Azure AD Connect -

时间:2016-08-06 18:58:58

标签: azure single-sign-on office365

当我设置Azure AD Connect时,我最初将单点登录方法设置为密码同步。这会将用户密码从内部部署AD同步到云(O365)。这工作正常,用户可以使用其域密码登录Office 365(https://login.microsoftonline.com)。

我们现在转向第三方身份提供商进行SSO。此SSO提供程序不是ADFS。根据Microsoft的文档,我尝试将单点登录方法设置为"不配置" ,但它现在变灰了。如何禁用密码同步以支持与第三方身份提供商的联合SSO?

enter image description here

1 个答案:

答案 0 :(得分:0)

  

<强>步骤:

您可以尝试通过PowerShell禁用密码同步: 

Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $Local -TargetConnector $Remote -Enable $False

运行此脚本:(只需替换连接器名称)

$adConnector  = "fabrikam.com"
$aadConnector = "aaddocteam.onmicrosoft.com - AAD"

Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c     
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
  

上述步骤的确切做法:

该命令来自强制密码同步脚本,如此处所示(http://social.technet.microsoft.com/wiki/contents/articles/28433.how-to-use-powershell-to-trigger-a-full-password-sync-in-azure-ad-sync.aspx),通过将其关闭然后再打开来触发完全密码同步。上面的那个只是&#34; Off&#34;的命令。由开关指示(-Enable $ false)

  

<强>结果:

您会注意到密码同步服务将被禁用,即使它可能/可能不会通过GUI(Azure AD Connect向导)指示,但您绝对可以信任一些PowerShell命令行开关的输出,这些命令将指示状态密码同步在下面的验证步骤中给出。

  

<强>验证

您可以通过以下方式验证密码同步是否完全关闭:

1.检查&#34; PasswordSynchronizationEnabled&#34;的值在 Get-MsolCompanyInformation 命令的输出中:

Get-MsolCompanyInformation

2.更改用户密码,然后监控&#34;密码同步&#34;通过监控事件656来触发或不触发     和同步的应用程序事件日志中的657     服务器。

3.你可以试试&#34; Heartbeat Script&#34;如下所示:https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnectsync-implement-password-synchronization     获取密码同步的状态。

相关问题
最新问题