Microsoft Windows Active Directory

Microsoft Windows Active Directory(廣告)提供了基於身份的訪問控製範圍廣泛的微軟產品。你主人Windows廣告,在Azure租戶或你的前提。與Windows的廣告,您可以驗證第三方外聯網應用,如磚使用Windows Active Directory的聯合服務(廣告FS)。廣告使用SAML 2.0 FS。

本文將展示如何配置廣告FS的身份提供商磚。使用Azure Active Directory駐留在你的Azure租戶對於磚的SSO,明白了微軟Azure活動目錄

請注意

  • 以下指南配置廣告FS集成使用Windows Server 2012 R2 Active Directory 6.3.0.0聯盟服務版本。現有客戶需要支持其beplay体育app下载地址他版本的廣告FS或Azure目錄服務可以聯係幫助@com。如果你是一個新客戶,聯係銷售@com

  • Windows廣告通常使用一個簡短的員工ID或員工的用戶名認證主體,而不是一個電子郵件地址。當用戶登錄數據磚,用戶的工作區目錄自動添加到用戶名創建一個電子郵件地址。例如,用戶名john.doe可能會成為john.doe@example.com

  • 時間同步問題會導致所有廣告FS登錄失效情況。確保廣告FS的時鍾服務器更新。

  • 如果你有困難使廣告FS SSO和您的組織使用多個證書,接觸磚幫助@com(對於現有客戶)或beplay体育app下载地址銷售@com(新客戶)。beplay体育app下载地址

需求

  • 安裝和配置以下Windows服務:

    • Windows域服務器

    • Windows DNS服務

    • Microsoft IIS

    • Windows的廣告

    • Windows AD FS

    在這些服務配置的詳細信息,請參見微軟KB c66c7f4b - 6 - b8f 4 e44 - 8331 - 63 - fa85f858c2

  • 安裝一個簽署了為您的廣告FS登錄頁麵和SSL證書的指紋證書。

  • 驗證所有用戶對象的廣告有一個電子郵件地址屬性。這是需要廣告的用戶映射到用戶數據磚。

  • 在磚,記下SAML URL。

    1. 作為管理員,管理控製台。

    2. 單點登錄

    3. 複製磚SAML的URL

配置廣告FS

配置廣告FS聯合服務

  1. 去廣告FS管理控製台。

    ActiveDirectory聯盟服務管理控製台

  2. 點擊編輯聯盟服務屬性操作欄右邊。

  3. 驗證聯合服務名稱和標識符匹配的DNS條目的環境。下麵的示例不使用一個定製的DNS條目:

    編輯聯盟服務屬性

  4. 磚使用SAML 2.0作為標準的認證機製。驗證你的廣告服務支持SAML 2.0 FS,去廣告FS > >服務端點並確認URL路徑adfs / ls的存在。

    確認/ adls / fs URL路徑

  5. 你第一次配置廣告你的公司內部網之外的FS對客戶端進行身份驗證,您必須啟用內部網表單驗證。

    1. 廣告FS管理應用程序>廣告FS >認證政策>編輯全球認證政策

    2. 選擇內部網表單驗證。

    內部網表單驗證

  6. 查看您的組織的SSO頁麵,去https:// < your-sso-domain >.com/adfs/ls/idpinitiatedsignon

配置信任關係

添加磚作為一個依賴方的信任:

  1. 廣告FS >信任關係>依賴方信托

  2. 按照指示創建一個廣告FS依賴方的信任

  3. 顯示名稱

  4. 如果需要,輸入信息筆記

  5. 點擊下一個

  6. 點擊廣告FS概要

    選擇廣告FS概要

  7. 配置一個廣告FS和磚之間的加密證書。

    配置證書

    1. 配置URL,點擊使支持SAML 2.0 WebSSO協議

    2. 輸入你複製的磚SAML的URL需求

      配置URL

    3. 配置標識符再次,進入磚SAML的URL。

      配置標識符

    4. 點擊添加添加另一個標識符。進入磚工作空間的URL,比如https:// < databricks-instance > .cloud.m.eheci.com

  8. 旁邊配置多因素身份驗證…中,選擇我不想配置…。

    配置多因素身份驗證

  9. 選擇發行授權規則中,選擇允許所有用戶訪問這個依賴方。在測試期間,您可以更新這個設置有選擇地允許活動目錄組或成員訪問磚。

    選擇發行授權規則

    點擊下一個

  10. 檢查配置。

    檢查配置

  11. 離開打開編輯聲稱規則…選中,然後單擊關閉完成添加轉播方的信任。

    完成添加依賴方的信任

    把這個對話框,繼續開放添加變換聲稱規則

添加變換聲稱規則

廣告聲稱規則FS地圖用戶對象在磚的Windows廣告用戶。創建一個聲稱規則映射用戶根據他們的電子郵件地址:

  1. 如果有必要,請點擊傳送方信托並點擊

  2. 在正確的操作欄中,單擊編輯要求規定,然後單擊添加規則

  3. 點擊將LDAP屬性要求

    將LDAP屬性要求

    1. 設置規則名稱即將離任的磚LDAP的郵件

    2. 商店設置屬性活動目錄

    3. 選擇您的公司的電子郵件地址使用的LDAP屬性。默認值是電子郵件地址。它映射到名字標識電子郵件地址:

    配置要求規則名稱

  4. 點擊完成

  5. 點擊添加規則添加另一個規則。

  6. 聲明規則模板變換傳入索賠

    添加規則

    1. 聲明規則名稱傳入的磚LDAP的郵件

    2. 傳入的索賠類型電子郵件地址

    3. 輸入名稱標識格式未指明的

    4. 即將離任的索賠類型名字標識

    5. 即將離任的名稱標識格式電子郵件

  7. 點擊通過所有要求值

    通過所有要求值

  8. 點擊完成

  9. 點擊應用那麼好回到主屏幕。

簽名改為sha - 256

  1. 廣告FS依賴方相信屏幕上,選擇

  2. 點擊屬性在操作欄。

    配置數據磚屬性

  3. 先進的選項卡。

  4. 安全散列算法sha - 256

    設置安全散列算法

複製廣告FS服務證書

  1. 從廣告FS管理控製台廣告FS > >服務證書

  2. 找到Token-signing證書。點擊查看證書在操作欄。查看證書

    1. 單擊細節選項卡。

    2. 點擊複製到文件

    3. 選擇base - 64編碼的x (c)當提示。

    4. 用記事本打開文件或另一個文本編輯器。

    5. 複製文本之間- - - - -開始證書- - - - - -- - - - -端證書- - - - - -

(必需)配置簽名SAML的反應

配置簽名SAML的響應和SAML斷言,使用以下PowerShell命令。如果你依賴方信任不是命名,設置-TargetName相應的行動。

Set-ADFSRelyingPartyTrust -TargetName磚-SamlResponseSignature“MessageAndAssertion”

關於這個需求的更多信息,請參閱驗證SAML響應簽署

配置數據磚

作為一個磚管理員:

  1. 管理控製台

  2. 單點登錄選項卡。

    SSO選項卡

  3. 單點登錄網址https:// < your-sso-domain >.com/adfs/ls/

  4. 實體身份提供商IDhttps:// < your-sso-domain >.com/adfs/services/trust

  5. 粘貼的證書複製廣告FS服務證書證書字段。

  6. 點擊啟用SSO

  7. 可選,點擊允許汽車用戶創建

測試配置

  1. 在一個隱身的瀏覽器窗口中,磚工作區。

  2. 點擊單點登錄。你是重定向到廣告FS。

  3. 輸入您的廣告FS憑證。如果SSO配置正確,你是重定向到磚。

如果測試失敗,審查故障排除