Dieser Artikel wurde maschinell übersetzt.
Meister aller Klassen: Office 365 SSO: Eine vereinfachte Installationsanleitung
Das Installieren, Konfigurieren und Aktivieren von Single Sign-On in Office 365 ist ein langwieriger, aber lohnender Vorgang.
Greg Shields
Office 365 könnte dein bester Freund.Sie können eine Vielzahl von komplexen Verwaltungszuständigkeiten auslagern.Einen monatlichen Vertrag zu unterzeichnen, und viel von den Schmerz der Verwaltung von Exchange, SharePoint und Lync automatisch wird jemand anderem Stelle.
Viele Office-365-Fans bekommen jedoch behindert, wenn sie ihre single-Sign-on (SSO) Funktion implementieren möchten.Sie können herunterladen der Microsoft Online Services Sign-in Assistenten (MOS SIA) straffen Authentifizierung für Clientanwendungen, aber es ist nicht wahr SSO.Es verbindet lediglich die beiden Passwörter, die jeder Benutzer benötigt: eine für Active Directory und eine für Office 365.
Konsolidierung dieser zwei Kennwörter in einer erfordert die Implementierung von Active Directory Federation Services (ADFS), die ungewöhnlich komplex erscheinen können.Werfen Sie einen Blick auf die Microsoft-online-Dokumentation tun, und Sie können schnell in seinen Details stecken erhalten.In diesem Fall hat Microsoft fast zu viele Informationen bereitgestellt.Infolgedessen Office 365 SSO mit ADFS mag mehr Ärger als es Wert ist – aber es ist nicht.
Wenn Sie in den Reihen der der Verwirrung beim Aktivieren von Office 365 SSO sind, halte dies Ihr vereinfachte Installation Guide.Es wird nicht jede Situation anzugehen, aber es ist ein Anfang für Low-Complexity, kleine und mittlere Unternehmen (SMB)-Umgebungen.
Schritt 1.Bereiten Sie Ihre Active Directory-Domäne
Office 365 SSO erfordert einen Internet-auflösbar Domänennamen als das Suffix im Benutzernamen des Benutzers verwenden.Keine Sorge, aber wenn Ihre Active Directory-Domänennamen nicht diese Anforderung erfüllt.Die meisten von ihnen nicht.Sie können Dinge arbeiten, indem Sie den Benutzern ein alternativer Name UPN (User Principal), die Public-Domain-Namen übereinstimmt, die, den Sie selbst, machen.
Nehmen wir an Ihren Public-Domain-Namen "contoso.com", aber Ihre Active Directory-Domäne innerhalb der Firewall ist contoso.local.Contoso.local über Internet-Server kann nicht aufgelöst werden kann, daher Sie nicht in der Lage, mit Office-365-DNS-Servern.Das heißt, Sie Verband verwenden können, legen jedes Benutzers UPN auf eine öffentlich auflösbaren Domänennamen und lassen sie als username@contoso.com einloggen.
Während eine E-mail-Adresse des Benutzers UPN aussehen könnte, hat es nichts zu tun mit SMTP oder Session Initiation Protocol.Diese Änderung ordnet lediglich Ihrer Benutzer Active Directory-Konten mit einer externen Adresse, die Office 365 verstehen kann.
Starten Sie Active Directory-Domänen und -Vertrauensstellungen, und Anzeigen der Eigenschaften der Knoten auf oberster Ebene.Geben Sie im Feld mit dem Titel Alternative Benutzerprinzipalnamen-Suffixe Ihre öffentlich auflösbaren Domänennamen, und klicken Sie auf hinzufügen.Dann starten Sie Active Directory-Benutzer und-Computer und Anzeigen der Eigenschaften eines Benutzerkontos.Unter der Registerkarte Konto können Sie jetzt den Benutzeranmeldenamen auf diesen öffentlich auflösbaren Domänennamen festlegen.Tun Sie dies für jeden Office-365-aktivierten Benutzer.Sie werde dies als ihre Office 365-Benutzernamen in einer Minute verwenden.
Schritt 2.Bereiten Sie Ihre Server und installieren ADFS
ADFS können Sie auf einem Domänencontroller oder einem anderen Server installieren.Sie müssen zunächst einige Voraussetzungen zu konfigurieren.Die folgenden Schritten wird vorausgesetzt, dass Sie auf Windows Server 2008 R2 installieren.
Mit dem Server-Manager installieren Sie die IIS-Rolle und das Microsoft .NET Framework 3.5.1.Dann erwerben Sie und installieren Sie ein Serverauthentifizierungszertifikat von einer öffentlichen Zertifizierungsstelle.Stellen Sie sicher, dass Sie das Zertifikat-Antragstellername mit dem vollqualifizierten Domänennamen des Servers übereinstimmen.Starten Sie den IIS-Manager, und importieren Sie das Zertifikat für die Standardwebsite.
Nächste, ADFS 2.0 herunterladen.Akzeptieren Sie die Installationsvoreinstellungen auswählen Verbundserver Wenn Sie dazu aufgefordert werden.Das Installationsprogramm sollte automatisch alle erforderlichen Hotfixes installieren, obwohl Sie möglicherweise installieren müssen ADFS 2.0 Update Rollup 2.
Starten Sie nach dem Installieren und Patchen von ADFS, ADFS 2.0 Management Verwaltung.Starten Sie auf der Übersichtsseite den ADFS Föderation Server-Konfigurations-Assistenten.Erstellen Sie eine neue Verbunddienst in einer eigenständigen Bereitstellung, und überprüfen Sie das SSL-Zertifikat, dass es Spiele die man verwendet, die Sie in der IIS-Standardwebsite importiert haben.Der Assistent fordert auch für ein Dienstkonto.Stellen Sie es mit einem Active Directory-Benutzerkonto, dessen Kennwort festgelegt ist, nie abläuft.
Nach Abschluss des Assistenten sehen Sie eine Meldung, dass die erforderliche Konfiguration ist unvollständig und Sie müssen eine vertrauenswürdige relying Party hinzufügen.Sie werden dazu in einer Minute, so dass Sie diese Meldung ignorieren können.
Testen Sie die Installation, indem Sie https://<serverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml in Ihrem Webbrowser navigieren.Klicken Sie sich durch alle Zertifikatsfehler, die Sie sehen.Sie sind überprüfen, ob IIS XML Inhalt erfolgreich seinen Dienst tut.
Schritt 3.Fügen Sie Ihre UPN-Domain zu Office 365
Das frühere Beispiel verwendet einen öffentlich auflösbaren Domain-Namen "contoso.com" mit eine interne Active Directory-Domäne von contoso.local.Ihnen kann alles sein.Der Active Directory-Name muss nicht mit der externen Domäne für E-mail-Adressen, verwendete ausrichten, obwohl dabei also es für Benutzer einfacher macht zu merken.
Wenn die öffentlich auflösbaren Domain-Namen Sie wählen bereits mit Office 365 verknüpft ist nicht, tun Sie dies über die Microsoft Online Services-Portal.Klicken Sie auf Domänen in der Admin-Konsole, und wählen Sie dann Hinzufügen einer Domäne.Der Assistent fordert Sie für den Domain-Namen, und dann geben Sie eine von zwei Optionen für die Authentifizierung von Eigentum.Sie müssen die öffentlich zugänglichen DNS-Server der Domäne eine TXT oder MX-Datensatz hinzu.
Es kann überall von 15 Minuten bis 72 Stunden für das Update vollständig propagieren, nehmen, so dass es eine Weile dauern kann, bevor Sie die Gültigkeitsprüfung durchführen können.Validierung versichert zu Office 365, dass Sie den Domain-Namen besitzen, die, den Ihre Kunden später zum Authentifizieren verwenden.Sie brauchen keine Server in dieser Domäne für die Föderation Funktion haben.Alles was Sie brauchen, um diesen Schritt abzuschließen ist die Domain selbst, die Sie aus dem Internet auflösen kann.
Schritt 4.ADFS mit Office 365 verbinden
Der nächste Schritt ist, lassen wissen, dass Sie beabsichtigen, die Benutzerauthentifizierung Föderation für Office-365.Dabei überträgt Ihre interne Active Directory-Domäne mit der Authentifizierung von Benutzern, während der Vermietung Office 365 lediglich Ihre Domain Authentifizierungsantwort Vertrauen.Das ist die Magie der Föderation — keine Passwörter sind immer zwischen ADFS und Office 365 übertragen.
Verbinden diese beiden erfordert ein paar Windows PowerShell-Befehle aufrufen.Dies wiederum erfordert Installation von der Microsoft Online Services-Modul und Herstellen einer Verbindung mit Office 365.Die Schritte hierzu sind detailliert in einem früheren Artikel "Verwalten Office 365 mit Windows PowerShell." Führen Sie mit dieser Verbindung hergestellt wird diese beiden Windows PowerShell-Befehle.Das erste erstellt einen Kontext, der Sie mit ADFS verbindet.Die zweite konvertiert die Domäne von Standardauthentifizierung in SSO:
Set-MsolAdfscontext -Computer <AD FS server FQDN> Convert-MsolDomainToFederated -DomainName <domain name>
Als Funktion ihrer Aktivitäten Ihre ADFS-Server automatisch und regelmäßig zu generieren, verwendet und später ablaufen selbstsigniertes Tokensignaturzertifikate.Office 365 muss wissen, wann diese Zertifikate ändern.Synchronisieren Sie ihre Aktivitäten durch das Herunterladen der Microsoft Office 365 Föderation Metadaten Update Automation Installation Tool.Dieses Tool kommt als ein Windows PowerShell-Skript, das Ihre ADFS-Server ausführen werde.Führen Sie das Skript und bieten Sie ihre angeforderten Active Directory und Office 365 Administratoranmeldeinformationen um Synchronisation zu installieren.
Schritt 5.Synchronisieren von Active-Directory-Benutzer-Konto-Informationen zu Office 365
Während die Föderation die Kennwörter zwischen Active Directory und Office 365 senden entfällt, bedarf es noch synchronisieren die Benutzerkonten der einzelnen.Sie können diese Synchronisierung manuell ausführen, Hinzufügen von Benutzern von Office 365, die jedem Active Directory-Benutzerkonto entsprechen.
Sie können auch automatisieren den Prozess mit der Microsoft Verzeichnissynchronisierungstool.Dieses Tool repliziert automatisch bestimmte Active Directory-Benutzer-Account-Informationen — einschließlich Telefonnummern, Adressen und Daten, die normalerweise in einer globalen Adressliste von Exchange gefunden — Office 365-Konten.Im Gegensatz zu ADFS aber Sie können nicht das Verzeichnissynchronisierungstool auf einem Domänencontroller installieren, noch können Sie es zu Ihrem ADFS-Server installieren.
Sie müssen zuerst die Synchronisation mit einem völlig getrennt-Tool aktivieren: die Microsoft Office 365-Deployment-Systemupdate-Vorbereitungstool.Dieses Tool starten und navigieren Sie zum Admin | Benutzer | Active Directory-Synchronisierung.Am Set up und Verwalten von Active Directory-Synchronisierung-Seite, klicken Sie auf aktivieren unter Aktivieren Sie Active Directory-Synchronisierung.
Als nächstes werde Sie installieren und Konfigurieren des Verzeichnissynchronisierungstools.Wählen Sie jetzt Konfigurations-Assistenten zu starten, nachdem die Installation abgeschlossen ist.Sie werden aufgefordert, die Microsoft Online Services-Anmeldeinformationen und Active Directory-Anmeldeinformationen für ein Benutzerkonto mit Organisations-Admin Rechten liefern.Wählen Sie zum Synchronisieren von Verzeichnissen nun in der endgültigen Seite Synchronisierung beginnen.
Verzeichnissynchronisierung geschieht standardmäßig alle drei Stunden, obwohl Sie eine Synchronisierung erzwingen können, durch erneutes Ausführen des Assistenten, Eingabe von Anmeldeinformationen und wieder synchronisieren Verzeichnisse jetzt im letzten Seite des Assistenten auswählen.Das Tool bietet außerdem ein Windows PowerShell-Cmdlet Start-OnlineCoexistenceSync, um die gleiche Funktion zu erreichen.
Schritt 6.Internet Explorer-Einstellungen anpassen
Office 365 bietet Dienstleistungen in einer Reihe von Schnittstellen, beide Web - und Reich-Client-basierte.Ein weniger bekannter Trick Sie die SSO-Erfahrung weiter zu optimieren können ist das Hinzufügen des ADFS-Servers Verbunddienst-URL (in der Regel https://<AD FS-Server-Fqdn >) der Internet Explorer lokalen Intranetzone auf jedem Client-Rechner.Gruppenrichtlinien sind nützlich bei der Bereitstellung dieser Einstellung auf mehreren Computern gleichzeitig.
Schritt 7.Ermöglichen Sie es Benutzern, überprüfen Sie Synchronisierung zu und überprüfen Sie der Föderation
Ohne zusätzliche Konfiguration repliziert das Verzeichnissynchronisierungstool alle Benutzer-Account-Informationen zu Office 365.Sie müssen Benutzerkonten Office 365 Lizenzen zuweisen, wenn sie sind, ihre Dienste zu nutzen.Dieser zusätzliche Schritt ist gut, weil es Ihnen die Befugnis zur Nutzung Lizenzen entsprechend zuweisen gibt.
Sie wollen auch Validierung Verzeichnissynchronisierung und testen die SSO-Erfahrung.Um die Synchronisierung zu überprüfen, loggen Sie sich einfach an das Microsoft Online Services-Portal, und Blick durch ein paar Benutzerkonten zu sehen, ob ihre Informationen aktualisiert wurden.Überprüfung Föderation ist noch einfacher.Microsoft eingerichtet hat ein Website , die kann automatisch prüfen, ob Föderation korrekt konfiguriert ist und Anregungen bieten kann, wenn Probleme auftreten.
Manchmal sind die Probleme bei der Authentifizierung nicht leicht zu ausfindig zu machen, besonders wenn Sie über unterschiedliche Systeme hinweg arbeiten.Wenn Sie vollständig gehaftet werden, hat Microsoft eine ausgezeichnete geschrieben Leitfaden zur Problembehandlung , die können Ihnen helfen, mit einer Reihe von Problemsituationen.
Office 365 SSO, der vereinfachte Weg
Auch diese Anweisungen für die Durchführung von Office 365 SSO sind etwas wortreich.Der Prozess ist nicht trivial, aber es ist auch nicht so kompliziert, wie Microsoft-Dokumentation schlägt.Dies vorausgeschickt, ist des Unternehmens Dokumentation umfassende wo ist diese Anleitung nicht.
ADFS unterstützt zusätzliche Funktionen, die hier nicht erwähnt wurden.Es gibt Funktionen wie SSO für Internet-basierte Clients.Sie können dies durch die Implementierung eines ADFS Proxys in den Netzwerkperimeter unterstützen.Sie können auch zusammen mehrere ADFS-Server cluster, wenn hohe Verfügbarkeit ein Konstruktionsziel ist.Es gibt auch verschiedene andere Anpassungen möglich, Benutzer synchronisieren und die Benutzerfreundlichkeit zu optimieren.Schauen Sie sich Alle Details zu diesen und anderen Microsoft Office-365-SSO-Architekturen.
.jpg)
Greg Shields, MVP, ist Partner bei Concentrated Technology. Mehr von Shields Hansdampf in allen Gassen-Tipps und Tricks bei ConcentratedTech.com.