Single sign on Office365/Azure广告，G套件作为SAML身份提供程序_Single Sign On_Azure Active Directory_Saml 2.0_Google Apps For Education_Google Workspace

Single sign on Office365/Azure广告，G套件作为SAML身份提供程序

single-sign-on azure-active-directory

Single sign on Office365/Azure广告，G套件作为SAML身份提供程序,single-sign-on,azure-active-directory,saml-2.0,google-apps-for-education,google-workspace,Single Sign On,Azure Active Directory,Saml 2.0,Google Apps For Education,Google Workspace,我正在努力跟随文章域名学校.edu 当我打开一个私人浏览窗口，进入login.microsoftonline.com并在我的域中指定一个用户时，我会被重定向到Google以获取登录和密码。但是，在输入有效凭据后，我被重定向到Microsoft登录页面，并出现错误我犯了一个错误其他技术信息：相关ID:[已编辑，不确定这是否为敏感ID] 时间戳：2017-05-1119:15:31Z AADSTS50107:请求的联合域对象“[id]”不存在此处列出的URL在直接访问时返回404，但[i

我正在努力跟随文章

域名学校.edu

当我打开一个私人浏览窗口，进入login.microsoftonline.com并在我的域中指定一个用户时，我会被重定向到Google以获取登录和密码。但是，在输入有效凭据后，我被重定向到Microsoft登录页面，并出现错误

我犯了一个错误其他技术信息：相关ID:[已编辑，不确定这是否为敏感ID] 时间戳：2017-05-1119:15:31Z AADSTS50107:请求的联合域对象“[id]”不存在

此处列出的URL在直接访问时返回404，但[id]可以直接访问（尽管存在格式错误的SAML请求的错误）。我将idp？idpid=[id]指定为powershell上的LogOnUri，但它似乎没有从该值中提取

我不确定如何从这里开始，除了向Microsoft开罚单（上次我们尝试通过不同方式进行SSO时，他们无法提供帮助，可能是一年前）。

在Office365中创建用户后，需要设置其不可变的IT。它应该匹配他们的谷歌用户主电子邮件地址，也应该是他们的MS用户名

发射Powershell

Import-Module MSOnline
$Msolcred = Get-Credential
Connect-MsolService -Credential $MsolCred
set-msoluser -userprincipalname USERNAME -ImmutableId SAME USERNAME

按照这个过程进行了一些修改

这让它对我有用。ImmutableID是一个问题，通常由AzureAD Connect服务处理，如果您不运行本地AD基础设施，该服务将不存在。

最终，我们有一部分用户需要访问Office365和G Suite。我试图避免为两组用户提供可能不匹配的密码…目前，我们可以告诉这些用户，他们拥有在线“一切”的一组凭据，以及本地网络资源的一组凭据，我们希望保持这种状态。