在设置 Azure AD Connect 时,我最初将单点登录方法设置为密码同步。这会将用户密码从本地 AD 同步到云 (O365)。这工作正常,用户可以使用其域密码登录 Office 365 (https://login.microsoftonline.com)。
我们现在正转向 SSO 的第 3 方身份提供商。此 SSO 提供程序不是 ADFS。根据 Microsoft 的文档,我正在尝试将单点登录方法设置为 "Do Not Configure",但现在它是灰色的。如何禁用密码同步以支持与第 3 方身份提供者的联合 SSO?
【问题讨论】:
标签: azure single-sign-on office365
步骤:
您可以尝试通过 PowerShell 禁用密码同步:
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $Local -TargetConnector $Remote -Enable $False
运行此脚本:(只需替换连接器名称)
$adConnector = "fabrikam.com"
$aadConnector = "aaddocteam.onmicrosoft.com - AAD"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
以上步骤具体做了什么:
该命令来自此处所示的强制密码同步脚本 (http://social.technet.microsoft.com/wiki/contents/articles/28433.how-to-use-powershell-to-trigger-a-full-password-sync-in-azure-ad-sync.aspx),该脚本通过将其关闭然后再打开来触发完全密码同步。上面的只是开关指示的“关闭”命令(-Enable $false)
结果:
您会注意到密码同步服务将被禁用,即使它可能/可能不会通过 GUI(Azure AD Connect 向导)指示,但您绝对可以相信一些 PowerShell 命令行开关的输出,这些命令会指示状态下面的验证步骤中给出的密码同步。
验证:
您可以通过以下方式验证密码同步是否完全关闭:
1.检查Get-MsolCompanyInformation命令输出中“PasswordSynchronizationEnabled”的值:
Get-MsolCompanyInformation
2.修改用户密码,然后通过监控事件656来监控“密码同步”是否触发 和 657 在同步的应用程序事件日志中 服务器。
3.您可以尝试如下所示的“心跳脚本”:https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnectsync-implement-password-synchronization 获取密码同步的状态。
【讨论】: