Het configureren van eenmalige aanmelding voor Office 365
ADSelfService Plus ondersteunt op Active Directory (AD) gebaseerde eenmalige aanmelding (single sign-on, SSO) voor Office 365 en alle andere applicaties met ingeschakelde SAML. Bij het inschakelen van SSO voor Office 365 in ADSelfService Plus hoeven gebruikers zich alleen maar aan te melden bij hun Windows-systemen met hun AD-domeinreferenties. Eenmaal aangemeld, hebben gebruikers met één klik veilig toegang tot Office 365 zonder hun gebruikersnaam en wachtwoord opnieuw in te voeren.
ADSelfService Plus ondersteunt zowel door Identity Provider (IdP) als Service Provider (SP) geïnitieerde SSO voor Office 365.
Door IdP geïnitieerde SSO voor Office 365: Gebruikers moeten zich eerst aanmelden bij het self-serviceportaal van ADSelfService Plus en vervolgens op het Office 365-pictogram in het dashboard klikken voor toegang tot Office 365.
Door SP geïnitieerde SSO voor Office 365: Gebruikers hebben toegang tot hun Office 365-domein via een URL of bladwijzer. Ze worden automatisch doorgestuurd naar het ADSelfService Plus-portaal om zich aan te melden. Zodra ze zich hebben aangemeld, worden ze automatisch doorgestuurd en aangemeld op het Office 365-portaal.
Stappen voor configuratie
Voordat u begint
Opmerking:
- SSO kan alleen ingeschakeld wordt voor domeinen die in Azure AD zijn geverifieerd.
- SSO kan niet ingeschakeld worden voor "onmicrosoft.com"-domeinen die door Microsoft zijn gemaakt.
- SSO kan niet worden ingeschakeld voor het standaard domein (het primaire domein waarin gebruikers worden gemaakt). Het kan alleen voor aangepaste domeinen ingesteld worden. Office 365 staat SSO-configuratie niet toe voor standaard domeinen om te zorgen dat beheerders zich kunnen aanmelden bij Office 365, ongeacht problemen met de IdP. Als uw organisatie geen aangepast Office 365-domein heeft, moet u een domein aanschaffen om SSO te kunnen configureren.
- Federatieve domeinen, d.w.z. domeinen waarin SSO is ingeschakeld, kunnen niet worden geconfigureerd voor wachtwoordsynchronisatie.
- Download en installeer ADSelfService Plus, als u dat nog niet heeft gedaan.
- Koppel Office 365 aan lokale AD-gebruikersaccounts op de volgende manier:
- Met Azure AD Connect.
- GUID als sourceAnchor: Als u Azure AD Connect heeft, kunt u dit gebruiken voor het bijwerken van het kenmerk sourceAnchor in Office 365 met de GUID-kenmerkwaarde in AD.
- Een ander uniek AD-kenmerk als sourceAnchor: Als u al een andere kenmerkwaarde heeft toegewezen dan GUID voor het kenmerk sourceAnchor, gebruik dan de optie Account koppelen in ADSelfService Plus om het toe te wijzen aan het overeenkomstige kenmerk in AD.
- Met een GUID van derden naar de conversietool ImmutableID.
- GUID converteren naar ImmutableID: Als u geen Azure AD Connect heeft, kunt u een GUID van derden naar de conversietool ImmutableID downloaden. Gebruik de tool om de GUID-waarde van elke gebruiker om te zetten naar ImmutableID-waarden en deze bij te werken in Office 365.
- De ImmutableID-waarde bijwerken in Office 365: Nadat u de GUID naar ImmutableID heeft geconverteerd, moet u de waarde in Office 365 voor elke gebruiker bijwerken met behulp van de onderstaande PowerShell-opdrachten.
- Opdracht voor het bijwerken van ImmutableID-kenmerk tijdens het maken van nieuwe gebruikers:
$cred = Get-Credential
Connect-MsolService -Credential $cred
New-MsolUser -UserPrincipalName "user01@mycompany.com" -ImmutableId
"<immutable_id>" -DisplayName "user 01" -FirstName "user" -LastName "01"
-LicenseAssignment "<service_pack>" -UsageLocation "<location>" Opmerking: U kunt controleren of de update goed is uitgevoerd met de volgende opdracht: Get-MsolUser -All | select userprincipalname,ImmutableId
- Opdracht voor het bijwerken van ImmutableID-kenmerk voor bestaande gebruikers:
Set-Msoluser -UserPrincipalName "<user_mailID>" -ImmutableID “ <immutable_id> ”
- SSO-instellingen opnieuw configureren of bijwerken.
- Als u al SSO voor Office 365 van een andere identiteitsprovider gebruikt of de SSO-instellingen van ADSelfService Plus wilt bijwerken, moet u eerst SSO uitschakelen in Office 365 en vervolgens het onderstaande stapsgewijze proces volgen. Gebruik voor uitschakelen van SSO in Office 365 onderstaande opdracht met Powershell:
$dom = "mycompany.com"
Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName
$dom
-Authentication Managed
Volg de onderstaande stapsgewijze handleiding voor SSO in Office 365
Uw AD-domein in ADSelfService Plus configureren
Met ADSelfService Plus kunt u tijdens SSO de bestaande AD-referenties van gebruikers gebruiken voor verificatie. U moet dus eerst een AD-domein configureren in ADSelfService Plus om SSO voor Office 365 in te kunnen schakelen.
ADSelfService Plus probeert automatisch alle domeinen toe te voegen die het in uw netwerk kan ontdekken. Ga naar stap 9 als uw domeinen automatisch worden toegevoegd. Volg anders stap 1-8 om ze handmatig toe te voegen.
- Start de ADSelfService Plus-webconsole en meld u aan met beheerdersreferenties.
- Klik op de koppeling Domeininstellingen rechtsboven in de applicatie.
- Nu wordt het scherm Domeingegevens toevoegen weergegeven.
- Voer in het veld Domeinnaam de naam in van het domein dat u wilt toevoegen.
- Klik in het veld Domeincontrollers toevoegen op Zoeken. ADSelfService Plus probeert automatisch de domeincontrollers te vinden die aan het domein zijn gekoppeld.
- Als de domeinen niet automatisch worden ontdekt, voer dan de naam in van de domeincontroller in het daarvoor bestemde veld en klik vervolgens op Toevoegen.
- U kunt de verificatievelden leeg laten als u de functies voor self-service voor eindgebruikers van ADSelfService Plus niet gaat gebruiken.
- Klik terug in het venster Domeingegevens toevoegen op Toevoegen om het toevoegen van het domein in ADSelfService Plus te voltooien.
De SAML-details ophalen van ADSelfService Plus.
- Ga naar Configuratie → Self-service → Wachtwoord synchroniseren/Eenmalige aanmelding.
- Klik op Office 365 in de lijst met applicaties.
- Klik rechtsboven in het scherm op SSO-certificaat downloaden.
- Kopieer van het weergegeven pop-upvenster de URL voor aanmelding en download het SSO-certificaat door te klikken op SSO-certificaat downloaden.
SSO-instellingen configureren in Office 365
- Open PowerShell met beheermachtigingen.
- Voer de volgende opdracht in:
$cred = Get-Credential
- Voer in de pop-up die verschijnt de gebruikersnaam en het wachtwoord van uw Office 365-beheerdersaccount in.
- Maak verbinding met MsolService met de volgende opdracht:
Connect-MsolService -Credential $cred
- Voer de volgende opdracht in voor het verkrijgen van een lijst met uw Office 365-domeinen:
Get-MsolDomain
- Voer het domein in waar u SSO voor wilt inschakelen.
$dom = "mycompany.com"
- Voer de aanmeldings-URL in van Stap 12 voor de opdrachten $url en $uri en de afmeldings-URL voor de opdracht $logouturl.
$url = "<login URL value>"
For example, $url =
"https://selfservice.com:9251/iamapps/ssologin/office365/
1352163ea82348a5152487b2eb05c5adeb4aaf73"
$uri = "<login URL value>"
For example, $uri =
"https://selfservice.com:9251/iamapps/ssologin/office365/
1352163ea82348a5152487b2eb05c5adeb4aaf73"
$logouturl = "<logout URL value>"
For example, $logouturl =
"https://selfservice.com:9251/iamapps/ssologout/office365/
1352163ea82348a5152487b2eb05c5adeb4aaf73"
- Kopieer nu de inhoud van het SSO-certificaatbestand uit stap 12 en geef dit door als de waarde voor de volgende opdracht:
Belangrijk: Bewerk het bestand zodat er geen nieuwe regels zijn voordat u de inhoud in het bestand plakt.
$cert = "MIICqjCCAhOgAwIBAgIJAN..........dTOjFfqqA="
- Voer de volgende opdracht uit voor het inschakelen van SSO in Office 365:
Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
- Test de configuratie met de volgende opdracht:
Get-MSolDomainFederationSettings -DomainName "mycompany.com" | Format-List *
Uw Office 365-configuratie toevoegen in ADSelfService Plus en SSO inschakelen.
- Ga nu naar de pagina Office 365-configuration van ADSelfService Plus.
- Kies Eenmalige aanmelding onder Modules.
- Voer in het veld Domeinnaam de domeinnaam in die u heeft gebruikt in stap 16.
- Geef een passende beschrijving in het veld Beschrijving.
- Klik in het veld Beschikbare beleidsregels op het vak met de vervolgkeuzelijst en selecteer de beleidsregels waarvoor u SSO wilt inschakelen. Het beleid dat u selecteert, bepaalt voor welke gebruikers de SSO-functie is ingeschakeld.
Opmerking: Met ADSelfService Plus kunt u op beleidsregels op basis van OU en groepen maken voor uw AD-domeinen. Ga voor het maken van een beleid naar Configuratie → Self-Service → Beleidsconfiguratie → Nieuw beleid toevoegen. Klik op OU's/groepen selecteren en maak een keuze op basis van uw behoeften. U moet ten minste één functie van self-service selecteren. Klik als laatste op Beleid opslaan.
- 27. Klik op Opslaan.
Nu kunnen gebruikers automatisch aanmelden in hun Office 365-accounts zonder hun gebruikersnaam en wachtwoord opnieuw in te voeren.