Azure AD Connect: Verwenden Sie einen SAML 2.0-Identitätsanbieter für Single Sign On – Azure – Microsoft Entra (2023)

Dieses Dokument enthält Informationen zur Verwendung eines SAML 2.0-kompatiblen SP-Lite-Profil-basierten Identitätsanbieters als bevorzugten Security Token Service (STS)/Identitätsanbieter. Dieses Szenario ist nützlich, wenn Sie bereits lokal über ein Benutzerverzeichnis und einen Kennwortspeicher verfügen, auf die über SAML 2.0 zugegriffen werden kann. Dieses vorhandene Benutzerverzeichnis kann für die Anmeldung bei Microsoft 365 und anderen durch Azure AD gesicherten Ressourcen verwendet werden. Das SAML 2.0 SP-Lite-Profil basiert auf dem weit verbreiteten föderierten Identitätsstandard Security Assertion Markup Language (SAML), um ein Anmelde- und Attributaustausch-Framework bereitzustellen.

Microsoft unterstützt dieses Anmeldeerlebnis als Integration eines Microsoft-Cloud-Dienstes wie Microsoft 365 mit Ihrem ordnungsgemäß konfigurierten, auf dem SAML 2.0-Profil basierenden IdP. SAML 2.0-Identitätsanbieter sind Produkte von Drittanbietern und daher bietet Microsoft keinen Support für die Bereitstellung, Konfiguration und Best Practices zur Fehlerbehebung in Bezug auf sie. Nach der ordnungsgemäßen Konfiguration kann die Integration mit dem SAML 2.0-Identitätsanbieter mit dem Microsoft Connectivity Analyzer Tool auf ordnungsgemäße Konfiguration getestet werden, was im Folgenden ausführlicher beschrieben wird. Weitere Informationen zu Ihrem profilbasierten SAML 2.0 SP-Lite-Identitätsanbieter erhalten Sie bei der Organisation, die ihn bereitgestellt hat.

Alle anderen Clients sind in diesem Anmeldeszenario bei Ihrem SAML 2.0-Identitätsanbieter nicht verfügbar. Beispielsweise kann sich der Lync 2010-Desktop-Client nicht beim Dienst anmelden, wenn Ihr SAML 2.0-Identitätsanbieter für Single Sign-On konfiguriert ist.

Anforderungen an das Azure AD SAML 2.0-Protokoll

Dieses Dokument enthält detaillierte Anforderungen an das Protokoll und die Nachrichtenformatierung, die Ihr SAML 2.0-Identitätsanbieter implementieren muss, um eine Verbindung mit Azure AD herzustellen und die Anmeldung bei einem oder mehreren Microsoft-Clouddiensten (z. B. Microsoft 365) zu ermöglichen. Die SAML 2.0-Relying Party (SP-STS) für einen Microsoft-Clouddienst, der in diesem Szenario verwendet wird, ist Azure AD.

Es wird empfohlen, sicherzustellen, dass die Ausgabenachrichten Ihres SAML 2.0-Identitätsanbieters den bereitgestellten Beispiel-Traces so ähnlich wie möglich sind. Verwenden Sie nach Möglichkeit auch bestimmte Attributwerte aus den bereitgestellten Azure AD-Metadaten. Sobald Sie mit Ihren Ausgabemeldungen zufrieden sind, können Sie sie wie unten beschrieben mit dem Microsoft Connectivity Analyzer testen.

Die Azure AD-Metadaten können von dieser URL heruntergeladen werden:https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml.Für Kunden in China, die die China-spezifische Instanz von Microsoft 365 verwenden, sollte der folgende Verbundendpunkt verwendet werden:https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml.

Anforderungen an das SAML-Protokoll

In diesem Abschnitt wird detailliert beschrieben, wie die Anforderungs- und Antwortnachrichtenpaare zusammengestellt werden, um Ihnen bei der korrekten Formatierung Ihrer Nachrichten zu helfen.

Azure AD kann für die Zusammenarbeit mit Identitätsanbietern konfiguriert werden, die das SAML 2.0 SP Lite-Profil mit einigen spezifischen Anforderungen verwenden, wie unten aufgeführt. Mithilfe der Beispiel-SAML-Anforderungs- und -Antwortnachrichten sowie automatisierter und manueller Tests können Sie daran arbeiten, Interoperabilität mit Azure AD zu erreichen.

Anforderungen an den Signaturblock

Innerhalb der SAML-Antwortnachricht enthält der Signaturknoten Informationen über die digitale Signatur für die Nachricht selbst. Für den Signaturblock gelten folgende Anforderungen:

1. Der Assertionsknoten selbst muss signiert sein
2. Als DigestMethod muss der RSA-sha1-Algorithmus verwendet werden. Andere digitale Signaturalgorithmen werden nicht akzeptiert.
3. Sie können das XML-Dokument auch signieren.
4. Der Transformationsalgorithmus muss mit den Werten im folgenden Beispiel übereinstimmen:
5. Der SignatureMethod-Algorithmus muss mit dem folgenden Beispiel übereinstimmen:

Unterstützte Bindungen

Bindungen sind die transportbezogenen Kommunikationsparameter, die erforderlich sind. Für die Bindungen gelten folgende Anforderungen

1. HTTPS ist der erforderliche Transport.
2. Azure AD erfordert HTTP POST für die Token-Übermittlung während der Anmeldung.
3. Azure AD verwendet HTTP POST für die Authentifizierungsanforderung an den Identitätsanbieter und REDIRECT für die Abmeldenachricht an den Identitätsanbieter.

Erforderliche Attribute

Diese Tabelle zeigt Anforderungen für bestimmte Attribute in der SAML 2.0-Nachricht.

Beispiel-SAML-Anfrage- und Antwortnachrichten

Für den Anmeldenachrichtenaustausch wird ein Anforderungs- und Antwortnachrichtenpaar angezeigt. Im Folgenden sehen Sie eine Beispielanforderungsnachricht, die von Azure AD an einen Beispiel-SAML 2.0-Identitätsanbieter gesendet wird. Der Beispiel-SAML 2.0-Identitätsanbieter ist Active Directory Federation Services (AD FS), der für die Verwendung des SAML-P-Protokolls konfiguriert ist. Auch mit anderen SAML 2.0-Identitätsanbietern wurden Interoperabilitätstests abgeschlossen.

 urn:federation:MicrosoftOnline  

Im Folgenden finden Sie eine Beispielantwortnachricht, die vom beispielhaften SAML 2.0-kompatiblen Identitätsanbieter an Azure AD/Microsoft 365 gesendet wird.

 http://WS2012R2-0.contoso.com/adfs/services/trust     http://WS2012R2-0.contoso.com/adfs /services/trust     < ds:Reference URI="#_7e3c1bcd-f180-4f78-83e1-7680920793aa">      CBn/5YqbheaJP425c0pHva9PhNY=   TciWMyHW2ZODrh/2xrvp5ggmcHBFEd 9vrp6DYXp +hZWJzmXMmzwmwS8KNRJKy8H7XqBsdELA1Msqi8I3TmWdnoIRfM/ZAyUppo8suMu6Zw+boE32hoQRnX9EWN/f0vH6zA/YKTzrjca6JQ8gAV1ErwvRWDpyMcwdYCiWALv9ScbkAcebOE1s1JctZ 5RBXggdZWrYi72X+I4i6WgyZcIGai/rZ4v2otoWAEHS0y1yh1qT7NDPpl/McDaTGkNU6C+8VfjD78DrUXEcAfKvPgKlKrOMZnD1lCGsViimGY+LSuIdY45MLmyaa5UT4KWph6dA==  < ds: XIuY29tMB4XDTE0MDEyMDE1MTY0MFoXDTE1MDEyMDE1MTY0MFowMzExMC8GA1UEAxMoQURGUyBTaWduaW5nIC0gV1MyMDEyUjItMC5zd2luZm9ybWVyLmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKe +rLVmXy1QwCwZwqgbbp1/+3ZWxd9T/jV0hpLIIWr+LCOHqq8n8beJvlivgLmDJo8f+EITnAxWcsJUvVai/35AhHCUq9tc9sqMp5PWtabAEMb2AU72/QlX/72D2/NbGQq1BWYbqUpgpC Z2nSgvlWDHlCiUo//UGsvfox01kjTFlmqQInsJVfRxF5AcCAwEAATANBgkqhkiG9w0BAQsFAAOCAQEAi8c6C4zaTEc7aQiUgvnGQgCbMZbhUXXLGRpjvFLKaQzkwa9eq7WLJibcSNyGXBa/SfT5wJgsm3TP KgSehGAOTirhcqHheZyvBObAScY7GOT+u9pVYp6raFrc7ez3c+CGHeV/tNvy1hJNs12FYH4X+ZCNFIT9tprieR25NCdi5SWUbPZL0tVzJsHc1y92b2M2FxqRDohxQgJvyJOpcg2mSBzZZIkvDg7g fPSUXHVS1MQs0RHSbwq/XdQocUUhl9/e/YWCbNNxlM84BxFsBUok1dH /gzBySx+Fc8zYi7cOq9yaBT3RLT6cGmFGVYZJW4FyhPZOCLVNsLlnPQcX3dDg9A==          urn:federation:MicrosoftOnline     administrator@contoso.com     urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport    

Konfigurieren Sie Ihren SAML 2.0-kompatiblen Identitätsanbieter

Dieser Abschnitt enthält Richtlinien zum Konfigurieren Ihres SAML 2.0-Identitätsanbieters für die Verbindung mit Azure AD, um den Single-Sign-On-Zugriff auf einen oder mehrere Microsoft-Clouddienste (z. B. Microsoft 365) mithilfe des SAML 2.0-Protokolls zu ermöglichen. Die SAML 2.0-Relying Party für einen Microsoft-Clouddienst, der in diesem Szenario verwendet wird, ist Azure AD.

Ihr SAML 2.0-Identitätsanbieter muss die Informationen über die vertrauende Azure AD-Seite einhalten. Azure AD veröffentlicht Metadaten unterhttps://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml.

Es wird empfohlen, bei der Konfiguration Ihres SAML 2.0-Identitätsanbieters immer die neuesten Azure AD-Metadaten zu importieren.

Fügen Sie Azure AD als vertrauende Partei hinzu

Sie müssen die Kommunikation zwischen Ihrem SAML 2.0-Identitätsanbieter und Azure AD aktivieren. Diese Konfiguration hängt von Ihrem spezifischen Identitätsanbieter ab und Sie sollten die Dokumentation dazu konsultieren. In der Regel legen Sie die ID der vertrauenden Seite auf den gleichen Wert wie die EntityID aus den Azure AD-Metadaten fest.

Installieren Sie Windows PowerShell für die Anmeldung mit dem SAML 2.0-Identitätsanbieter

Nachdem Sie Ihren SAML 2.0-Identitätsanbieter für die Verwendung mit der Azure AD-Anmeldung konfiguriert haben, besteht der nächste Schritt darin, das Azure Active Directory-Modul für Windows PowerShell herunterzuladen und zu installieren. Nach der Installation verwenden Sie diese Cmdlets, um Ihre Azure AD-Domänen als Verbunddomänen zu konfigurieren.

Das Azure Active Directory-Modul für Windows PowerShell ist ein Download für die Verwaltung Ihrer Unternehmensdaten in Azure AD. Dieses Modul installiert eine Reihe von Cmdlets in Windows PowerShell; Sie führen diese Cmdlets aus, um den Single-Sign-On-Zugriff auf Azure AD und damit auf alle Cloud-Dienste einzurichten, die Sie abonniert haben. Anweisungen zum Herunterladen und Installieren der Cmdlets finden Sie unter/ previous-versions/azure/jj151815(v=azure.100)

Richten Sie eine Vertrauensstellung zwischen Ihrem SAML-Identitätsanbieter und Azure AD ein

Bevor Sie den Verbund in einer Azure AD-Domäne konfigurieren, muss eine benutzerdefinierte Domäne konfiguriert werden. Sie können die von Microsoft bereitgestellte Standarddomäne nicht einbinden. Die Standarddomäne von Microsoft endet mit „onmicrosoft.com“. Sie führen eine Reihe von Cmdlets in der Windows PowerShell-Befehlszeilenschnittstelle aus, um Domänen für Single Sign-On hinzuzufügen oder zu konvertieren.

Jede Azure Active Directory-Domäne, die Sie mit Ihrem SAML 2.0-Identitätsanbieter verbinden möchten, muss entweder als Single-Sign-On-Domäne hinzugefügt oder von einer Standarddomäne in eine Single-Sign-On-Domäne umgewandelt werden. Durch das Hinzufügen oder Konvertieren einer Domäne wird eine Vertrauensstellung zwischen Ihrem SAML 2.0-Identitätsanbieter und Azure AD eingerichtet.

Das folgende Verfahren führt Sie durch die Konvertierung einer vorhandenen Standarddomäne in eine Verbunddomäne mithilfe von SAML 2.0 SP-Lite.

Konfigurieren einer Domäne in Ihrem Azure AD-Verzeichnis für den Verbund

1. Stellen Sie als Mandantenadministrator eine Verbindung zu Ihrem Azure AD-Verzeichnis her:

Connect-MsolService

2. Konfigurieren Sie Ihre gewünschte Microsoft 365-Domäne für die Verwendung der Föderation mit SAML 2.0:

$dom = "contoso.com" $BrandName = "Beispiel-SAML 2.0-IDP" $LogOnUrl = "https://WS2012R2-0.contoso.com/passiveLogon" $LogOffUrl = "https://WS2012R2-0.contoso.com /passiveLogOff" $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" $MyURI = "urn:uri:MySamlp2IDP" $MySigningCert = "MIIC7jCCAdagAwIBAgIQRrjsbFPaXIlOG3GTv50fkjANBgkqhkiG9w0BAQsFADAzMTEwLwYDVQQDEyh BREZTIFNpZ25pbmcgLSBXUzIwMTJSMi0wLnN3aW5mb3JtZXIuY29tMB4XDTE0MDEyMDE1MTY0MFoXDT E1MDEyMDE1MTY0MFowMzExMC8GA1UEAxMoQURGUyBTaWduaW5nIC0gV1MyMDEyUjItMC5zd2luZm9yb WVy LmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKe+rLVmXy1QwCwZwqgbbp1/kupQ VcjKuKLitVDbssFyqbDTjP7WRjlVMWAHBI3kgNT7oE362Gf2WMJFf1b0HcrsgLin7daRXpq4Qi6OA57 sw1YFMj3sqyuTP0eZV3S4+ZbDVob6amsZIdIwxaLP9Zfywg2bLsGnVldB0+XKedZwDbCLCVg+ 3ZWxd9 T/jV0hpLIIWr+LCOHqq8n8beJvlivgLmDJo8f+EITnAxWcsJUvVai/35AhHCUq9tc9sqMp5PWtabAEM b2AU72/QlX/72D2/NbGQq1BWYbqUpgpCZ2nSgvlWDHlCiUo//UGsv fox01kjTFlmqQInsJVfRxF5AcC AwEAATANBgkqhkiG9w0BAQsFAAOCAQEAi8c6C4zaTEc7aQiUgvnGQgCbMZbhUXXLGRpjvFLKaQzkwa9 eq7WLJibcSNyGXBa/SfT5wJgsm3TPKgSehGAOTirhcqHheZyvBOb AScY7GOT+u9pVYp6raFrc7ez3c+ CGHeV/tNvy1hJNs12FYH4X+ZCNFIT9tprieR25NCdi5SWUbPZL0tVzJsHc1y92b2M2FxqRDohxQgJvy JOpcg2mSBzZZIkvDg7gfPSUXHVS1MQs0RHSbwq/ XdQocUUhl9/e/YWCbNNxlM84BxFsBUok1dH/gzBy Sx+Fc8zYi7cOq9yaBT3RLT6cGmFGVYZJW4FyhPZOCLVNsLlnPQcX3dDg9A==" $uri = " http://WS2012R2-0.contoso.com/adfs/services/trust" $Protocol = "SAMLP" Set-MsolDomainAuthentication ` -DomainName $dom ` -FederationBrandName $BrandName ` -Authentication Federated ` -PassiveLogOnUri $LogOnUrl ` -ActiveLogOnUri $ ecpUrl ` -SigningCertificate $MySigningCert ` -IssuerUri $MyURI ` -LogOffUri $LogOffUrl ` -PreferredAuthenticationProtocol $Protocol

3. Sie können die Base64-codierte Zeichenfolge des Signaturzertifikats aus Ihrer IDP-Metadatendatei erhalten. Für diesen Standort wurde ein Beispiel bereitgestellt, das je nach Implementierung jedoch geringfügig abweichen kann.

     MIIC5jCCAc6gAwIBAgIQLnaxUPzay6ZJsC8HVv/QfTANBgkqhkiG9w0BAQsFADAvMS0wKwYDVQQDEyRBREZTIFNpZ25pbmcgLSBmcy50ZWNobGFiY2VudHJhbC5vcmcwHh cNMTMxMTA0MTgxMzMyWhcNMTQxMTA0MTgxMzMyWjAvMS0wKwYDVQQDEyRBREZTIFNpZ25pbmcgLSBmcy50ZWNobGFiY2VudHJhbC5vcmcwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCwMdVLTr5Y TSRp+ccbSpuuFeXMfABD9mVCi2wtkRwC30TIyPdORz642MkurdxdPCWjwgJ0HW6TvXwcO9afH3OC5V//wEGDoNcI8PV4enCzTYFe/h//w51uqyv48Fbb3lEXs+aVl8155OAj2sO9IX64OJWKey82 GQWK3g7LfhWWpp17j5bKpSd9DBH5pvrV+Q1ESU3mx71TEOvikHGCZYitEPywNeVMLRKrevdWI3FAhFjcCSO6nWDiMqCqiTDYOURXIcHVYTSof1YotkJ4tG6mP5Kpjzd4VQvnR7Pjb47nhIYG6iZ3mR 1F85Ns9+hBWukQWNN2hcD/uGdPXhpdMVpBAgMBAAEwDQYJKoZIhvcNAQELBQADggEBAK7h7jF7wPzhZ1dPl4e+XMAr8I7TNbhgEU3+oxKyW/IioQbvZVw1mYVCbGq9Rsw4KE06eSMybqHln3w5E eBbLS0MEkApqHY+p68iRpguqa+W7UHKXXQVgPMCpqxMFKonX6VlSQOR64FgpBme2uG+LJ8reTgypEKspQIN0WvtPWmiq4zAwBp08hAacgv868c0MM4WbOYU0rzMIR6Q+ceGVRImlCwZ5b7XKp4mJZ 9hlaRjeuyVrDuzBkzROSurX1OXoci08yJvhbtiBJLf3uPOJHrhjKRwIt2TnzS9ElgFZlJiDIA26Athe73n43CT0af2IG6yC7e6sK4L3NEXJrwwUZk=   

Weitere Informationen zu „Set-MsolDomainAuthentication“ finden Sie unter:/ previous-versions/azure/dn194112(v=azure.100).

Sobald die Föderation konfiguriert wurde, können Sie wieder zu „nicht verbunden“ (oder „verwaltet“) wechseln. Diese Änderung dauert jedoch bis zu zwei Stunden und erfordert die Zuweisung neuer zufälliger Passwörter für die cloudbasierte Anmeldung für jeden Benutzer. In manchen Fällen kann es erforderlich sein, wieder auf „verwaltet“ umzuschalten, um einen Fehler in Ihren Einstellungen zurückzusetzen. Weitere Informationen zur Domainkonvertierung finden Sie unter:/ previous-versions/azure/dn194122(v=azure.100).

Stellen Sie Benutzerprinzipale für Azure AD/Microsoft 365 bereit

Bevor Sie Ihre Benutzer bei Microsoft 365 authentifizieren können, müssen Sie Azure AD mit Benutzerprinzipalen bereitstellen, die der Behauptung im SAML 2.0-Anspruch entsprechen. Wenn diese Benutzerprinzipale Azure AD nicht im Voraus bekannt sind, können sie nicht für die Verbundanmeldung verwendet werden. Für die Bereitstellung von Benutzerprinzipalen kann entweder Azure AD Connect oder Windows PowerShell verwendet werden.

Mit Azure AD Connect können Sie aus dem lokalen Active Directory Prinzipale für Ihre Domänen in Ihrem Azure AD-Verzeichnis bereitstellen. Ausführlichere Informationen finden Sie unterIntegrieren Sie Ihre lokalen Verzeichnisse in Azure Active Directory.

Windows PowerShell kann auch verwendet werden, um das Hinzufügen neuer Benutzer zu Azure AD zu automatisieren und Änderungen aus dem lokalen Verzeichnis zu synchronisieren. Um die Windows PowerShell-Cmdlets verwenden zu können, müssen Sie Folgendes herunterladenAzure Active Directory-Module.

Dieses Verfahren zeigt, wie Sie einen einzelnen Benutzer zu Azure AD hinzufügen.

1. Stellen Sie als Mandantenadministrator eine Verbindung zu Ihrem Azure AD-Verzeichnis her: Connect-MsolService.

2. Erstellen Sie einen neuen Benutzerprinzipal:

   New-MsolUser ` -UserPrincipalName elwoodf1@contoso.com ` -ImmutableId ABCDEFG1234567890 ` -DisplayName "Elwood Folk" ` -FirstName Elwood ` -LastName Folk ` -AlternateEmailAddresses "Elwood.Folk@contoso.com" ` -UsageLocation "US"

Weitere Informationen zum „New-MsolUser“-Checkout finden Sie unter/ previous-versions/azure/dn194096(v=azure.100)

Überprüfen Sie die einmalige Anmeldung mit Ihrem SAML 2.0-IDP

Bevor Sie als Administrator Single Sign-On (auch Identitätsföderation genannt) überprüfen und verwalten, überprüfen Sie die Informationen und führen Sie die Schritte in den folgenden Artikeln aus, um Single Sign-On mit Ihrem SAML 2.0 SP-Lite-basierten Identitätsanbieter einzurichten:

1. Sie haben die Azure AD SAML 2.0-Protokollanforderungen überprüft
2. Sie haben Ihren SAML 2.0-Identitätsanbieter konfiguriert
3. Installieren Sie Windows PowerShell für Single Sign-On mit dem SAML 2.0-Identitätsanbieter
4. Richten Sie eine Vertrauensstellung zwischen dem SAML 2.0-Identitätsanbieter und Azure AD ein
5. Bereitstellung eines bekannten Testbenutzerprinzipals für Azure Active Directory (Microsoft 365) entweder über Windows PowerShell oder Azure AD Connect.
6. Konfigurieren Sie die Verzeichnissynchronisierung mitAzure AD Connect.

Nachdem Sie Single Sign-On bei Ihrem SAML 2.0 SP-Lite-basierten Identitätsanbieter eingerichtet haben, sollten Sie überprüfen, ob es ordnungsgemäß funktioniert.

Verwenden Sie das Tool, um zu überprüfen, ob Single Sign-On korrekt eingerichtet wurde

Um zu überprüfen, ob Single Sign-On korrekt eingerichtet wurde, können Sie das folgende Verfahren durchführen, um zu bestätigen, dass Sie sich mit Ihren Unternehmensanmeldeinformationen beim Cloud-Dienst anmelden können.

Microsoft hat ein Tool bereitgestellt, mit dem Sie Ihren SAML 2.0-basierten Identitätsanbieter testen können. Bevor Sie das Testtool ausführen, müssen Sie einen Azure AD-Mandanten für die Verbindung mit Ihrem Identitätsanbieter konfiguriert haben.

1. Laden Sie die herunterKonnektivitätsanalysator.

2. Klicken Sie auf „Jetzt installieren“, um mit dem Herunterladen und Installieren des Tools zu beginnen.

3. Wählen Sie „Ich kann keinen Verbund mit Office 365, Azure oder anderen Diensten einrichten, die Azure Active Directory verwenden“.

4. Sobald das Tool heruntergeladen und ausgeführt wird, wird das Fenster „Konnektivitätsdiagnose“ angezeigt. Das Tool führt Sie Schritt für Schritt durch das Testen Ihrer Verbundverbindung.

5. Der Connectivity Analyzer öffnet Ihren SAML 2.0-IDP, damit Sie sich anmelden und die Anmeldeinformationen für den Benutzerprinzipal eingeben können, den Sie testen:

   

6. Im Anmeldefenster für den Verbundtest sollten Sie einen Kontonamen und ein Kennwort für den Azure AD-Mandanten eingeben, der für den Verbund mit Ihrem SAML 2.0-Identitätsanbieter konfiguriert ist. Das Tool versucht, sich mit diesen Anmeldeinformationen anzumelden, und detaillierte Ergebnisse der während des Anmeldeversuchs durchgeführten Tests werden als Ausgabe bereitgestellt.

   

7. In diesem Fenster wird ein fehlgeschlagenes Testergebnis angezeigt. Wenn Sie auf „Detaillierte Ergebnisse überprüfen“ klicken, werden Informationen zu den Ergebnissen für jeden durchgeführten Test angezeigt. Sie können die Ergebnisse auch auf der Festplatte speichern, um sie mit anderen zu teilen.

Überprüfen Sie manuell, ob Single Sign-On korrekt eingerichtet wurde

Die manuelle Überprüfung bietet zusätzliche Schritte, die Sie unternehmen können, um sicherzustellen, dass Ihr SAML 2.0-Identitätsanbieter in vielen Szenarien ordnungsgemäß funktioniert. Um zu überprüfen, ob Single Sign-On ordnungsgemäß eingerichtet wurde, führen Sie die folgenden Schritte aus:

1. Melden Sie sich auf einem in die Domäne eingebundenen Computer bei Ihrem Cloud-Dienst mit demselben Anmeldenamen an, den Sie für Ihre Unternehmensanmeldeinformationen verwenden.
2. Klicken Sie in das Passwortfeld. Wenn Single Sign-On eingerichtet ist, wird das Passwortfeld schattiert und Sie sehen die folgende Meldung: „Sie müssen sich jetzt bei anmelden.“
3. Klicken Sie auf den Link „Anmelden bei “. Wenn Sie sich anmelden können, wurde Single Sign-On eingerichtet.

Nächste Schritte

• Verwaltung und Anpassung von Active Directory Federation Services mit Azure AD Connect
• Kompatibilitätsliste für den Azure AD-Verbund
• Benutzerdefinierte Azure AD Connect-Installation