Verificar e gerenciar o logon único

Depois que você verificar que o logon único está concluído, teste os seguintes cenários de logon para garantir que o logon único e a implantação do AD FS 2.0 estejam configurados corretamente. Peça a um grupo de usuários que testem o acesso aos serviços do Office 365 com navegadores e aplicativos avançados, como o Microsoft Office 2010, nestes ambientes:

• Em um computador com domínio associado
  
• Em um computador sem domínio associado dentro da rede corporativa
  
• Em um computador de roaming com domínio associado fora da rede corporativa
  
• Nos diferentes sistemas operacionais que você utiliza na sua empresa
  
• Em um computador doméstico
  
• Em um quiosque da Internet (acesso de teste para o Office 365 somente por meio de um navegador)
  
• Em um smartphone (por exemplo, um smartphone que usa o Microsoft Exchange ActiveSync)
  

Para testar a conectividade de logon único, você pode usar o Microsoft Remote Connectivity Analyzer. Clique na guia Office 365, em Microsoft Single Sign-On e em Next. Siga as etapas exibidas na tela para executar o teste. O analisador valida sua capacidade de fazer logon único no Office 365 com suas credenciais corporativas. Ele também valida algumas configurações básicas dos AD FS 2.0.

Voltar ao início

• Adicionar URLs a sites confiáveis no Internet Explorer
  
• Restringir a entrada de usuários no Office 365
  
• Exibir configurações atuais
  
• Atualizar propriedades de confiança
  
• Recuperar um servidor de AD FS 2.0
  

Depois de adicionar ou converter seus domínios como parte da configuração do logon único, convém adicionar o nome de domínio totalmente qualificado do servidor do AD FS 2.0 à lista de Sites Confiáveis no Internet Explorer. Isso garantirá que os usuários não tenham de fornecer senha ao servidor do AD FS 2.0. Essa alteração deve ser feita no cliente. Você também pode fazer essa alteração para os seus usuários, especificando uma configuração de Política de Grupo que adicionará automaticamente essa URL à lista Sites Confiáveis dos computadores com domínio associado. Para obter mais informações, consulte Configurações de política do Internet Explorer.

O AD FS 2.0 fornece aos administradores a opção de definir regras personalizadas que concederão ou negarão acesso aos usuários. Para logon único, as regras personalizadas devem ser aplicadas à terceira parte confiável do Office 365, que foi criada quando você executou os cmdlets no Windows PowerShell para configurar o logon único.

Para obter mais informações sobre como restringir a entrada de usuários em serviços, consulte Criar uma regra para permitir ou negar usuários com base em uma declaração de entrada. Para obter mais informações sobre a execução de cmdlets para configurar um logon único, consulte Instalar e configurar o Módulo do Microsoft Online Services para Windows PowerShell para logon único.

Se, a qualquer momento, você quiser ver as configurações atuais do servidor do AD FS 2.0 e do Office 365, poderá abrir a Módulo do Microsoft Online Services para Windows PowerShell e executar Connect-MSOLService e Get-MSOLFederationProperty -DomainName <domínio>. Isso permite verificar se as configurações do servidor do AD FS 2.0 são consistentes com as do Office 365. Se as configurações não coincidirem, você poderá executar Update-MsolFederatedDomain -DomainName <domain>. Para obter mais informações, consulte a próxima seção, "Atualizar propriedades de confiança".

Observação:
Se você precisar oferecer suporte a vários domínios de nível superior, como contoso.com e fabrikam.com, você deverá usar a opção SupportMultipleDomain com qualquer cmdlet. Para obter mais informações, consulte Dar suporte a vários domínios de primeiro nível.

Voltar ao início

As propriedades de confiança do logon único do Office 365 deverão ser atualizadas quando:

• A URL for alterada: se você fizer alterações na URL do servidor do AD FS 2.0, deverá atualizar as propriedades de confiança.
  
• O certificado de autenticação de token principal tiver sido alterado: a alteração do certificado de autenticação de token principal dispara a ID do evento 334 ou 335 no Visualizador de Eventos do servidor do AD FS 2.0. É recomendável verificar o Visualizador de Eventos regularmente, pelo menos uma vez por semana.
  Para exibir os eventos do servidor do AD FS 2.0, siga as etapas a seguir.
  
  1. Clique em Iniciar e em Painel de Controle. Na exibição Categoria, clique em Sistema e Segurança, em Ferramentas Administrativas e em Visualizador de Eventos.
     
  2. Para exibir os eventos do AD FS 2.0, no painel esquerdo do Visualizador de Eventos, clique em Logs de Aplicativos e Serviços, clique em AD FS 2.0 e em Administrador.
     
• O certificado de autenticação de tokens principais expira todo ano: por padrão, o AD FS 2.0 gera um novo certificado de autenticação de tokens, que é um certificado autoassinado, 20 dias antes da expiração do certificado todo ano. A substituição do certificado ou a geração de um novo, quando o existente está prestes a expirar, e sua promoção para certificado principal se aplicam somente a certificados autoassinados gerados pelo AD FS 2.0.
  

  Observação:

  É possível configurar quando o AD FS 2.0 gerará o novo certificado de autenticação de token. Quando chegar a hora da substituição do certificado, o AD FS 2.0 gerará um novo certificado com o mesmo nome do que estiver expirando, mas com uma chave privada e uma impressão digital diferentes. Assim que for gerado, o novo certificado permanecerá como certificado secundário por cinco dias antes de ser promovido a principal. Cinco dias é o período padrão, mas isso pode ser configurado.

Cuidado:

O certificado assinado por token é essencial para a estabilidade do Serviço de Federação. Caso seja alterado, será necessário avisar o Union_Std_2nd sobre essa alteração. De outra forma, as solicitações para os serviços do Union_Std_2nd falharão. Para obter mais informações sobre como gerenciar certificados no farm de servidores de federação do AD FS 2.0 e do Office 365, consulte Atualizar propriedades de confiança. Por esse motivo, recomendamos que você baixe e configure a Microsoft Office 365 Federation Metadata Update Automation Installation Tool, que automaticamente monitora e atualiza regularmente os metadados de federação do Office 365 para que as alterações feitas no certificado de assinatura de token no Servidores de Federação do AD FS 2.0 sejam automaticamente replicadas para o Office 365. Para obter informações gerais sobre o gerenciamento de certificados no farm de servidores de federação do AD FS 2.0 e do Office 365, consulte Atualização de propriedades de confiabilidade.

Para atualizar as propriedades de confiança, siga estas etapas.

Observação:
Se você precisar oferecer suporte a vários domínios de nível superior, como contoso.com e fabrikam.com, você deverá usar a opção SupportMultipleDomain com qualquer cmdlet. Para obter mais informações, consulte Dar suporte a vários domínios de primeiro nível.

1. Abra a Módulo do Microsoft Online Services para Windows PowerShell.

2. Execute $cred=Get-Credential. Quando o cmdlet solicitar as credenciais, digite suas credenciais da conta de administração do Office 365.

3. Execute Connect-MsolService -Credential $cred. Esse cmdlet o conecta ao Office 365. O contexto que o conecta ao Office 365 é necessário antes de executar qualquer cmdlet adicional instalado pela ferramenta.

4. Execute Set-MSOLAdfscontext -Computer <servidor primário do AD FS 2.0>, onde <servidor primário do AD FS 2.0> é o nome FQDN do servidor primário dos AD FS 2.0. Esse cmdlet cria um contexto que o conecta aos AD FS 2.0.

   Observação:
   Se você instalou a Microsoft Online Services Module no servidor primário dos AD FS 2.0, não precisará executar o cmdlet.

5. Execute Update-MSOLFederatedDomain -DomainName <domínio>. Esse cmdlet atualiza as configurações dos AD FS 2.0 no Office 365 e configura a relação de confiança entre os dois.

Voltar ao início

Se perder o servidor primário e não puder recuperá-lo, você precisará promover outro servidor para que ele se torne o servidor primário. Para obter mais informações, consulte AD FS 2.0 - Como definir o servidor de federação primário em um farm WID.

Observação:
Se um dos seus servidores de AD FS 2.0 falhar, e se você tiver definido uma configuração de farm de disponibilidade alta, os usuários conseguirão acessar os serviços no Office 365. Se o servidor que falhou for o servidor primário, você não conseguirá fazer alterações na configuração do farm até promover outro servidor para que ele se torne o primário.

Se perder todos os servidores no farm, você deverá reconstruir a confiança com as seguintes etapas.

Observação:

Se for preciso dar suporte a vários domínios de primeiro nível, como contoso.com e fabrikam.com, você deverá usar a opção SupportMultipleDomain com qualquer cmdlet. Ao usar a opção SupportMultipleDomain, normalmente o procedimento deve ser executado em cada domínio. Entretanto, para recuperar o servidor dos AD FS 2.0, você precisará seguir o procedimento apenas uma vez para um de seus domínios. Assim que seu servidor for recuperado, todos os outros domínios de logon único se conectarão ao Office 365. Para obter mais informações, consulte Dar suporte a vários domínios de primeiro nível.

1. Abra a Microsoft Online Services Module.

2. Execute $cred=Get-Credential. Quando o cmdlet solicitar as credenciais, digite suas credenciais da conta de administração do Office 365.

3. Execute Connect-MsolService -Credential $cred. Esse cmdlet o conecta ao Office 365. O contexto que o conecta ao Office 365 é necessário antes de executar qualquer cmdlet adicional instalado pela ferramenta.

4. Execute Set-MSOLAdfscontext -Computer <servidor primário do AD FS 2.0>, onde <servidor primário do AD FS 2.0> é o nome FQDN do servidor primário dos AD FS 2.0. Esse cmdlet cria um contexto que o conecta aos AD FS 2.0.

   Observação:
   Se você instalou a Microsoft Online Services Module no servidor primário dos AD FS 2.0, não precisará executar o cmdlet.

5. Execute Update-MsolFederatedDomain -DomainName <domain>, onde <domain> é o domínio cujas propriedades você deseja atualizar. Esse cmdlet atualiza as propriedades e estabelece a relação de confiança.

6. Execute Get-MsolFederationProperty -DomainName <domain>, onde <domain> é o domínio cujas propriedades você deseja exibir. Assim, você poderá comparar as propriedades do servidor primário dos AD FS 2.0 com as configurações do Office 365 para se certificar de que elas coincidem. Se não coincidirem, execute Update-MsolFederatedDomain -DomainName <domain> novamente para sincronizar as propriedades.