準備進行單一登入
更新日期:2015 年 6 月 25 日
適用于:Azure、Office 365、Power BI、Windows Intune
注意
本主題可能不完全適用於在中國的 Microsoft Azure 使用者。 如需中國 Azure 服務的詳細資訊,請參閱 windowsazure.cn。
為了做好單一登入的準備,請完成以下步驟:
步驟 1:檢閱單一登入的需求
步驟 2:準備 Active Directory
步驟 1:檢閱單一登入的需求
若要實作此 SSO 解決方案,您必須滿足以下需求:
在 Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012或 Windows Server 2012 R2 中部署並執行 Active Directory,其功能等級為混合或原生模式。
如果您計劃將 AD FS 做為 STS,將需要執行以下任一項作業:
在 Windows Server 2008 或 Windows Server 2008 R2 伺服器上下載、安裝及部署 AD FS 2.0。 此外,如果使用者將從公司網路外部連線,您必須部署 AD FS 2.0 Proxy。
將 AD FS 角色服務安裝在 Windows Server 2012 或 Windows Server 2012 R2 伺服器上。
如果您計劃將 Shibboleth Identity Provider 做為 STS,將需要準備可運作的 Shibboleth Identity Provider。
重要
Microsoft 支援此單一登入體驗,以整合 Microsoft 雲端服務,例如Microsoft Intune或Office 365,以及已安裝且可操作的 Shibboleth 識別提供者。 Shibboleth Identity Provider 是第三方產品,因此 Microsoft 不提供與 Shibboleth Identity Provider 相關之部署、設定、疑難排解、最佳作法及問題等項目的支援。 如需 Shibboleth 識別提供者的詳細資訊,請參閱 https://go.microsoft.com/fwlink/?LinkID=256497 。
根據您將設定的 STS 類型,使用適用于 Windows PowerShell 的 Microsoft Azure Active Directory 模組,在內部部署 STS 與 Azure AD 之間建立同盟信任。
安裝 Microsoft 雲端服務訂閱所需的更新,確保使用者執行最新版本的 Windows 7、Windows Vista 或 Windows XP 更新。 若缺少適當版本的作業系統、瀏覽器及軟體,某些功能可能會無法正常運作。 如需詳細資訊,請參閱 附錄 A:檢閱軟體需求。
步驟 2:準備 Active Directory
Active Directory 必須設定特定設定,才能使用單一登入正常運作。 尤其是,您必須以特定方式設定每個使用者的使用者主要名稱 (UPN) (也稱為使用者登入名稱)。
注意
若要準備 Active Directory 環境以進行單一登入,建議您執行 Microsoft 部署整備工具。 此工具會檢查您的 Active Directory 環境,並提供報告,其中包含您是否準備好設定單一登入的相關資訊。 如果尚未準備好,系統會列出為做好單一登入準備所需進行的變更。 例如,系統會檢查您的使用者是否有 UPN,以及那些 UPN 的格式是否正確。
依據每個網域而定,您可能需要執行下列動作:
設定為使用者所知的 UPN。
UPN 網域尾碼必須在選擇設定單一登入的網域之下。
選擇同盟的網域必須向網域註冊機構或在您自己的公用 DNS 伺服器內註冊為公用網域。
若要建立 UPN,請遵循 Active Directory 主題新增 使用者主體名稱尾碼中的指示。 請記住,用於單一登入的 UPN 只能包含字母、數字、句點、虛線和底線。
例如,如果您的 Active Directory 功能變數名稱不是公用網際網路網域 (,它會以 「.local」 尾碼結尾) ,您必須將 UPN 設定為具有可公開註冊之網際網路功能變數名稱下的網域尾碼。 建議您採用使用者熟悉的名稱,例如使用者的電子郵件網域。
如果您已經設定 Active Directory 同步處理,使用者的 UPN 可能與 Active Directory 中定義的使用者內部部署 UPN 不符。 若要修正此問題,請使用 Microsoft Azure Active Directory Module for Windows PowerShell 中的 Set-MsolUserPrincipalName Cmdlet 重新命名使用者的 UPN。