure AD-vel a AlternateID használatávalFederate with Azure AD using AlternateID

Javasoljuk, hogy a helyszíni egyszerű felhasználónevet (UPN) és a Felhőbeli egyszerű felhasználónevet is megtartsa.It is recommended that the on-premises User Principal Name(UPN) and the cloud User Principal Name are kept the same. Ha a helyszíni UPN nem útválasztón alapuló tartományt használ (pl.If the on-premises UPN uses a non-routable domain (ex. Contoso. local) vagy a helyi alkalmazás függőségei miatt nem módosítható, javasoljuk, hogy állítson be alternatív bejelentkezési azonosítót.Contoso.local) or cannot be changed due to local application dependencies, we recommend setting up alternate login ID. Az alternatív bejelentkezési azonosító lehetővé teszi a bejelentkezési élmény konfigurálását, amelyben a felhasználók az egyszerű felhasználónévtől (például a levelezéstől) eltérő attribútummal jelentkezhetnek be.Alternate login ID allows you to configure a sign-in experience where users can sign in with an attribute other than their UPN, such as mail. Az egyszerű felhasználónevek Azure AD Connect alapértelmezett értéke a Active Directory userPrincipalName attribútuma.The choice for User Principal Name in Azure AD Connect defaults to the userPrincipalName attribute in Active Directory. Ha az egyszerű felhasználónévhez más attribútumot is választ, és a AD FS használatával egyesítő, Azure AD Connect konfigurálja AD FS a helyettesítő bejelentkezési AZONOSÍTÓhoz.If you choose any other attribute for User Principal Name and are federating using AD FS, then Azure AD Connect will configure AD FS for alternate login ID. Alább látható egy példa arra, hogy egy másik attribútumot válasszon a felhasználó egyszerű neveként:An example of choosing a different attribute for User Principal Name is shown below:

Alternatív azonosító attribútum kiválasztása

A AD FS alternatív bejelentkezési AZONOSÍTÓjának konfigurálása két fő lépésből áll:Configuring alternate login ID for AD FS consists of two main steps:

  1. Adja meg a kiállítási jogcímek megfelelő készletét: Az Azure AD függő entitás megbízhatóságában a kiállítási jogcím szabályai úgy módosulnak, hogy a kiválasztott UserPrincipalName attribútumot használják a felhasználó másodlagos AZONOSÍTÓJAként.Configure the right set of issuance claims: The issuance claim rules in the Azure AD relying party trust are modified to use the selected UserPrincipalName attribute as the alternate ID of the user.

  2. Alternatív bejelentkezési azonosító engedélyezése a AD FS konfigurációban: A AD FS konfiguráció frissült, így a AD FS a megfelelő erdőkben kereshet felhasználókat a helyettesítő azonosító használatával.Enable alternate login ID in the AD FS configuration: The AD FS configuration is updated so that AD FS can look up users in the appropriate forests using the alternate ID. Ezt a konfigurációt AD FS Windows Server 2012 R2 (KB2919355) vagy újabb rendszereken támogatja.This configuration is supported for AD FS on Windows Server 2012 R2 (with KB2919355) or later. Ha a AD FS-kiszolgálók 2012 R2, Azure AD Connect ellenőrzi a szükséges KB jelenlétét.If the AD FS servers are 2012 R2, Azure AD Connect checks for the presence of the required KB. Ha a KB-ot nem észleli a rendszer, a konfiguráció befejezése után egy figyelmeztetés jelenik meg, ahogy az alábbi ábrán is látható:If the KB is not detected, a warning will be displayed after configuration completes, as shown below:

    Figyelmeztetés a 2012R2 hiányzó KB-ról

    Ha hiányzó TUDÁSBÁZIS esetén szeretné kijavítani a konfigurációt, telepítse a szükséges KB2919355 , majd javítsa ki a megbízhatóságot a javítási hre és a AD FS megbízhatósághasználatával.To rectify the configuration in case of missing KB, install the required KB2919355 and then repair the trust using Repair AAD and AD FS Trust.

Megjegyzés

A alternateID és a manuális konfigurálásával kapcsolatos további információkért olvassa el a másik bejelentkezési azonosító konfigurálása című témakört.For more information on alternateID and steps to manually configure, read Configuring Alternate Login ID

AD FS-kiszolgáló hozzáadásaAdd an AD FS server

Megjegyzés

AD FS kiszolgáló hozzáadásához Azure AD Connect szükséges a PFX-tanúsítvány.To add an AD FS server, Azure AD Connect requires the PFX certificate. Ezért ezt a műveletet csak akkor hajthatja végre, ha a AD FS farmot Azure AD Connect használatával konfigurálta.Therefore, you can perform this operation only if you configured the AD FS farm by using Azure AD Connect.

  1. Válassza a további összevonási kiszolgáló telepítéselehetőséget, majd kattintson a továbbgombra.Select Deploy an additional Federation Server, and click Next.

    További összevonási kiszolgáló

  2. A Kapcsolódás az Azure ad-hoz lapon adja meg az Azure ad globális rendszergazdai hitelesítő adatait, és kattintson a továbbgombra.On the Connect to Azure AD page, enter your global administrator credentials for Azure AD, and click Next.

    Összekapcsolás az Azure AD-vel

  3. Adja meg a tartományi rendszergazda hitelesítő adatait.Provide the domain administrator credentials.

    Tartományi rendszergazdai hitelesítő adatok

  4. Azure AD Connect kéri a PFX-fájl jelszavának megadását, miközben az új AD FS Farm konfigurálását Azure AD Connect.Azure AD Connect asks for the password of the PFX file that you provided while configuring your new AD FS farm with Azure AD Connect. Kattintson a jelszó megadása gombra a pfx-fájl jelszavának megadásához.Click Enter Password to provide the password for the PFX file.

    Tanúsítványjelszó

    SSL-tanúsítvány megadása

  5. A AD FS kiszolgálók lapon adja meg a AD FS farmhoz hozzáadandó kiszolgáló nevét vagy IP-címét.On the AD FS Servers page, enter the server name or IP address to be added to the AD FS farm.

    AD FS-kiszolgálók

  6. Kattintson a továbbgombra, és folytassa a konfigurálást a végső oldalon.Click Next, and go through the final Configure page. Miután Azure AD Connect befejezte a kiszolgálók hozzáadását a AD FS farmhoz, lehetősége lesz ellenőrizni a kapcsolatot.After Azure AD Connect has finished adding the servers to the AD FS farm, you will be given the option to verify the connectivity.

    Konfigurálásra kész

    A telepítés befejeződött

AD FS WAP-kiszolgáló hozzáadásaAdd an AD FS WAP server

Megjegyzés

WAP-kiszolgáló hozzáadásához Azure AD Connect szükséges a PFX-tanúsítvány.To add a WAP server, Azure AD Connect requires the PFX certificate. Ezért ezt a műveletet csak akkor hajthatja végre, ha a AD FS farmot Azure AD Connect használatával konfigurálta.Therefore, you can only perform this operation if you configured the AD FS farm by using Azure AD Connect.

  1. Válassza a webalkalmazás- proxy telepítése lehetőséget az elérhető feladatok listájából.Select Deploy Web Application Proxy from the list of available tasks.

    Webalkalmazás-proxy üzembe helyezése

  2. Adja meg az Azure globális rendszergazdai hitelesítő adatait.Provide the Azure global administrator credentials.

    Összekapcsolás az Azure AD-vel

  3. Az SSL-tanúsítvány megadása lapon adja meg a AD FS Farm Azure ad Connect használatával való konfigurálásakor megadott pfx-fájl jelszavát.On the Specify SSL certificate page, provide the password for the PFX file that you provided when you configured the AD FS farm with Azure AD Connect. Tanúsítvány jelszavaCertificate password

    SSL-tanúsítvány megadása

  4. Adja hozzá a kiszolgálót a WAP-kiszolgálóként való hozzáadáshoz.Add the server to be added as a WAP server. Mivel előfordulhat, hogy a WAP-kiszolgáló nem csatlakozik a tartományhoz, a varázsló kéri a rendszergazdai hitelesítő adatok megadását a hozzáadott kiszolgáló számára.Because the WAP server might not be joined to the domain, the wizard asks for administrative credentials to the server being added.

    Felügyeleti kiszolgáló hitelesítő adatai

  5. A proxy megbízhatóságának hitelesítő adatai lapon adja meg a rendszergazdai hitelesítő adatokat a proxy megbízhatóságának konfigurálásához és a AD FS Farm elsődleges kiszolgálójának eléréséhez.On the Proxy trust credentials page, provide administrative credentials to configure the proxy trust and access the primary server in the AD FS farm.

    Proxy megbízhatósági hitelesítő adatai

  6. A készen áll a konfigurálásra lapon a varázsló megjeleníti a végrehajtandó műveletek listáját.On the Ready to configure page, the wizard shows the list of actions that will be performed.

    Konfigurálásra kész

  7. A konfigurálás befejezéséhez kattintson a telepítés gombra.Click Install to finish the configuration. A konfiguráció befejezése után a varázsló lehetőséget ad a kiszolgálók kapcsolatának ellenőrzésére.After the configuration is complete, the wizard gives you the option to verify the connectivity to the servers. A kapcsolat ellenőrzéséhez kattintson az ellenőrzés gombra.Click Verify to check connectivity.

    A telepítés befejeződött

Összevont tartomány hozzáadásaAdd a federated domain

Egyszerűen hozzáadhat egy tartományt az Azure AD-vel összevont tartományhoz Azure AD Connect használatával.It's easy to add a domain to be federated with Azure AD by using Azure AD Connect. Azure AD Connect hozzáadja a tartományt az összevonáshoz, és módosítja a jogcím szabályait, hogy megfelelően tükrözze a kiállítót, ha több, az Azure AD-vel összevont tartománnyal rendelkezik.Azure AD Connect adds the domain for federation and modifies the claim rules to correctly reflect the issuer when you have multiple domains federated with Azure AD.

  1. Összevont tartomány hozzáadásához válassza a további Azure ad-tartomány hozzáadásafeladatot.To add a federated domain, select the task Add an additional Azure AD domain.

    További Azure AD-tartomány

  2. A varázsló következő lapján adja meg az Azure AD globális rendszergazdai hitelesítő adatait.On the next page of the wizard, provide the global administrator credentials for Azure AD.

    Összekapcsolás az Azure AD-vel

  3. A távelérési hitelesítő adatok lapon adja meg a tartományi rendszergazdai hitelesítő adatokat.On the Remote access credentials page, provide the domain administrator credentials.

    Távelérési hitelesítő adatok

  4. A következő lapon a varázsló megjeleníti azon Azure AD-tartományok listáját, amelyekkel összevonása a helyszíni címtárat.On the next page, the wizard provides a list of Azure AD domains that you can federate your on-premises directory with. Válassza ki a tartományt a listából.Choose the domain from the list.

    Azure AD domain

    A tartomány kiválasztása után a varázsló megfelelő információkat biztosít a varázsló által végrehajtandó további műveletekről és a konfiguráció hatásáról.After you choose the domain, the wizard provides you with appropriate information about further actions that the wizard will take and the impact of the configuration. Bizonyos esetekben, ha olyan tartományt választ ki, amely még nem lett ellenőrizve az Azure AD-ben, a varázsló információt nyújt a tartomány ellenőrzéséhez.In some cases, if you select a domain that isn't yet verified in Azure AD, the wizard provides you with information to help you verify the domain. További részletekért tekintse meg az Egyéni tartománynév hozzáadása a Azure Active Directoryhoz című témakört.See Add your custom domain name to Azure Active Directory for more details.

  5. Kattintson a Tovább gombra.Click Next. A konfigurálásra kész lapon látható azoknak a műveleteknek a listája, amelyeket a Azure ad Connect végrehajt.The Ready to configure page shows the list of actions that Azure AD Connect will perform. A konfigurálás befejezéséhez kattintson a telepítés gombra.Click Install to finish the configuration.

    Konfigurálásra kész

Megjegyzés

A hozzáadott összevont tartományba tartozó felhasználókat szinkronizálni kell, mielőtt be tudnak jelentkezni az Azure AD-be.Users from the added federated domain must be synchronized before they will be able to login to Azure AD.

AD FS testreszabásaAD FS customization

A következő szakaszokban részletesen ismertetjük azokat a gyakori feladatokat, amelyeket a AD FS bejelentkezési oldalának testreszabásakor végre kell hajtania.The following sections provide details about some of the common tasks that you might have to perform when you customize your AD FS sign-in page.

A bejelentkezési lapon megjelenő cég emblémájának módosításához használja a következő Windows PowerShell-parancsmagot és szintaxist.To change the logo of the company that's displayed on the Sign-in page, use the following Windows PowerShell cmdlet and syntax.

Megjegyzés

Az embléma ajánlott méretei 260 x 35 @ 96 dpi, amely nem haladja meg a 10 KB-ot.The recommended dimensions for the logo are 260 x 35 @ 96 dpi with a file size no greater than 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Megjegyzés

A TargetName paraméter megadása kötelező.The TargetName parameter is required. Az AD FS nevű alapértelmezett téma a default (alapértelmezett).The default theme that's released with AD FS is named Default.

Bejelentkezési Leírás hozzáadásaAdd a sign-in description

A bejelentkezési oldal leírásának hozzáadásához használja a következőWindows PowerShell-parancsmagot és szintaxist.To add a sign-in page description to the Sign-in page, use the following Windows PowerShell cmdlet and syntax.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Click <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

AD FSi jogcím szabályainak módosításaModify AD FS claim rules

A AD FS támogatja az egyéni jogcím-szabályok létrehozásához használható, sokoldalú jogcímek nyelvét.AD FS supports a rich claim language that you can use to create custom claim rules. További információ: a jogcím-szabály nyelvének szerepe.For more information, see The Role of the Claim Rule Language.

Az alábbi szakaszok azt ismertetik, hogyan írhat egyéni szabályokat az Azure AD-hez és a AD FS-összevonáshoz kapcsolódó egyes forgatókönyvekhez.The following sections describe how you can write custom rules for some scenarios that relate to Azure AD and AD FS federation.

Megváltoztathatatlan azonosító az attribútumban található értéktől függ.Immutable ID conditional on a value being present in the attribute

Azure AD Connect lehetővé teszi, hogy olyan attribútumot határozzon meg, amelyet forrásként kell használni az objektumok Azure AD-vel való szinkronizálásakor.Azure AD Connect lets you specify an attribute to be used as a source anchor when objects are synced to Azure AD. Ha az egyéni attribútum értéke nem üres, előfordulhat, hogy egy nem módosítható azonosító jogcímet szeretne kiállítani.If the value in the custom attribute is not empty, you might want to issue an immutable ID claim.

Például kiválaszthatja az MS-DS-consistencyguid attribútumot a forrás-horgonyhoz, és a ImmutableID -et MS-DS-consistencyguid- ként adja meg, ha az attribútumnak van egy értéke.For example, you might select ms-ds-consistencyguid as the attribute for the source anchor and issue ImmutableID as ms-ds-consistencyguid in case the attribute has a value against it. Ha nem áll rendelkezésre érték az attribútumhoz, a ObjectGUID a nem változtatható azonosítóként adja ki.If there's no value against the attribute, issue objectGuid as the immutable ID. Az egyéni jogcím-szabályok készletét a következő szakaszban leírtak szerint hozhatja létre.You can construct the set of custom claim rules as described in the following section.

1. szabály: Lekérdezési attribútumokRule 1: Query attributes

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

Ebben a szabályban az MS-DS-consistencyguid és a ObjectGUID értékeit kérdezi le a felhasználó számára a Active Directory.In this rule, you're querying the values of ms-ds-consistencyguid and objectGuid for the user from Active Directory. Módosítsa az áruház nevét egy megfelelő tároló nevére a AD FS üzemelő példányában.Change the store name to an appropriate store name in your AD FS deployment. Módosítsa a jogcím típusát a ObjectGUID és az MS-DS-consistencyguidszámára meghatározott megfelelő jogcím-típusra is.Also change the claims type to a proper claims type for your federation, as defined for objectGuid and ms-ds-consistencyguid.

Emellett a Hozzáadás és a nem problémahasználatával nem adhat hozzá kimenő hibát az entitáshoz, és az értékeket közbenső értékként használhatja.Also, by using add and not issue, you avoid adding an outgoing issue for the entity, and can use the values as intermediate values. A jogcímet egy későbbi szabályban kell kiadnia, miután létrehozta a megváltoztathatatlan AZONOSÍTÓként használandó értéket.You will issue the claim in a later rule after you establish which value to use as the immutable ID.

2. szabály: Ellenőrizze, hogy létezik-e ms-DS-consistencyguid a felhasználó számáraRule 2: Check if ms-ds-consistencyguid exists for the user

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Ez a szabály egy idflag nevű ideiglenes jelzőt határoz meg, amely useguid van beállítva, ha nincs MS-DS-consistencyguid feltöltve a felhasználó számára.This rule defines a temporary flag called idflag that is set to useguid if there's no ms-ds-consistencyguid populated for the user. A mögöttes logika az a tény, hogy AD FS nem engedélyezi az üres jogcímeket.The logic behind this is the fact that AD FS doesn't allow empty claims. Tehát a jogcímek http://contoso.com/ws/2016/02/identity/claims/objectguid hozzáadásakor és http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid az 1. szabályban csak akkor fejeződik be egy msdsconsistencyguid -jogcím, ha az érték a felhasználó számára van feltöltve.So when you add claims http://contoso.com/ws/2016/02/identity/claims/objectguid and http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid in Rule 1, you end up with an msdsconsistencyguid claim only if the value is populated for the user. Ha nincs feltöltve, AD FS úgy látja, hogy üres értékkel fog rendelkezni, és azonnal eldobja.If it isn't populated, AD FS sees that it will have an empty value and drops it immediately. Az összes objektum ObjectGUIDfog rendelkezni, így az 1. szabály végrehajtása után a jogcím mindig ott marad.All objects will have objectGuid, so that claim will always be there after Rule 1 is executed.

3. szabály: Az MS-DS-consistencyguid nem változtatható AZONOSÍTÓként való kiadásaRule 3: Issue ms-ds-consistencyguid as immutable ID if it's present

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Ez egy implicit létezési vizsgálat.This is an implicit Exist check. Ha a jogcím értéke létezik, ezt a problémát nem módosítható AZONOSÍTÓként adja ki.If the value for the claim exists, then issue that as the immutable ID. Az előző példa a NameIdentifier jogcímet használja.The previous example uses the nameidentifier claim. Ezt a megfelelő jogcím-típusra kell módosítania a környezetben megváltoztathatatlan AZONOSÍTÓhoz.You'll have to change this to the appropriate claim type for the immutable ID in your environment.

4. szabály: ObjectGuid-probléma nem módosítható AZONOSÍTÓként, ha az MS-DS-consistencyGuid nincs jelenRule 4: Issue objectGuid as immutable ID if ms-ds-consistencyGuid is not present

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Ebben a szabályban egyszerűen ellenőrzi az ideiglenes jelző idflag.In this rule, you're simply checking the temporary flag idflag. Ön dönti el, hogy a jogcímet az értéke alapján állítja-e ki.You decide whether to issue the claim based on its value.

Megjegyzés

Ezeknek a szabályoknak a sorszáma fontos.The sequence of these rules is important.

SSO altartománybeli egyszerű felhasználónévvelSSO with a subdomain UPN

Az új összevont tartomány hozzáadásacímű témakörben leírtak szerint több tartományt is hozzáadhat összevontként Azure ad Connect használatával.You can add more than one domain to be federated by using Azure AD Connect, as described in Add a new federated domain. Azure AD Connect a 1.1.553.0 és a legújabb verzió automatikusan létrehozza a megfelelő issuerID.Azure AD Connect version 1.1.553.0 and latest creates the correct claim rule for issuerID automatically. Ha nem tudja használni a Azure AD Connect 1.1.553.0 vagy legújabb verzióját, ajánlott az Azure ad RPT jogcím-szabályok eszközzel létrehozni és beállítani az Azure ad függő entitás megbízhatóságának megfelelő jogcímeket.If you cannot use Azure AD Connect version 1.1.553.0 or latest, it is recommended that Azure AD RPT Claim Rules tool is used to generate and set correct claim rules for the Azure AD relying party trust.

További lépésekNext steps

További információ a felhasználói bejelentkezési lehetőségekről.Learn more about user sign-in options.