各行業的極客:Office 365 SSO:簡化的安裝指南
在 Office 365 內安裝、設定和啟動單一登入是漫長但值得的程序。
Greg Shields
辦公室 365 可能是你最好的朋友。 您可以卸載大量複雜的管理責任。 簽單每月合同,和很多自動管理交流、 SharePoint 和 Lync 的痛苦將成為別人的作業。
然而,許多辦公室 365 球迷得到受阻時他們想要實現其單一登入 (SSO) 能力。 您可以下載 Microsoft 線上服務登錄助手 (MOS SIA),以簡化身份驗證的用戶端應用程式,但它並不是真正的 SSO。 它只是將每個使用者需要這兩個密碼結合起來:一個用於 Active Directory,另一個用於辦公室 365。
成一個鞏固這些兩個密碼,需要執行活動目錄聯邦服務 (ADF),其中可以看起來異常複雜。 看看 Microsoft 線上文檔 ,這樣做的和你可以快速獲取深陷其詳細資訊。 在這種情況下,Microsoft 提供了幾乎太多的資訊。 其結果是,使用 ADFS 辦公室 365 SSO 可能看起來像更多值得的麻煩 — — 但它不是。
如果你躋身混淆使辦公室 365 SSO 的時候,考慮這您簡化的安裝指南。 它不會處理每種情況,但它是一個低複雜度,小型到中型企業 (SMB) 環境的開始。
第 1 步。 準備活動目錄域
辦公室 365 SSO 需要互聯網可解析的功能變數名稱,使用作為尾碼的每個使用者的使用者名。 別擔心,不過,如果您 Active Directory 的功能變數名稱不能滿足這一要求。 大多數人都不要。 您可以為使用者提供份備用的使用者主體名稱 (UPN) 與您自己的任何公共功能變數名稱匹配工作的事情。
讓我們假設您的公共功能變數名稱是 contoso.com,但您的內部防火牆 Active Directory 域是 contoso.local。 您無法解決 contoso.local 通過互聯網伺服器,因此您將無法與辦公室 365 DNS 伺服器。 儘管如此,您可以使用聯邦設置為公開可解析功能變數名稱的每個使用者的 UPN,讓他們作為 username@contoso.com 登錄。
雖然每個使用者的 UPN 可能看上去像一個電子郵件地址,它已與 SMTP 或會話初始化協定無關。 這一變化僅僅是地圖與外部地址辦公室 365 可以理解您的使用者的 Active Directory 帳戶。
啟動活動目錄域和信任關係並查看其頂級節點的屬性。 標題為替代的 UPN 尾碼的框中,輸入您公開可解析的功能變數名稱,然後按一下添加。 然後啟動 Active Directory 使用者和電腦並查看使用者帳戶的屬性。 根據其帳戶選項卡中,現在可以向該公開可解析功能變數名稱設置使用者登錄名。 每個辦公室 365 啟用使用者執行此操作。 他們將使用此作為其辦公室 365 使用者名中一分鐘。
第 2 步。 準備您的伺服器和安裝 ADFS
您可以在網域控制站或另一台伺服器上安裝 ADF。 您首先需要配置幾項先決條件。 以下步驟假定您正在安裝到 Windows Server 2008 R2。
使用伺服器管理員,安裝 IIS 角色和 3.5.1 Microsoft.NET 框架。 然後購買並安裝一個伺服器身份驗證憑證從公共憑證授權單位。 請確保您匹配該證書的主題名稱與伺服器完全限定功能變數名稱。 啟動 IIS 管理器,並將該證書導入到預設的 Web 網站。
下一步, 下載 ADFS 2.0。 接受聯邦伺服器在出現提示時選擇的預設安裝。 安裝程式應自動安裝任何所需的修補程式,但您可能需要安裝 ADFS 2.0 更新彙總套件 2。
安裝和修補 ADFS 後, 啟動 ADFS 2.0 管理從管理工具。 在概述頁中,啟動 ADFS 聯邦伺服器設定精靈。 創建新的聯邦服務在獨立的部署,並驗證它使用匹配一個您已經導入 IIS 預設 Web 網站的 SSL 憑證。 該嚮導還將提示服務帳戶。 It 提供 Active Directory 帳戶的密碼設置為永不過期。
當嚮導結束時,您將看到一條消息,注意到所需的配置不完整,而且您需要添加受信任的依賴方。 您將執行此一分鐘,所以您可以放心地忽略此消息。
通過導航到 HTTPs://<serverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml 在您的 Web 瀏覽器中測試您的安裝。 按一下通過你看到任何證書錯誤。 您要驗證 IIS 成功地服侍的 XML 內容。
第 3 步。 將您的 UPN 域添加到 Office 365
前面的示例中用於內部 Active Directory 域的 contoso.local contoso.com 公開可解析功能變數名稱。 你可以是任何內容。 活動目錄名稱不必與您使用的電子郵件地址的外部域對齊,儘管這樣做可以東西記住使用者更容易。
如果您選擇的公開可解析功能變數名稱已經不連結到辦公室 365,通過這樣做微軟線上服務入口網站。 在管理主控台中按一下域,然後選擇添加域。 該嚮導將提示您輸入的功能變數名稱,然後再給你兩個選項之一來進行身份驗證擁有權。 您需要將一個 TXT 或 MX 記錄添加到承載域的可公開訪問 DNS 伺服器。
它可以任意位置從 15 分鐘到 72 小時更新充分傳播,它可能需要一段時間,然後才能完成驗證過程。 驗證到辦公室 365 申明,你自己會稍後使用您的用戶端進行身份驗證的功能變數名稱。 您不需要在此域功能向聯邦內有任何伺服器。 所有你需要完成這一步是域本身可以從互聯網來解決。
第 4 步。 ADFS 連接與辦公室 365
下一步是讓辦公室 365 知道您打算聯盟使用者身份驗證。 這一進程賦予您內部的 Active Directory 域的使用者,同時讓辦公室 365 只信任您的域身份驗證回應身份驗證。 這就是神奇的聯邦 — — 沒有密碼永遠 ADF 和辦公室 365 之間傳輸。
連接這兩個需要調用幾個 Windows PowerShell 命令。 這些反過來需要安裝微軟線上服務模組和創建一個連接到辦公室 365。 在早些時候的列中,詳細的步驟來完成此"管理辦公室與 Windows PowerShell 365."建立該連接,與運行這兩個 Windows PowerShell 命令。 第一次創建一個將您連接到 ADFS 的上下文。 第二從標準身份驗證域將轉換為 SSO:
Set-MsolAdfscontext -Computer <AD FS server FQDN> Convert-MsolDomainToFederated -DomainName <domain name>
作為其活動的函數,您 ADFS 伺服器會定期自動地產生、 使用和稍後到期權杖簽名的自簽名的證書。 辦公室 365 需要知道這些證書更改時。 通過下載同步他們的活動 Microsoft Office 365 聯邦中繼資料更新自動化安裝工具。 此工具到達作為 Windows PowerShell 腳本會在您 ADFS 伺服器執行。 運行該腳本,並提供其請求活動目錄和辦公室 365 管理認證才能安裝同步。
第 5 步。 同步到辦公室 365 活動目錄的使用者帳戶資訊
雖然聯邦就不必發送活動目錄和辦公室 365 之間的密碼,它仍然需要同步的每個使用者帳戶。 可以執行此同步手動添加 Office 365 使用者每個 Active Directory 使用者帳戶相匹配。
您還可以實現自動化的過程與 Microsoft 目錄同步工具。 此工具會自動複製某些活動目錄的使用者帳戶資訊 — — 包括電話號碼、 位址和通常找到交換全域通訊清單中的資料 — — 辦公室 365 帳戶。 與 ADFS,不同,您不能在 DC 上安裝目錄同步工具也可以將其安裝到您的 ADF 伺服器。
您必須先啟動與一個完全獨立的工具的同步: Microsoft Office 365 部署準備工具。 啟動此工具並導航到 Admin |使用者 |活動目錄同步。 一套和管理活動目錄同步頁,按一下啟動啟動活動目錄同步下。
接下來,你就會安裝和配置目錄同步工具。 在安裝完成後,現在選擇啟動設定精靈。 將要求您提供微軟的線上服務憑據和 Active Directory 具有企業管理員特權的使用者帳戶的憑據。 選擇同步現在在嚮導的最後一頁開始同步中的目錄。
目錄同步發生在預設情況下每三個小時,雖然您可以通過重新運行該嚮導,輸入憑據,再在嚮導的最後一頁現在地選擇同步目錄強制同步。 該工具還提供了 Windows PowerShell Cmdlet,開始-OnlineCoexistenceSync,來完成相同的功能。
第 6 步。 調整互聯網資源管理器設置
辦公室 365 範圍的介面,這兩個和豐富的基於 Web 的用戶端-提供服務。 您可以使用,進一步精簡 SSO 體驗少為人知的訣竅是添加 ADFS 伺服器聯邦服務 URL (通常 HTTPs://<AD FS 伺服器的 fqdn >) 向每個用戶端電腦上互聯網瀏覽器本地 intranet 區域。 群組原則是有用的資源調配這一次設置多台機器。
第 7 步。 啟用使用者、 驗證同步和驗證聯合會
無需額外的配置目錄同步工具會將所有使用者帳戶資訊都複製到 Office 365。 您需要為使用者帳戶分配辦公室 365 許可證,如果他們要使用其服務。 此額外步驟很好,因為它使你有權分配適當的使用許可證。
您還需要驗證目錄同步和測試 SSO 體驗。 若要驗證同步,只是登錄到微軟的線上服務門戶和查看通過幾個使用者帳戶,以查看是否已更新他們的資訊。 驗證聯合會甚至更容易。 Microsoft 已成立網站 ,可以自動驗證是否聯邦配置正確,和可以在出現問題時提供建議。
有時身份驗證問題並不容易追蹤,尤其當您工作在不同的系統之間。 如果您完全手足無措,Microsoft 寫了一個出色故障排除指南 ,可以説明您一系列問題的情況。
辦公室 365 SSO、 簡化的方法
即使這些指示,執行辦公室 365 SSO 都有點冗長。 這一進程不是微不足道的但也不是那麼 Microsoft 文檔所說那樣複雜。 儘管如此,該公司的檔是全面本指南並不是。
ADFS 支援這裡沒有提到的其他功能。 有的基於 Internet 客戶像 SSO 功能。 您可以通過在周邊網路中實現 ADFS 代理這些支援。 您還可以群集多個 ADFS 伺服器一起如果高可用性是一個設計目標工作。 還有各種其他自訂設置可能同步使用者並簡化使用者體驗。 簽出的所有詳細資訊對這些及其他辦公室 365 SSO 體系結構。
.jpg)
Greg Shields, MVP,是在集中技術合作夥伴。獲取更多的盾牌的武聖提示和技巧在 ConcentratedTech.com。