驗證及管理使用 AD FS 的單一登入

發佈時間: 2012年6月

適用於: Azure, Office 365, Power BI, Windows Intune

注意

本主題可能不完全適用於在中國的 Microsoft Azure 使用者。如需有關在中國的 Azure 服務詳細資訊,請參閱 windowsazure.cn

身為管理員,在您驗證及管理單一登入 (也稱為身分識別同盟) 之前,請檢閱檢查清單:使用 AD FS 來實作及管理單一登入中的資訊並執行其步驟。

設定單一登入後,您應驗證它可以正常運作。此外,您也可以適時執行幾項管理工作,以確保其執行的流暢性。

您想要做什麼事?

  • 驗證是否已正確地設定單一登入

  • 管理單一登入

驗證是否已正確地設定單一登入

若要驗證單一登入是否正確設定,您可以執行下列程序,確認您可以使用公司認證登入 雲端服務、測試不同使用案例的單一登入以及使用 Microsoft Remote Connectivity Analyzer。

注意

  • 如果您轉換網域 (而非新增網域),設定單一登入可能需要花費 24 小時的時間。

  • 在驗證單一登入之前,您應完成 Active Directory 同步處理的設定、同步處理目錄及啟用已同步的使用者。如需詳細資訊,請參閱目錄同步作業藍圖

若要驗證是否已正確地設定單一登入,請完成以下步驟。

  1. 在加入網域的電腦上,使用公司認證所使用的登入名稱,登入您的 Microsoft 雲端服務。

  2. 按一下密碼方塊內部。如果已設定單一登入,密碼方塊會呈現為暗灰色,且您會看見下列訊息:「您現在必須從<您的公司>登入」。

  3. 請按一下 [從 <您的公司> 登入] 連結。

    如果您可以登入,表示單一登入已設定妥當。

測試不同使用案例的單一登入

在您驗證單一登入已完成後,請測試下列登入案例,以確定單一登入和 AD FS 2.0 部署皆已正確設定。請要求您的使用者群組在下列環境中,從瀏覽器和豐富型用戶端應用程式 (例如 Microsoft Office 2010) 測試他們對 雲端服務 服務的存取:

  • 從加入網域的電腦

  • 從公司網路內未加入網域的電腦

  • 從公司網路外已加入網域的漫遊電腦

  • 從您在公司中使用的不同作業系統

  • 從家用電腦

  • 從網際網路 kiosk (僅透過瀏覽器測試對 雲端服務 的存取)

  • 從智慧型手機 (例如使用 Microsoft Exchange ActiveSync 的智慧型手機)

使用 Microsoft Remote Connectivity Analyzer

若要測試單一登入連線,您可以使用 Microsoft Remote Connectivity Analyzer。依序按一下 [Office 365] 索引標籤、[Microsoft Single Sign-On],然後按 [下一步]。依照畫面上的提示執行測試。分析程式會驗證您以公司認證登入 雲端服務 的能力。此外也會驗證某些基本 AD FS 2.0 組態。

您想要做什麼事?

不再建議您在變更權杖簽署憑證時排程工作來更新 Azure AD

如果您使用 AD FS 2.0 或更新版本,Office 365 和 Azure AD 會自動在憑證到期之前加以更新。您不需要執行任何手動步驟或執行指令碼來做為排程工作。若要讓此功能運作,下列兩個預設 AD FS 組態設定皆必須生效:

  1. AD FS 屬性 AutoCertificateRollover 必須設定為 True,這表示 AD FS 會在舊的權杖簽署和權杖解密憑證到期前自動產生新的。如果值為 False,您使用的是自訂憑證設定。請前往這裡取得完整的指引。

  2. 同盟中繼資料必須可供公用網際網路使用。

管理單一登入

您可以透過其他選用或不定期的工作,保持單一登入順暢的執行性。

本節內容

  • 將 URL 新增至 Internet Explorer 中的信任的網站

  • 限制使用者登入雲端服務

  • 檢視目前的設定

  • 更新信任內容

  • 復原 AD FS 伺服器

  • Customize Local Authentication Type

將 URL 新增至 Internet Explorer 中的信任的網站

當您在設定單一登入的程序中新增或轉換網域後,您可以將 AD FS 伺服器的完整網域名稱新增至 Internet Explorer 中的 [信任的網站] 清單。這將可確保系統不會提示使用者提供 AD FS 伺服器的密碼。此變更必須在用戶端上執行。您也可以指定會自動為已加入網域的電腦將此 URL 新增至 [信任的網站] 清單的群組原則設定,而為您的使用者執行此變更。如需詳細資訊,請參閱 Internet Explorer 設定

限制使用者登入雲端服務

AD FS 可讓管理員選擇定義自訂規則,以授與或拒絕使用者的存取。就單一登入而言,自訂規則應套用至與 雲端服務 相關聯的信賴憑證者信任。此信任是您在 Windows PowerShell 中執行 Cmdlet 以設定單一登入時建立的。

如需關於如何限制使用者登入服務的詳細資訊,請參閱建立根據連入宣告而允許或拒絕使用者的規則。如需關於執行 Cmdlet 以設定單一登入的詳細資訊,請參閱為使用 AD FS 的單一登入安裝 Windows PowerShell

檢視目前的設定

如果您想要檢視目前的 AD FS 伺服器和 雲端服務 設定,您可以開啟 適用於 Windows PowerShell 的 Microsoft Azure Active Directory 模組 並執行 Connect-MSOLService,然後執行 Get-MSOLFederationProperty –DomainName <domain>。這可讓您檢查 AD FS 伺服器上的設定是否與 雲端服務 中的設定一致。如果設定不一致,您可以執行 Update-MsolFederatedDomain –DomainName <domain>。如需詳細資訊,請參閱下一節「更新信任內容」。

注意

如果您需要支援多個最上層網域 (例如 contoso.com 和 fabrikam.com),在執行任何 Cmdlet 時,您都必須使用 SupportMultipleDomain 參數。如需詳細資訊,請參閱支援多個最上層網域

您想要做什麼事?

更新信任內容

在下列情況下,您必須在 雲端服務 中更新單一登入信任內容:

  • URL 變更: 如果您變更了 AD FS 伺服器的 URL,則必須更新信任內容。

  • **主要權杖簽署憑證已變更:**變更主要權杖簽署憑證,會在 AD FS 伺服器的事件檢視器中觸發事件識別碼 334 或事件識別碼 335。建議您定期查看事件檢視器,至少每週一次。

    若要檢視 AD FS 伺服器的事件,請遵循下列步驟。

    1. 按一下 [開始],然後按一下 [控制台]。在 [類別] 檢視中按一下 [系統和安全性],然後按一下 [系統管理工具],再按一下 [事件檢視器]。

    2. 若要檢視 AD FS 的事件,請在事件檢視器的左窗格中按一下 [應用程式及服務記錄檔],然後按一下 [AD FS 2.0],再按一下 [管理]。

  • **權杖簽署憑證的有效期限為一年:**權杖簽署憑證是維持 Federation Service 穩定性的要素。當權杖變更時,Azure AD 需要獲得這項變更的通知。否則,對您的雲端服務提出的要求將會失敗。

若要手動更新信任內容,請遵循下列步驟。

注意

如果您需要支援多個最上層網域 (例如 contoso.com 和 fabrikam.com),在執行任何 Cmdlet 時,您都必須使用 SupportMultipleDomain 參數。如需詳細資訊,請參閱支援多個最上層網域

  1. 開啟 [適用於 Windows PowerShell 的 Microsoft Azure Active Directory 模組]。

  2. 執行 $cred=Get-Credential。當此 Cmdlet 提示您輸入認證時,請輸入您的雲端服務管理員帳戶認證。

  3. 執行 Connect-MsolService –Credential $cred。此 Cmdlet 會將您連接至 雲端服務。執行此工具安裝的任何其他 Cmdlet 之前,一定要先建立可讓您連接至 雲端服務 的環境。

  4. 執行 Set-MSOLAdfscontext -Computer <AD FS primary server>,其中 <AD FS 主要伺服器> 是主要 AD FS 伺服器的內部 FQDN 名稱。此 Cmdlet 會建立讓您連接至 AD FS 的環境。

    注意

    如果您已在主要 Microsoft Azure Active Directory 模組 伺服器上安裝 ,則不需要執行此 Cmdlet。

  5. 執行 Update-MSOLFederatedDomain –DomainName <domain>。此 Cmdlet 會將 AD FS 中的設定更新至 雲端服務 中,並設定兩者之間的信任關係。

您想要做什麼事?

復原 AD FS 伺服器

當您失去主要伺服器而無法加以復原時,您必須將另一部伺服器提升為主要伺服器。如需詳細資訊,請參閱 AD FS 2.0 - 如何在 WID 伺服器陣列中設定主要同盟伺服器

注意

如果您的其中一部 AD FS 伺服器失敗,而您已設定高可用性伺服器陣列組態,使用者仍將可存取 雲端服務。如果失敗的伺服器是主要伺服器,則在您將另一部伺服器提升為主要伺服器之前,您將無法對伺服器陣列組態執行任何更新。

如果您失去伺服器陣列中的所有伺服器,則必須以下列步驟重新建置信任。

注意

如果您需要支援多個最上層網域 (例如 contoso.com 和 fabrikam.com),在執行任何 Cmdlet 時,您都必須使用 SupportMultipleDomain 參數。在使用 SupportMultipleDomain 參數時,通常必須在您每個網域上執行此程序。但若您要復原 AD FS 伺服器,則只須對您其中一個網域執行此程序。伺服器復原後,其餘所有的單一登入網域都將連接到 雲端服務。如需詳細資訊,請參閱支援多個最上層網域

  1. 開啟 [Microsoft Azure Active Directory 模組]。

  2. 執行 $cred=Get-Credential。當 Cmdlet 提示您輸入認證時,請輸入您的雲端服務系統管理員帳戶認證。

  3. 執行 Connect-MsolService –Credential $cred。此 Cmdlet 會將您連接至 雲端服務。執行此工具安裝的任何其他 Cmdlet 之前,一定要先建立可讓您連接至 雲端服務 的環境。

  4. 執行 Set-MSOLAdfscontext -Computer <AD FS primary server>,其中 <AD FS 主要伺服器> 是主要 AD FS 伺服器的內部 FQDN 名稱。此 Cmdlet 會建立讓您連接至 AD FS 的環境。

    注意

    如果您已在主要 AD FS 伺服器上安裝 Microsoft Azure Active Directory 模組,則不需要執行此 Cmdlet。

  5. 執行 Update-MsolFederatedDomain –DomainName <domain>,其中 <domain> 是要更新內容的網域。此 Cmdlet 會更新內容,並建立信任關係。

  6. 執行 Get-MsolFederationProperty –DomainName <domain>,其中 <domain> 是您要檢視其內容的網域。接著,您可以比較主要 AD FS 伺服器的內容與 雲端服務 中的內容,以確定兩者相符。如果不相符,請重新執行 Update-MsolFederatedDomain –DomainName <domain>,以同步處理內容。

另請參閱

概念

檢查清單:使用 AD FS 來實作及管理單一登入
單一登入藍圖