UVOD
U ovom se članku raspravlja o otklanjanju poteškoća prilikom postavljanja jedinstvenog prijave u servisu Microsoft Cloud, kao što su Office 365, Microsoft Intune ili Microsoft Azure. detaljna smjernica provedbe za jedinstvenu prijavu (SSO) dostupna je u dokumentaciji pomoći za Azure Active Directory (Azure AD). Ako naiđete na problem kada postavite SSO pomoću tog usmjerenja, možete se odnositi na ovaj članak. Sadrži putokaz za otklanjanje poteškoća s uobičajenim problemima sa svakim korakom postavljanja.
POSTUPAK
Otklanjanje poteškoća s postavljanjem SSO-a
Prvi korak: priprema aktivnog direktorija
Upute za postavljanje
Otvorite sljedeće Microsoftovo web-mjesto:
Provjera valjanosti za prvi korak
Da biste pregledali Active Directory za probleme koji bi mogli uzrokovati probleme s sinkronizacijom direktorija, upotrijebite Čarobnjak za dijagnostiku postavljanja sinkronizacije direktorija.
Otklanjanje poteškoća s potvrdnošću za prvi korak
-
Napomena Neispravna priprema aktivnog direktorija ili neuspjeh rješavanja problema koje identificira alat može rezultirati problemom sinkronizacije direktorija. Slijedite upute za otklanjanje poteškoća koje nudi čarobnjak za dijagnostiku postavljanja sinkronizacije direktorija radi ispravljanja problema i provjerite izvodi li se čarobnjak za dijagnostiku bez ikakvih pogrešaka. Time se sprječava naknadno pojavljivanje sljedećih problema u provedbi:
-
2392130 Otklanjanje poteškoća s korisničkim imenima koje se javljaju za udruženu korisnike kada se prijave u Office 365, Azure ili Intune
-
2001616 Adresa e-pošte korisnika sustava Office 365 neočekivano sadrži znak podznaka nakon sinkronizacije direktorija
-
2643629 Jedan ili više objekata ne sinkroniziraju se prilikom korištenja alata za sinkronizaciju servisa Azure Active Directory
-
-
Ponovno pokrenite čarobnjak za dijagnostiku da biste provjerili je li problem riješen.
Drugi korak: arhitektura Active Directory Federation Services (AD FS)
Upute za postavljanje Otvorite sljedeća Microsoftova web-mjesta: Notes Microsoftova podrška neće pomoći korisnicima pri izvršavanju uputa za postavljanje u ovim vezama.
Treći korak: modul Azure Active Directory za Windows PowerShell za SSO
Upute za postavljanje
Otvorite sljedeće Microsoftovo web-mjesto:
Instalacija komponente Windows PowerShell za jedinstvenu prijavu uz AD FS
Provjera valjanosti trećeg koraka
Da biste potvrdili modul Azure Active Directory za Windows PowerShell za SSO, slijedite ove korake:
-
Pokrenite modul Azure Active Directory za Windows PowerShell kao administrator.
-
Upišite sljedeće naredbe i obavezno pritisnite ENTER nakon upisa svake naredbe:
-
$cred=Get-Credential Notes Kada se to od vas zatraži, upišite vjerodajnice administratora usluge u oblaku.
-
Connect-MsolService -Credential $cred
NapomenaOva naredba povezuje vas sa servisom Azure AD. Morate stvoriti kontekst koji će vas povezati sa servisom Azure AD prije nego što pokrenete neki od dodatnih cmdleta instaliranih u modulu Azure Active Directory za Windows PowerShell.
-
Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >
Napomene
-
Ako ste instalirali modul Azure Active Directory za Windows PowerShell na primarnom poslužitelju servisa Active Directory Federation Services (AD FS), ne morate pokrenuti ovaj cmdlet.
-
U ovoj naredbi rezervirano mjesto <servisa ad fs 2,0 za primarne poslužitelje> predstavlja interni potpuno kvalificirani naziv domene (FQDN) primarnog poslužitelja AD FS. Ova naredba stvara kontekst koji vas povezuje s AD FS-om.
-
-
Get-MSOLFederationProperty -DomainName < federated domain name >
Napomena U ovoj naredbi rezervirano mjesto <naziv domene> predstavlja naziv domene koji je bio udruđen u koracima postavljanja.
-
-
Usporedite prvu polovicu (Izvor: AD FS Server) i Posljednja polovica (Izvor: Microsoft Office 365) izlaza iz naredbe Dohvati-msolfederationproperty koju ste pokrenuli u 2D koraku. Svi će se unosi, osim izvorišnog i Federationservicedisplayname , morati podudarati. Ako se ne podudaraju, upotrijebite odjeljak "rezolucija" u sljedećem članku iz Microsoftove baze znanja da biste ažurirali podatke o povjerenju za stranačke značajke:2647020 "Žao nam je, ali imamo problema s prijavom" i "80041317" ili "80043431" kada se udruženim korisnicima pokuša prijaviti u Office 365, Azure ili Intune.
Otklanjanje poteškoća s potvrdnošću za treći korakDa biste otklonili poteškoće, slijedite ove korake:
-
Otklanjanje poteškoća s uobičajenim problemima provjere valjanosti pomoću sljedećih članaka iz Microsoftove baze znanja, kao što je prikladno za vašu situaciju:
-
2461873 Ne možete otvoriti modul Azure Active Directory za Windows PowerShell
-
2494043Ne možete se povezati pomoću modula Azure Active Directory za Windows PowerShell
-
2587730 "veza na <servername> Office Active Directory Federation Services 2,0 nije uspjelo" kada koristite cmdlet Set-MsolADFSContext
-
2279117 Administrator ne može dodati domenu na račun sustava Office 365
-
Pogreška prilikom pokretanja cmdleta New-MsolFederatedDomain po drugi put jer Provjera domene ne uspijeva. Dodatne informacije o ovom scenariju potražite u sljedećem članku iz baze znanja:
2515404 Rješavanje problema s potvrdom domene u sustavu Office 365
-
2618887 "identifikator servisa za Federaciju naveden u APLIKACIJI AD FS 2,0 poslužitelj već se koristi." pogreška prilikom pokušaja postavljanja druge vanjske domene u sustavu Office 365, Azure ili Intune
-
Problemi s vremenom uzrokuju probleme s cmdletu New-MSOLFederatedDomain ili cmdlet Convert-MSOLDomainToFederated . Dodatne informacije o ovom scenariju potražite u sljedećem članku iz baze znanja:
2578667 "Žao nam je, ali imamo problema s prijavom" i "80045C06" kada se udruženim korisnicima pokuša prijaviti u Office 365, Azure ili Intune.
-
-
Ponovite korake provjere valjanosti da biste provjerili je li problem riješen.
Četvrti korak: implementacija sinkronizacije servisa Active Directory
Upute za postavljanje
Otvorite sljedeća Microsoftova web-mjesta:
Provjera valjanosti na četvrtom koraku
Da biste provjerili valjanost, slijedite ove korake:
-
Pokrenite modul Azure Active Directory za Windows PowerShell kao administrator.
-
Upišite sljedeće naredbe. Nakon upisa svake naredbe obavezno pritisnite ENTER.
-
$cred=Get-Credential Notes Kada se to od vas zatraži, upišite vjerodajnice administratora usluge u oblaku.
-
Connect-MsolService -Credential $cred Notes Ova naredba povezuje vas sa servisom Azure AD. Morate stvoriti kontekst koji će vas povezati sa servisom Azure AD prije nego što pokrenete neki od dodatnih cmdleta instaliranih u modulu Azure Active Directory za Windows PowerShell.
-
Get-MSOLCompanyInformation
-
-
Provjerite vrijednostvremena lastdirsynciz izlaza prethodnih naredbi i provjerite prikazuje li se sinkronizacija nakon instalacije alata za sinkronizaciju servisa Azure Active Directory.Napomena Oznaka datuma i vremena za tu vrijednost prikazuje se u usklađenom univerzalnom vremenu (vrijeme za Greenwich Mean Time).
-
Ako se Lastdirsynctime ne ažurira, pratite zapisnik aplikacija na poslužitelju na kojem je instaliran alat za sinkronizaciju servisa Azure Active Directory za sljedeći događaj:
-
Izvor: sinkronizacija direktorija
-
ID događaja: 4
-
Razina: informacije
Ovaj događaj upućuje na to da je sinkronizacija direktorija dovršena na poslužitelju. Kada se to dogodi, ponovite ove korake da biste bili sigurni da je vrijednost Lastdirsynctime ažurirana na odgovarajući način.
-
Otklanjanje poteškoća s potvrdom valjanosti za četvrti korakOtklanjanje poteškoća s uobičajenim problemima provjere valjanosti pomoću sljedećih članaka iz Microsoftove baze znanja, kao što je prikladno za vašu situaciju:
-
2386445 Pogreška prilikom pokretanja alata za sinkronizaciju servisa Azure Active Directory: "Vaša je verzija čarobnjaka za konfiguraciju sinkronizacije sustava Windows Azure Active Directory zastarjela"
-
2310320 Pogreška kada pokušate pokrenuti čarobnjak za konfiguriranje alata za sinkronizaciju servisa Azure Active Directory: "vaše vjerodajnice nije moguće provjeriti autentičnost. Ponovno upišite vjerodajnice i pokušajte ponovno "
-
2508225 "Logon () nije uspjela uz kod pogreške: 1789" nakon unosa vjerodajnica za Enterprise administratore u čarobnjaku za konfiguriranje alata za sinkronizaciju servisa Azure Active Directory
-
2502710 "pojavila se nepoznata pogreška uz pogrešku pomoćnika za prijavu u Microsoft Online Services" kada pokrenete čarobnjak za konfiguriranje dodatka Azure Active Directory za sinkronizaciju
-
2419250 "prilikom pokušaja instalacije alata za sinkronizaciju servisa Azure Active Directory prikazuje se pogreška" računalo mora biti pridruženo domeni "
-
2643629 Jedan ili više objekata ne sinkroniziraju se prilikom korištenja alata za sinkronizaciju servisa Azure Active Directory
-
2641663 Korištenje SMTP podudaranja za usklađivanje lokalnih korisničkih računa sa korisničkim računima u sustavu Office 365 za sinkronizaciju direktorija
-
2492140 Ne možete dodijeliti udruženu domenu korisniku na portalu sustava Office 365
Peti korak: spremnost klijenta za Office 365
Upute za postavljanje
-
Provjerite preduvjete klijenta za Office 365. Dodatne informacije o sistemskim preduvjetima za Office 365 potražite u odjeljku Sistemski preduvjeti za office 365.
-
Pokrenite postavljanje sustava Office 365 za stolna računala na svim klijentskim računalima koja koriste bogate klijentske aplikacije. Bogate klijentske aplikacije obuhvaćaju Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, modul Azure Active Directory za Windows PowerShell. Aplikacije sustava Office za stolna računala i integracije sustava Microsoft SharePoint. Napomena Postavljanje sustava Office 365 za stolno računalo dostupno je na servisu http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Application.
-
Ako se na klijentskim računalima povezanim s domenama, u servisu Windows Internet Explorer, ne očekuje neprimjetan doživljaj, dodajte URL servisa za federacijske servise i domene u lokalnoj intranetskoj zoni. Na primjer, učinite sljedeće:
-
U pregledniku Internet Explorer na izborniku Alati kliknite Internetske mogućnosti.
-
Kliknite karticu Sigurnost , zatim Lokalni intranet, zatim web-mjesta, a potom Napredno.
-
U okvir Dodavanje ovog web-mjesta u zonu upišite https://STS.contoso.com , a zatim kliknite Dodaj.Notes "sts.contoso.com" predstavlja FQDN za servis Federacije AD FS.
Dodatne informacije o ovoj konfiguraciji potražite u sljedećem članku iz Microsoftove baze znanja:
2535227 Udruženi korisnik neočekivano se upita za unos vjerodajnica za račun za rad ili školsko obrazovanje
-
-
Ako klijentska računala povezana s domenom i domenama pristupaju internetskim resursima pomoću proxy poslužitelja koji rješava internetske adrese putem javnih DNS upita (a ne internog, Splita – mozga DNS-a), dodajte URL servisa za Federaciju u AD FS u popis za koji će Internet Explorer zaobići filtriranje proxyja. Slijedi primjer dodavanja URL-a na popis iznimki u pregledniku Internet Explorer:
-
U pregledniku Internet Explorer na izborniku Alati kliknite Internetske mogućnosti.
-
Na kartici veze kliknite Postavke LAN-a, a zatim Napredno.
-
U okvir iznimke unesite vrijednost pomoću potpuno KVALIFICIRANOG DNS naziva naziva krajnje točke servisa AD FS. Na primjer, unesite STS.contoso.com.
-
Provjera valjanosti za peti korak Da biste provjerili valjanost, slijedite ove korake:
-
Provjerite je li instaliran i pokrenut poslužitelj pomoćnika za prijavu u Microsoft Online Services. Da biste to učinili, slijedite ove korake:
-
Kliknite Start, zatim Pokreni, upišite Services. msc, a zatim kliknite u redu.
-
Pronađite unos pomoćnika za prijavu u Microsoft Online Services, a zatim provjerite je li servis pokrenut.
-
Ako servis nije pokrenut, desnom tipkom miša kliknite stavku, a zatim odaberite Start.
-
-
Otvorite web-mjesto servisa AD FS MEX da biste bili sigurni da je krajnja točka dio sigurnosti intranetske zone u pregledniku Internet Explorer. Da biste to učinili, slijedite ove korake:
-
Pokrenite Internet Explorer, a zatim otvorite web-mjesto krajnje točke servisa AD FS. Slijedi primjer web-mjesta krajnje točke servisa:
https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml
-
Provjerite traku stanja pri dnu prozora da biste provjerili je li bezbednosna zona koja je navedena za ovaj URL Lokalni intranet.
-
Šesti korak: konačna provjera valjanosti
Na konfiguriranom klijentskom računalu Testirajte očekivane postavke servisa SSO za provjeru autentičnosti. Da biste to učinili, potvrdite pomoću vanjskog korisničkog računa. Možda ćete htjeti testirati provjeru autentičnosti udruženu korisnika u sljedećim scenarijima:
-
U lokalnoj mreži i Autentificirani lokalnom servisu Active Directory
-
S web-mjesta IP-a neutralan i nije Autentificirani u lokalni Active Directory
Da biste provjerili valjanost, slijedite ove korake:
-
Testirajte provjeru autentičnosti na webu. Da biste to učinili, upotrijebite jedan od sljedećih načina:
-
Prijavite se na portal za servisiranje u oblaku kao združenu korisnika pomoću lokalnih vjerodajnica za Active Directory.
-
Prijavite se u Outlook Web App kao združenu korisnika (pomoću lokalnih vjerodajnica za Active Directory) koja sadrži poštanski sandučić sustava Exchange Online. Na primjer, prijavite se u Outlook Web App na sljedećem URL-u:
https://outlook.com/owa/contoso.comNapomenaU ovom URL-u "contoso.com" predstavlja vanjski naziv domene.
-
Prijavite se u Microsoft SharePoint Online kao združenu korisnika (pomoću lokalnih vjerodajnica za Active Directory) koji imaju pristup zbirci timskog web-mjesta. Prijavite se, primjerice, u SharePoint online na sljedećem URL-u:
http://contoso.sharepoint.comNapomena U ovom URL-u "contoso" predstavlja naziv vaše tvrtke ili ustanove.
-
-
Testirajte obogaćeni klijent ili aktivni zahtjev za provjeru autentičnosti. Da biste to učinili, slijedite ove korake:
-
Konfigurirajte klijentski profil programa Skype za tvrtke online (bivši Lync Online) za udruženim korisničkim računom, a zatim se prijavite na račun pomoću lokalnih vjerodajnica za Active Directory.
-
Prijavite se u modul Azure Active Directory za Windows PowerShell pomoću udruženim korisničkim računom koji sadrži vjerodajnice globalnog administratora putem cmdleta Connect-MSOLService .
-
-
Testirajte osnovnu provjeru autentičnosti u sustavu Exchange Online pomoću Microsoftova analizatora za daljinsko povezivanje. Dodatne informacije o korištenju daljinskog analizatora povezivanja potražite u sljedećem članku iz Microsoftove baze znanja:
2650717 Korištenje analizatora daljinskog povezivanja radi otklanjanja poteškoća sa jedinstvenim prijavom za Office 365, Azure ili Intune
I dalje vam je potrebna pomoć? Idite na web-mjesto Microsoft Community ili forum za Azure Active Directory .