Configurar confiança entre AD FS e Azure AD

  • Artigo

Atualizado em: 25 de junho de 2015

Aplica-se a: Azure, Office 365, Power BI Windows Intune

Cada domínio que você deseja federar deve ser adicionado como um domínio de logon único ou convertido para um domínio de logon único a partir de um domínio padrão. Adicionar ou converter um domínio configura uma relação de confiança entre o AD FS e Microsoft Azure Active Directory (Microsoft Azure AD).

Importante

  • Se você estiver usando um subdomínio (por exemplo, corp.contoso.com) além do domínio de alto nível (por exemplo, contoso.com), você deve adicionar o domínio de alto nível em seu serviço em nuvem antes de adicionar quaisquer subdomínios. Quando o domínio de primeiro nível é configurado para logon único, todos os subdomínios também são configurados automaticamente.

  • Configurar uma relação de confiança é uma operação única e você não precisa executar o módulo Microsoft Azure Active Directory para Windows PowerShell cmdlets novamente se você adicionar mais servidores do AD FS ao farm de servidores.

  • Se você adicionar e verificar um domínio com o módulo Microsoft Azure Active Directory, precisará especificar várias configurações adicionais. Essas configurações são necessárias para que você possa ver os registros DNS que você deve configurar para habilitar seu domínio para funcionar com seu serviço em nuvem.

Se precisar oferecer suporte para vários domínios de alto nível, você deve usar a opção SupportMultipleDomain com todos os cmdlets, assim como os cmdlets usados nos procedimentos “Adicionar um domínio” e “Converter um domínio”.

Por exemplo, para adicionar ambos contoso.com e fabrikam.com como domínios de logon único, você deve seguir o procedimento "Adicionar um domínio" para contoso.com, usando a opção SupportMultipleDomain em cada etapa que possui um cmdlet. Assim, para a etapa 5, você deve usar New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Após concluir todas as etapas no procedimento para contoso.com, repita o procedimento para o domínio fabrikam.com. Na etapa 5, você deve usar New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Para obter mais informações, veja Suporte para vários domínios de nível superior.

Conclua um dos procedimentos a seguir para configurar sua confiança federada com Azure AD, dependendo se você precisa adicionar um novo domínio ou converter um domínio existente.

  • Adicionar um domínio

  • Converter um domínio

Adicionar um domínio

  1. Abra o módulo Microsoft Azure Active Directory.

  2. Execute $cred=Get-Credential. Quando o cmdlet solicitar as credenciais, digite suas credenciais da conta do administrador do serviço de nuvem.

  3. Execute Connect-MsolService –Credential $cred. Esse cmdlet conecta você a Azure AD. A criação de um contexto que conecta você a Azure AD é necessária antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta.

  4. Execute Set-MsolAdfscontext -Computer <AD FS primary server>, em que <o servidor> primário do AD FS é o nome FQDN interno do servidor AD FS primário. Esse cmdlet cria um contexto que conecta você ao AD FS.

    Observação

    Se você instalou o módulo Microsoft Azure Active Directory no servidor AD FS primário, não será necessário executar esse cmdlet.

  5. Executar New-MsolFederatedDomain –DomainName <domain>, onde <o domínio> é o domínio a ser adicionado e habilitado para logon único. Esse cmdlet adiciona um novo domínio de nível superior ou subdomínio que será configurado para autenticação federada.

    Observação

    Assim que tiver utilizado o cmdlet New-MsolFederatedDomain para adicionar a um domínio de nível superior, não poderá utilizar o cmdlet New-MsolDomain para adicionar domínios padrão (não federados).

  6. Usando as informações fornecidas pelos resultados do cmdlet New-MsolFederatedDomain, entre em contato com o registrador do domínio para criar o registro DNS necessário. Isso verifica se você é o proprietário do domínio. Observe que isso pode levar até 15 minutos para se propagar, dependendo do registrador. As alterações podem demorar até 72 horas para serem propagadas no sistema. Para obter mais informações, consulte Verificar um domínio em qualquer registrador de nomes de domínio.

  7. Execute New-MsolFederatedDomain uma segunda vez, especificando o mesmo nome de domínio para finalizar o processo.

Converter um domínio

Quando você converte um domínio existente em um único domínio de logon, cada usuário licenciado se tornará um usuário federado, usando suas credenciais corporativas existentes do Active Directory (nome de usuário e senha) para acessar seus serviços de nuvem. A execução de uma distribuição em etapas de logon único não é possível no momento; no entanto, você pode pilotar o logon único com um conjunto de usuários de produção da floresta do Active Directory de produção. Para obter mais informações, consulte Executar um piloto para testar o logon único antes de configurá-lo (opcional).

Observação

É melhor realizar uma conversão quando houver menos usuários, tal como em um fim de semana, para reduzir o impacto para seus usuários.

Para converter um domínio já existente em um domínio de logon único, siga estas etapas:

  1. Abra o módulo Microsoft Azure Active Directory.

  2. Execute $cred=Get-Credential. Quando o cmdlet solicitar as credenciais, digite suas credenciais da conta do administrador do serviço de nuvem.

  3. Execute Connect-MsolService –Credential $cred. Esse cmdlet conecta você a Azure AD. A criação de um contexto que conecta você a Azure AD é necessária antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta.

  4. Execute Set-MsolAdfscontext -Computer <AD FS primary server>, em que <o servidor> primário do AD FS é o nome FQDN interno do servidor AD FS primário. Esse cmdlet cria um contexto que conecta você ao AD FS.

    Observação

    Se você instalou o módulo Microsoft Azure Active Directory no servidor AD FS primário, não será necessário executar esse cmdlet.

  5. Executar Convert-MsolDomainToFederated –DomainName <domain>, onde <o domínio> é o domínio a ser convertido. Esse cmdlet altera o domínio de autenticação padrão para o logon único.

Observação

Para verificar se a conversão funcionou, compare as configurações no servidor do AD FS e em Azure AD executandoGet-MsolFederationProperty –DomainName <domain>, onde <o domínio> é o domínio para o qual você deseja exibir as configurações. Se elas não corresponderem, você pode executar Update-MsolFederatedDomain –DomainName <domain> para sincronizar as configurações.

Próxima etapa

Agora que você configurou uma verdade entre AD FS e o Azure AD, deve configurar a sincronização do Active Directory. Para obter mais informações, consulte o roteiro de sincronização do diretório. Depois de configurar a sincronização do Active Directory, consulte Verificar e gerenciar o logon único com o AD FS.

Consulte Também

Conceitos

Lista de verificação: usar o AD FS para implementar e gerenciar o logon único
Mapa do logon único