Eseguire la federazione di più istanze di Azure AD con una singola istanza di AD FSFederate multiple instances of Azure AD with single instance of AD FS

In una singola farm AD FS a disponibilità elevata è possibile eseguire la federazione di più foreste, se tra di esse esiste un trust bidirezionale.A single high available AD FS farm can federate multiple forests if they have 2-way trust between them. Queste diverse foreste possono corrispondere o meno alla stessa istanza di Azure Active Directory.These multiple forests may or may not correspond to the same Azure Active Directory. Questo articolo contiene istruzioni su come configurare la federazione tra una singola distribuzione di AD FS e più foreste con sincronizzazione in istanze diverse di Azure AD.This article provides instructions on how to configure federation between a single AD FS deployment and more than one forests that sync to different Azure AD.

Federazione multi-tenant con una singola istanza di AD FS

Nota

Il writeback dei dispositivi e l'aggiunta automatica di dispositivi non sono supportati in questo scenario.Device writeback and automatic device join are not supported in this scenario.

Nota

Non è possibile usare Azure AD Connect per configurare la federazione in questo scenario perché Azure AD Connect può configurare la federazione per domini in una singola istanza di Azure AD.Azure AD Connect cannot be used to configure federation in this scenario as Azure AD Connect can configure federation for domains in a single Azure AD.

Procedura per la federazione di AD FS con più istanze di Azure ADSteps for federating AD FS with multiple Azure AD

Si supponga che il dominio contoso.com nell'istanza di Azure Active Directory contoso.onmicrosoft.com sia già federato con l'istanza locale di AD FS installata nell'ambiente Active Directory locale contoso.comConsider a domain contoso.com in Azure Active Directory contoso.onmicrosoft.com is already federated with the AD FS on-premises installed in contoso.com on-premises Active Directory environment. e che Fabrikam.com sia un dominio nell'istanza di Azure Active Directory fabrikam.onmicrosoft.com.Fabrikam.com is a domain in fabrikam.onmicrosoft.com Azure Active Directory.

Passaggio 1: Stabilire un trust bidirezionaleStep 1: Establish a two-way trust

Per consentire all'istanza di AD FS in contoso.com di autenticare gli utenti in fabrikam.com, è necessario un trust bidirezionale tra contoso.com e fabrikam.com. Per creare il trust bidirezionale, seguire le linee guida contenute in questo articolo.For AD FS in contoso.com to be able to authenticate users in fabrikam.com, a two-way trust is needed between contoso.com and fabrikam.com. Follow the guideline in this article to create the two-way trust.

Passaggio 2: Modificare le impostazioni di federazione di contoso.comStep 2: Modify contoso.com federation settings

L'autorità di certificazione predefinita per un singolo dominio federato ad AD FS è "http://ADFSServiceFQDN/adfs/services/trust", ad esempio "http://fs.contoso.com/adfs/services/trust".The default issuer set for a single domain federated to AD FS is "http://ADFSServiceFQDN/adfs/services/trust", for example, “http://fs.contoso.com/adfs/services/trust”. Azure Active Directory richiede un'autorità di certificazione univoca per ogni dominio federato.Azure Active Directory requires unique issuer for each federated domain. Dato che la stessa istanza di AD FS eseguirà la federazione di due domini, il valore dell'autorità di certificazione deve essere modificato in modo che sia univoco per ogni dominio federato con Azure Active Directory da AD FS.Since the same AD FS is going to federate two domains, the issuer value needs to be modified so that it is unique for each domain AD FS federates with Azure Active Directory.

Nel server AD FS aprire Azure AD PowerShell e seguire questa procedura:On the AD FS server, open Azure AD PowerShell and perform the following steps:

Connettersi all'istanza di Azure Active Directory contenente il dominio contoso.com: Connect-MsolService. Aggiornare le impostazioni di federazione per contoso.com: Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain.Connect to the Azure Active Directory that contains the domain contoso.com Connect-MsolService Update the federation settings for contoso.com Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain

L'autorità di certificazione nell'impostazione di federazione del dominio verrà modificata in "http://contoso.com/adfs/services/trust" e verrà aggiunta una regola attestazioni di rilascio per il trust della relying party di Azure AD per rilasciare il valore issuerId corretto in base al suffisso UPN.Issuer in the domain federation setting will be changed to "http://contoso.com/adfs/services/trust" and an issuance claim rule will be added for the Azure AD Relying Party Trust to issue the correct issuerId value based on the UPN suffix.

Passaggio 3: Eseguire la federazione di fabrikam.com con AD FSStep 3: Federate fabrikam.com with AD FS

Nella sessione di Azure AD PowerShell seguire questa procedura: connettersi all'istanza di Azure Active Directory contenente il dominio fabrikam.comIn Azure AD powershell session perform the following steps: Connect to Azure Active Directory that contains the domain fabrikam.com

Connect-MsolService

Convertire il dominio gestito fabrikam.com in federato:Convert the fabrikam.com managed domain to federated:

Convert-MsolDomainToFederated -DomainName anandmsft.com -Verbose -SupportMultipleDomain

L'operazione riportata sopra eseguirà la federazione del dominio fabrikam.com con la stessa istanza di AD FS.The above operation will federate the domain fabrikam.com with the same AD FS. È possibile verificare le impostazioni di dominio usando Get-MsolDomainFederationSettings per entrambi i domini.You can verify the domain settings by using Get-MsolDomainFederationSettings for both domains.

Passaggi successiviNext steps

Connettere Active Directory ad Azure Active DirectoryConnect Active Directory with Azure Active Directory