Как выполнить интеграцию Azure с сторонним поставщиком идентификационной информации для системы единого входа (SSO) в случае нескольких доменов

Question

Как выполнить интеграцию Azure с сторонним поставщиком идентификационной информации для системы единого входа (SSO) в случае нескольких доменов

Я настроил интеграцию Azure с решением стороннего поставщика единого входа IdP с одним из пользовательских доменов Azure (аутентификация федеративного домена). Но это не совсем типичная конфигурация, потому что я не использую для этого локальную AD и не использую AD FS в качестве федерации. Чтобы создать федерацию, я использовал Fortiauthenticator в качестве SAML IdP (с устаревшим LDAP в качестве хранилища удостоверений) и использовал команду **Set-MsolDomainAuthentication** PowerShell для установки параметров федерации (параметры IdP Fortiauthentiocator).

Note : FortiAuthenticator can identify users through a varied range of methods and integrate with third-party LDAP or Active Directory systems

Проблема: но я не могу применить эти параметры IdP с помощью команды Set-MsolDomainAuthentication к другим пользовательским доменам Azure, и это проблема. IssuerUri атрибут должен быть уникальным в соответствии с требованиями Microsoft. На стороне Fortiauthenticator я также не могу добавить дополнительные конфигурации SAML SP, потому что ID объекта SP должен быть уникальным в соответствии с требованиями Fortiauthenticator. Идентификатор объекта SP жестко запрограммирован Microsoft как значение urn:federation: MicrosoftOnline.

Ниже моя команда powershell:

       PS C:\Windows\system32> Get-MsolDomain

Name                         Status   Authentication
----                         ------   --------------
test.onmicrosoft.com         Verified Managed
first.com                    Verified Federated
second.com                   Verified Managed


PS C:\Windows\system32>  $dom = "second.com"
>>  $BrandName = "fortiauthenticator SAML 2.0 IDP"
>>  $LogOnUrl = "https://idp.com/saml-idp/xxxxxxxx/login/"
>>  $LogOffUrl = "https://idp.com/saml-idp/xxxxxxxx/logout/"
>>  $MyURI = "http://idp.com/saml-idp/xxxxxxxx/metadata/"
>>  $MySigningCert = "<IDPCERTIFICATE>"
>>  $Protocol = "SAMLP"
>>  Set-MsolDomainAuthentication `
>>      -DomainName $dom `
>>      -FederationBrandName $BrandName `
>>      -Authentication Federated `
>>      -PassiveLogOnUri $LogOnUrl `
>>      -SigningCertificate $MySigningCert `
>>      -IssuerUri $MyURI `
>>      -LogOffUri $LogOffUrl `
>>      -PreferredAuthenticationProtocol $Protocol
Set-MsolDomainAuthentication : Unable to complete this action. Try again later.
At line:8 char:2
+  Set-MsolDomainAuthentication `
+  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (:) [Set-MsolDomainAuthentication], MicrosoftOnlineException
    + FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.InternalServiceException,Microsoft.Online.Administration.Automation.SetDomainAuthentication

1

azure saml adfs azure-authentication fortigate

Источник

user11062409 07 сен '20 в 14:32

0 ответов

Другие вопросы по тегам azure saml adfs azure-authentication fortigate