驗證及管理使用 AD FS 的單一登入

  • 發行項

更新日期:2015 年 6 月 25 日

適用于:Azure、Office 365、Power BI、Windows Intune

注意

本主題可能不完全適用於在中國的 Microsoft Azure 使用者。 如需中國 Azure 服務的詳細資訊,請參閱 windowsazure.cn

身為系統管理員,在您驗證和管理單一登入之前, (也稱為身分識別同盟) ,請檢閱資訊並執行 檢查清單:使用 AD FS 實作和管理單一登入中的步驟。

設定單一登入之後,您應該驗證它是否正確運作。 此外,為了讓它保持順利執行,還有許多您可以偶爾執行的管理工作。

您想要做什麼事?

  • 驗證是否已經正確設定單一登入

  • 管理單一登入

驗證是否已經正確設定單一登入

若要確認已正確設定單一登入,您可以執行下列程式,以確認您可以使用公司認證登入雲端服務、測試不同使用案例的單一登入,以及使用 Microsoft 遠端連線分析器。

注意

  • 如果您轉換網域而非新增網域,系統最多可能需要 24 小時才能設定好單一登入。

  • 驗證單一登入之前,您應該完成設定 Active   Directory 同步處理、同步處理您的目錄,以及啟用同步處理的使用者。 如需詳細資訊,請參閱 目錄同步處理藍圖

若要驗證是否已經正確設定單一登入,請完成下列步驟。

  1. 在加入網域的電腦上,使用公司認證所使用的登入名稱,登入您的 Microsoft 雲端服務。

  2. 在密碼方塊內按一下。 如果已設定單一登入,密碼方塊將會著色,您會看到下列訊息:「您現在必須在公司 > 登入 < 」。

  3. 按一下公司中的 < [登入] >連結。

    如果您能夠登入,則表示您已設定好單一登入。

測試不同使用案例的單一登入

確認單一登入已完成之後,請測試下列登入案例,以確保已正確設定單一登入和 AD FS 2.0 部署。 要求使用者群組在下列環境中測試其從瀏覽器存取雲端服務服務以及豐富的用戶端應用程式,例如 Microsoft Office 2010:

  • 加入網域的電腦

  • 公司網路內部未加入網域的電腦

  • 公司網路外部已加入網域的漫遊電腦

  • 您在公司使用的不同作業系統

  • 家用電腦

  • 從網際網路 kiosk (僅透過瀏覽器測試雲端服務的存取)

  • 例如,從智慧型手機 (使用 Microsoft Exchange ActiveSync) 的智慧型手機

使用 Microsoft Remote Connectivity Analyzer

若要測試單一登入連線能力,您可以使用 Microsoft 遠端連線分析器。 依序按一下 [Office 365] 索引標籤、[Microsoft Single Sign-On],然後按 [下一步]。 按照螢幕畫面的提示執行測試。 分析器會驗證使用公司認證登入雲端服務的能力。 它也會驗證一些基本的 AD FS 2.0 組態。

您想要做什麼事?

排程工作以在權杖簽署憑證的變更不再建議時更新 Azure AD

如果您使用 AD FS 2.0 或更新版本,Office 365和 Azure AD 會在憑證到期之前自動更新憑證。  您不需要執行任何手動步驟,或以排程工作的形式執行腳本。  若要這樣做,下列兩個預設 AD FS 組態設定都必須有效:

  1. AD FS 屬性 AutoCertificateRollover 必須設定為 True,表示 AD FS 會在舊權杖到期之前自動產生新的權杖簽署和權杖解密憑證。 如果值為 False,您就會使用自訂憑證設定。  請前往這裡以取得完整的指引。

  2. 您的同盟中繼資料必須可供公用網際網路使用。

管理單一登入

為了保持單一登入順利執行,還有一些您可以執行的其他選擇性或非定期工作。

本節內容

  • 將 URL 新增至 Internet Explorer 中信任的網站

  • 限制使用者登入雲端服務

  • 檢視目前設定

  • 更新信任內容

  • 復原 AD FS 伺服器

  • 自訂本機驗證類型

將 URL 新增至 Internet Explorer 中信任的網站

當您在設定單一登入的程序中新增或轉換網域後,您可以將 AD FS 伺服器的完整網域名稱新增至 Internet Explorer 中的 [信任的網站] 清單。 這將可確保系統不會提示使用者提供 AD FS 伺服器的密碼。 這項變更必須在用戶端進行。 您也可以指定群組原則設定,自動為加入網域的電腦將此 URL 新增至 [信任的網站] 清單,為使用者進行這項變更。 如需詳細資訊,請參閱Internet Explorer 原則設定

限制使用者登入雲端服務

AD FS 可讓管理員選擇定義自訂規則,以授與或拒絕使用者的存取。 針對單一登入,自訂規則應該套用至與雲端服務相關聯的信賴憑證者信任。 當您在 Windows PowerShell 中執行 Cmdlet 來設定單一登入時,即已建立此信任。

如需如何限制使用者登入服務的詳細資訊,請參閱 根據傳入宣告建立允許或拒絕使用者的規則。 如需執行 Cmdlet 以設定單一登入的詳細資訊,請參閱使用 AD FS 安裝單一登入Windows PowerShell

檢視目前設定

如果您想要隨時檢視目前的 AD FS 伺服器和雲端服務設定,您可以開啟Microsoft Azure Active Directory模組以進行Windows PowerShell並執行 Connect-MSOLService ,然後執行 Get-MSOLFederationProperty –DomainName <domain> 。 這可讓您檢查 AD FS 伺服器上的設定是否與雲端服務中的設定一致。 如果設定不一致,您可以執行 Update-MsolFederatedDomain –DomainName <domain>。 如需詳細資訊,請參閱下節<更新信任內容>。

注意

如果您需要支援多個最上層網域 (例如 contoso.com 和 fabrikam.com),在執行任何 Cmdlet 時,您都必須使用 SupportMultipleDomain 參數。 如需詳細資訊,請參閱 支援多個頂層網域

您想要做什麼事?

更新信任內容

您必須在下列情況下更新雲端服務中的單一登入信任屬性:

  • URL 會變更: 如果您變更 AD FS 伺服器的 URL,則必須更新信任屬性。

  • 主要權杖簽署憑證已變更:變更主要權杖簽署憑證會觸發 AD FS 伺服器事件檢視器中的事件識別碼 334 或事件識別碼 335。 建議您定期檢查事件檢視器,至少每星期一次。

    若要檢視 AD FS 伺服器的事件,請遵循下列步驟。

    1. 按一下 [開始],然後按一下 [控制台]。 在 [類別] 檢視中按一下 [系統和安全性],然後按一下 [系統管理工具],再按一下 [事件檢視器]

    2. 若要檢視 AD FS 的事件,請在事件檢視器的左窗格中按一下 [應用程式及服務記錄檔],然後按一下 [AD FS 2.0],再按一下 [管理]

  • 權杖簽署憑證每年到期: 權杖簽署憑證對於同盟服務的穩定性至關重要。 如果變更,Azure AD 必須收到此變更的通知。 否則,對您的雲端服務提出的要求將會失敗。

若要手動更新信任內容,請遵循下列步驟。

注意

如果您需要支援多個最上層網域 (例如 contoso.com 和 fabrikam.com),在執行任何 Cmdlet 時,您都必須使用 SupportMultipleDomain 參數。 如需詳細資訊,請參閱 支援多個頂層網域

  1. 開啟適用於 Windows PowerShell 的 Microsoft Azure Active Directory 模組。

  2. 執行 $cred=Get-Credential。 當此 Cmdlet 提示您輸入認證時,請輸入您的雲端服務系統管理員帳戶認證。

  3. 執行 Connect-MsolService –Credential $cred。 此 Cmdlet 可讓您連線到雲端服務。 在您執行由工具安裝的任何其他 Cmdlet 之前,必須先建立讓您連線到雲端服務的環境。

  4. 執行 Set-MSOLAdfscontext -Computer <AD FS primary server> ,其中 < AD FS 主伺服器 > 是主要 AD FS 伺服器的內部 FQDN 名稱。 此 Cmdlet 會建立讓您連線到 AD FS 的環境。

    注意

    如果您已在主伺服器上安裝 Microsoft Azure Active Directory 模組,則不需要執行此 Cmdlet。

  5. 執行 Update-MSOLFederatedDomain –DomainName <domain>。 此 Cmdlet 會將 AD FS 的設定更新成雲端服務,並設定兩者之間的信任關係。

您想要做什麼事?

復原 AD FS 伺服器

如果失去主要伺服器而且無法復原,您必須將另一部伺服器升級為主要伺服器。 如需詳細資訊,請參閱 AD FS 2.0 - 如何在 WID 伺服器陣列中設定主要同盟伺服器

注意

如果您的其中一部 AD FS 伺服器失敗,而且您已設定高可用性伺服器陣列設定,使用者仍然可以存取雲端服務。 如果故障的伺服器是主要伺服器,在將另一部伺服器升級為主要伺服器之前,您無法執行任何伺服器陣列組態更新。

如果失去伺服器陣列中的所有伺服器,您必須以下列步驟重建信任。

注意

如果您需要支援多個最上層網域 (例如 contoso.com 和 fabrikam.com),在執行任何 Cmdlet 時,您都必須使用 SupportMultipleDomain 參數。 在使用 SupportMultipleDomain 參數時,通常必須在您每個網域上執行此程序。 但若您要復原 AD FS 伺服器,則只須對您其中一個網域執行此程序。 復原伺服器之後,所有其他單一登入網域都會連線到雲端服務。 如需詳細資訊,請參閱 支援多個頂層網域

  1. 開啟 Microsoft Azure Active Directory 模組。

  2. 執行 $cred=Get-Credential。 當指令程式提示您輸入認證時,請輸入雲端服務系統管理員帳戶認證。

  3. 執行 Connect-MsolService –Credential $cred。 此 Cmdlet 可讓您連線到雲端服務。 在您執行由工具安裝的任何其他 Cmdlet 之前,必須先建立讓您連線到雲端服務的環境。

  4. 執行 Set-MSOLAdfscontext -Computer <AD FS primary server> ,其中 < AD FS 主伺服器 > 是主要 AD FS 伺服器的內部 FQDN 名稱。 此 Cmdlet 會建立讓您連線到 AD FS 的環境。

    注意

    如果您已在主要 AD FS 伺服器上安裝 Microsoft Azure Active Directory 模組,則不需要執行此 Cmdlet。

  5. 執行 Update-MsolFederatedDomain –DomainName <domain> ,其中 < domain > 是您要更新屬性的網域。 這個指令程式會更新內容並建立信任關係。

  6. 執行 Get-MsolFederationProperty –DomainName <domain> ,其中 < domain > 是您要檢視屬性的網域。 然後,您可以比較主要 AD FS 伺服器的屬性和雲端服務中的屬性,以確定它們相符。 如果不相符,請重新執行 Update-MsolFederatedDomain –DomainName <domain>,以同步處理內容。

另請參閱

概念

檢查清單:使用 AD FS 實作和管理單一登入
單一登入藍圖