Share via

Een vertrouwensrelatie instellen tussen AD FS en Azure AD

  • Artikel

Bijgewerkt: 25 juni 2015

Van toepassing op: Azure, Office 365, Power BI, Windows Intune

Elk domein dat u wilt federeren, moet worden toegevoegd als domein voor eenmalige aanmelding of worden geconverteerd naar een domein voor eenmalige aanmelding vanuit een standaarddomein. Als u een domein toevoegt of converteert, wordt een vertrouwensrelatie tussen AD FS en Microsoft Azure Active Directory (Microsoft Azure AD) ingesteld.

Belangrijk

  • Als u een subdomein (bijvoorbeeld corp.contoso.com) gebruikt naast een domein op het hoogste niveau (bijvoorbeeld contoso.com), moet u het domein op het hoogste niveau toevoegen in uw cloudservice voordat u subdomeinen toevoegt. Wanneer het domein op het hoogste niveau is ingesteld voor eenmalige aanmelding, worden ook alle subdomeinen automatisch ingesteld.

  • Het instellen van een vertrouwensrelatie is een eenmalige bewerking en u hoeft de Microsoft Azure Active Directory module niet opnieuw uit te voeren voor Windows PowerShell cmdlets als u meer AD FS-servers toevoegt aan uw serverfarm.

  • Als u een domein toevoegt en verifieert met de Microsoft Azure Active Directory Module, moet u verschillende aanvullende instellingen opgeven. Deze instellingen zijn vereist, zodat u de DNS-records kunt zien die u moet configureren om uw domein te laten werken met uw cloudservice.

Als u meerdere domeinen op het hoogste niveau wilt ondersteunen, moet u de Switch SupportMultipleDomain gebruiken met alle cmdlets, zoals de cmdlets die worden gebruikt in de procedures 'Een domein toevoegen' en 'Een domein converteren'.

Als u bijvoorbeeld zowel contoso.com als fabrikam.com als domeinen voor eenmalige aanmelding wilt toevoegen, volgt u de procedure 'Een domein toevoegen' voor contoso.com met behulp van de switch SupportMultipleDomain in elke stap met een cmdlet. Voor stap 5 zou u dus gebruiken New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Nadat u alle stappen in de procedure voor contoso.com hebt voltooid, herhaalt u de procedure opnieuw voor uw fabrikam.com domein. In stap 5 gebruikt New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomainu .

Zie Ondersteuning voor meerdere domeinen op het hoogste niveau voor meer informatie.

Voer een van de volgende procedures uit om uw federatieve vertrouwensrelatie met Azure AD in te stellen, afhankelijk van of u een nieuw domein moet toevoegen of een bestaand domein moet converteren.

  • Een domein toevoegen

  • Een domein converteren

Een domein toevoegen

  1. Open de Microsoft Azure Active Directory-module.

  2. Voer $cred=Get-Credential uit. Wanneer de cmdlet u om referenties vraagt, typt u de referenties van uw cloudservicebeheerdersaccount.

  3. Voer Connect-MsolService –Credential $cred uit. Met deze cmdlet maakt u verbinding met Azure AD. Het maken van een context waarmee u verbinding maakt met Azure AD is vereist voordat u een van de extra cmdlets uitvoert die door het hulpprogramma zijn geïnstalleerd.

  4. Uitvoeren Set-MsolAdfscontext -Computer <AD FS primary server>, waarbij <de primaire AD FS-server> de interne FQDN-naam van de primaire AD FS-server is. Met deze cmdlet maakt u een context die u verbindt met AD FS.

    Notitie

    Als u de Microsoft Azure Active Directory module op de primaire AD FS-server hebt geïnstalleerd, hoeft u deze cmdlet niet uit te voeren.

  5. Uitvoeren New-MsolFederatedDomain –DomainName <domain>, waarbij <het domein het domein> is dat moet worden toegevoegd en ingeschakeld voor eenmalige aanmelding. Met deze cmdlet wordt een nieuw domein of subdomein op het hoogste niveau toegevoegd dat wordt geconfigureerd voor federatieve verificatie.

    Notitie

    Zodra u de cmdlet New-MsolFederatedDomain hebt gebruikt om een domein op het hoogste niveau toe te voegen, kunt u de New-MsolDomain cmdlet niet gebruiken om standaarddomeinen toe te voegen (niet-federatief).

  6. Neem contact op met uw domeinregistrar om de vereiste DNS-record te maken met behulp van de gegevens van de resultaten van de New-MsolFederatedDomain cmdlet. Hiermee wordt gecontroleerd of u de eigenaar bent van het domein. Houd er rekening mee dat het maximaal 15 minuten kan duren voordat dit is doorgegeven, afhankelijk van uw registrar. Het kan tot 72 uur duren voordat wijzigingen worden doorgegeven via het systeem. Zie Een domein verifiëren bij een domeinnaamregistrar voor meer informatie.

  7. Voer New-MsolFederatedDomain een tweede keer uit, waarbij u dezelfde domeinnaam opgeeft om het proces te voltooien.

Een domein converteren

Wanneer u een bestaand domein converteert naar een domein voor eenmalige aanmelding, wordt elke gelicentieerde gebruiker een federatieve gebruiker, met behulp van hun bestaande Active Directory-bedrijfsreferenties (gebruikersnaam en wachtwoord) voor toegang tot uw cloudservices. Het uitvoeren van een gefaseerde implementatie van eenmalige aanmelding is momenteel niet mogelijk; U kunt echter eenmalige aanmelding testen met een set productiegebruikers uit uw Active Directory-forest. Zie Een testfase uitvoeren om eenmalige aanmelding te testen voordat u deze instelt (optioneel) voor meer informatie.

Notitie

Het is het beste om een conversie uit te voeren wanneer er de minste gebruikers zijn, zoals in een weekend, om de impact op uw gebruikers te verminderen.

Als u een bestaand domein wilt converteren naar een domein voor eenmalige aanmelding, volgt u deze stappen.

  1. Open de Microsoft Azure Active Directory-module.

  2. Voer $cred=Get-Credential uit. Wanneer de cmdlet u om referenties vraagt, typt u de referenties van uw cloudservicebeheerdersaccount.

  3. Voer Connect-MsolService –Credential $cred uit. Met deze cmdlet maakt u verbinding met Azure AD. Het maken van een context waarmee u verbinding maakt met Azure AD is vereist voordat u een van de extra cmdlets uitvoert die door het hulpprogramma zijn geïnstalleerd.

  4. Uitvoeren Set-MsolAdfscontext -Computer <AD FS primary server>, waarbij <de primaire AD FS-server> de interne FQDN-naam van de primaire AD FS-server is. Met deze cmdlet maakt u een context die u verbindt met AD FS.

    Notitie

    Als u de Microsoft Azure Active Directory module op de primaire AD FS-server hebt geïnstalleerd, hoeft u deze cmdlet niet uit te voeren.

  5. Uitvoeren Convert-MsolDomainToFederated –DomainName <domain>, waarbij <het domein> het domein is dat moet worden geconverteerd. Met deze cmdlet wordt het domein gewijzigd van standaardverificatie in eenmalige aanmelding.

Notitie

Als u wilt controleren of de conversie heeft gewerkt, vergelijkt u de instellingen op de AD FS-server en in Azure AD door uit te voerenGet-MsolFederationProperty –DomainName <domain>, waarbij <domein het domein> is waarvoor u instellingen wilt weergeven. Als ze niet overeenkomen, kunt u de instellingen synchroniseren Update-MsolFederatedDomain –DomainName <domain> .

Volgende stap

Nu u een vertrouwensrelatie tussen AD FS en Azure AD hebt ingesteld, moet u Active Directory-synchronisatie instellen. Zie roadmap voor adreslijstsynchronisatie voor meer informatie. Nadat u Active Directory-synchronisatie hebt ingesteld, raadpleegt u Eenmalige aanmelding verifiëren en beheren met AD FS.

Zie ook

Concepten

Controlelijst: AD FS gebruiken voor het implementeren en beheren van eenmalige aanmelding
Roadmap voor eenmalige aanmelding