Ověření a správa jednotného přihlašování

Po ověření dokončení jednotného přihlašování je třeba, abyste otestovali následující scénáře přihlášení a zajistili tak správnou konfiguraci jednotného přihlašování a nasazení služby AD FS 2.0. Požádejte skupinu uživatelů, aby otestovali přístup ke službám Office 365 jak z prohlížečů, tak z rozsáhlých klientských aplikací, jako je systém Microsoft Office 2010, a to v následujících prostředích:

• Z počítače připojeného k doméně
  
• Z počítače nepřipojeného k doméně uvnitř podnikové sítě
  
• Z roamingového počítače připojeného k doméně mimo podnikovou síť
  
• Z různých operačních systémů, které ve společnosti používáte
  
• Z domácího počítače
  
• Z internetové kavárny (otestování přístupu ke službám Office 365 pouze prostřednictvím prohlížeče)
  
• Ze smartphonu (například ze smartphonu využívajícího protokol Microsoft Exchange ActiveSync)
  

Chcete-li otestovat připojení pomocí jednotného přihlašování, můžete použít nástroj Microsoft Remote Connectivity Analyzer. Klikněte na kartu Office 365 klikněte na přepínač Microsoft Single Sign-On a potom klikněte na tlačítko Next. Proveďte test podle pokynů na obrazovce. Nástroj pro analýzu ověřuje, zda se můžete přihlásit ke službám Office 365 s podnikovými pověřeními. Také ověřuje určitou základní konfiguraci služby AD FS 2.0.

Zpět nahoru

• Přidat adresy URL k důvěryhodným serverům v aplikaci Internet Explorer
  
• Zakázat uživatelům přihlášení ke službám Office 365
  
• Zobrazit aktuální nastavení
  
• Aktualizovat vlastnosti důvěryhodnosti
  
• Obnovit server služby AD FS 2.0
  

Poté, co v rámci nastavení jednotného přihlašování přidáte nebo převedete své domény, budete pravděpodobně chtít přidat plně kvalifikovaný název domény svého serveru AD FS 2.0 do seznamu důvěryhodných serverů v aplikaci Internet Explorer. Tím zajistíte, že uživatelé nebudou vyzváni k zadání hesla serveru AD FS 2.0. Tuto změnu je třeba provést na klientovi. Tuto změnu můžete pro uživatele provést také zadáním nastavení zásad skupiny, čímž bude tato adresa URL automaticky přidána do seznamu důvěryhodných serverů pro počítače připojené k doméně. Další informace naleznete v tématu Nastavení zásad aplikace Internet Explorer.

Služba AD FS 2.0 poskytuje správcům možnost definovat vlastní pravidla, která uživatelům udělí nebo odepřou přístup. V případě jednotného přihlašování je vlastní pravidla třeba použít na důvěryhodnost předávající strany služeb Office 365. Tuto důvěryhodnost jste vytvořili, když jste při nastavování jednotného přihlašování spustili rutiny Windows PowerShell.

Další informace o způsobu zamezení přihlášení uživatelů ke službám naleznete v tématu Vytvoření pravidla pro povolení nebo odepření uživatelů na základě příchozí deklarace identity. Další informace o spouštění rutin pro nastavení jednotného přihlašování naleznete v tématu Instalace prostředí Windows PowerShell pro jednotné přihlašování.

Budete-li kdykoli chtít zobrazit nastavení aktuálního serveru AD FS 2.0 nebo služeb Office 365, můžete spustit nástroj Modul služeb Microsoft Online Services pro Windows PowerShell a spustit rutinu Set-Connect-MSOLService a pak rutinu Get-MSOLFederationProperty -DomainName <doména>. To vám umožní ověřit, že nastavení na serveru AD FS 2.0 jsou v souladu s nastaveními ve službách Office 365. Pokud se nastavení neshodují, můžete spustit rutinu Update-MsolFederatedDomain -DomainName <doména>. Další informace naleznete v následující části s názvem Aktualizace vlastností důvěryhodnosti.

Poznámka:
Pokud potřebujete zajistit podporu pro více domén nejvyšší úrovně, například contoso.com a fabrikam.com, je nutné pro všechny rutiny používat přepínač SupportMultipleDomain. Další informace naleznete v tématu Podpora více domén nejvyšší úrovně.

Zpět nahoru

Vlastnosti důvěryhodného jednotného přihlašování ve službách Office 365 je nutné aktualizovat v následujících případech:

• Změnila se adresa URL: Pokud provedete změny adresy serveru služeb AD FS 2.0, je nutné aktualizovat vlastnosti důvěryhodnosti.
  
• Změnil se primární podpisový certifikát tokenu: Změna primárního podpisového certifikátu tokenu vyvolá v prohlížeči událostí serveru AD FS 2.0 událost ID 334 nebo událost ID 335. Doporučujeme prohlížeč událostí kontrolovat pravidelně, minimálně jednou za týden.
  Chcete-li zobrazit události serveru AD FS 2.0, postupujte podle následujících kroků.
  
  1. Klikněte na tlačítko Start a poté na položku Ovládací panely. V zobrazení Kategorieklikněte na položku Systém a zabezpečení, položku Nástroje pro správu a poté na položku Prohlížeč událostí.
     
  2. Události serveru AD FS 2.0 zobrazíte kliknutím na položkuProtokoly aplikací a služeb, AD FS 2.0 a pak na položku Správce v levém podokně Prohlížeče událostí.
     
• Platnost podpisového certifikátu tokenu má platnost jeden rok: Ve výchozím nastavení vygeneruje služba AD FS 2.0 nový podpisový certifikát tokenu 20 dní před každoročním vypršením platnosti certifikátu. Tento certifikát je podepsaný svým držitelem (self-signed certificate). Změna certifikátu nebo vygenerování nového certifikátu v případě, že platnost stávajícího certifikátu brzy vyprší, a jeho následné povýšení na primární certifikát platí pouze pro certifikáty podepsané svým držitelem (self-signed certificate) vygenerované službou AD FS 2.0.
  

  Poznámka:

  Dobu, kdy služba AD FS 2.0 vygeneruje nový podpisový certifikát tokenu, můžete konfigurovat. V době změny certifikátu vytvoří služba AD FS 2.0 nový certifikát se stejným názvem jako stávající certifikát avšak s odlišným privátním klíčem a kryptografickým otiskem. Jakmile se nový certifikát vygeneruje, zůstane po dobu pěti dnů sekundárním certifikátem, než bude povýšen na primární certifikát. Pět dnů je výchozí hodnota, kterou však lze konfigurovat.

Upozornění:

Podpisový certifikát tokenu má zásadní význam pro stabilitu služby FS (Federation Service). Dojde-li k jeho změně, tuto změnu je třeba oznámit službám Office 365. V opačném případě se požadavky zaslané službám Office 365 nezdaří. Z tohoto důvodu doporučujeme stáhnout a konfiguraci Nástroje Microsoft Office 365 federace Metadata aktualizace automatizace instalace, který bude automaticky sledovat a aktualizace metadat federace Office 365 pravidelně, aby změny provedené v tokenu podpisový certifikát služby AD FS 2.0 Federation Service automaticky replikovány do Office 365. Obecné informace o správě certifikátů v rámci serverové farmy federace služby AD FS 2.0 a služeb Office 365 naleznete v tématu Aktualizace vlastností důvěryhodnosti.

Vlastnosti důvěryhodnosti konfigurujete níže uvedeným postupem.

Poznámka:
Pokud potřebujete zajistit podporu pro více domén nejvyšší úrovně, například contoso.com a fabrikam.com, je nutné pro všechny rutiny používat přepínač SupportMultipleDomain. Další informace naleznete v tématu Podpora více domén nejvyšší úrovně.

1. Otevřete nástroj Modul služeb Microsoft Online Services pro Windows PowerShell.

2. Spusťte rutinu $cred=Get-Credential. Jakmile vás rutina vyzve k zadání pověření, zadejte pověření správce účtu služeb Office 365.

3. Spusťte rutinu Connect-MsolService -Credential $cred. Tato rutina vás připojí ke službám Office 365. Vytvoření kontextu, který vás připojí ke službám Office 365 je vyžadováno před spuštěním jakýchkoli dodatečných rutin instalovaných nástrojem.

4. Spusťte rutinu Set-MSOLAdfscontext -Computer <primární server AD FS 2.0>, kde <primární server AD FS 2.0> je interním plně kvalifikovaným názvem domény primárního serveru AD FS 2.0. Tato rutina vytvoří kontext, který vás připojí ke službě AD FS 2.0.

   Poznámka:
   Pokud jste instalovali nástroj Microsoft Online Services Module v primárním serveru AD FS 2.0, není nutné spouštět tuto rutinu.

5. Spusťte rutinu Update-MSOLFederatedDomain -DomainName <doména>. Tato rutina aktualizuje nastavení ze služby AD FS 2.0 do služeb Office 365 a konfiguruje vztah důvěryhodnosti mezi těmito dvěma službami.

Zpět nahoru

V případě, že ztratíte primární server a nebudete jej moci obnovit, bude třeba zvýšit úroveň jiného serveru, z něhož se tak stane primární server. Další informace naleznete v tématu Služba AD FS 2.0 – Jak nastavit primární federační server ve farmě WID.

Poznámka:
Pokud u jednoho ze serverů služeb AD FS 2.0 dojde k chybě a vy máte nastavenu konfiguraci farmy s vysokou dostupností, uživatelé budou mít i nadále přístup ke službám Office 365. Selhal-li primární server, nebudete moci provádět žádné aktualizace konfigurace farmy, a to do té doby, než zvýšíte úroveň jiného serveru tak, aby se stal primárním serverem.

Pokud ztratíte všechny servery ve farmě, je nezbytné obnovit důvěryhodnost podle následujících kroků:

Poznámka:

Pokud potřebujete zajistit podporu pro více domén nejvyšší úrovně, například contoso.com a fabrikam.com, je nutné pro všechny rutiny používat přepínač SupportMultipleDomain. Když použijete přepínač SupportMultipleDomain, obvykle je nutné spustit proceduru na každé z vašich domén. K obnovení serveru služby AD FS 2.0 však stačí provést postup jen jednou pro každou z domén. Jakmile je server obnoven, budou všechny ostatní domény jednotného přihlašování připojeny ke službám Office 365. Další informace naleznete v tématu Podpora více domén nejvyšší úrovně.

1. Otevřete nástroj Microsoft Online Services Module.

2. Spusťte rutinu $cred=Get-Credential. Jakmile vás rutina vyzve k zadání pověření, zadejte pověření správce účtu služeb Office 365.

3. Spusťte rutinu Connect-MsolService -Credential $cred. Tato rutina vás připojí ke službám Office 365. Vytvoření kontextu, který vás připojí ke službám Office 365 je vyžadováno před spuštěním jakýchkoli dodatečných rutin instalovaných nástrojem.

4. Spusťte rutinu Set-MSOLAdfscontext -Computer <primární server AD FS 2.0>, kde <primární server AD FS 2.0> je interním plně kvalifikovaným názvem domény primárního serveru AD FS 2.0. Tato rutina vytvoří kontext, který vás připojí ke službě AD FS 2.0.

   Poznámka:
   Pokud jste instalovali nástroj Microsoft Online Services Module v primárním serveru AD FS 2.0, není nutné spouštět tuto rutinu.

5. Spusťte rutinu Update-MsolFederatedDomain -DomainName <doména>, kde <doména> je doména, pro kterou chcete aktualizovat vlastnosti. Tato rutina aktualizuje vlastnosti a vytvoří vztah důvěryhodnosti.

6. Spusťte rutinu Get-MsolFederationProperty -DomainName <doména>, kde <doména> je doménou, pro kterou chcete zobrazit vlastnosti. Pak můžete porovnat vlastnosti z primárního serveru AD FS 2.0 s vlastnostmi služeb Office 365, abyste měli jistotu, že se shodují. Pokud se neshodují, synchronizujte vlastnosti opětovným spuštěním rutiny Update-MsolFederatedDomain -DomainName <doména>.