Geek de tous les métiers : Office 365 SSO : Guide d'installation simplifié
Le processus d'installation, de configuration et d'activation d'une authentification unique dans Office 365 prend du temps mais est utile.
Greg Shields
Office 365 peut être votre meilleur ami. Vous pouvez décharger une vaste gamme des responsabilités d'administration complexe. Signer un contrat mensuel unique, et une grande partie de la douleur de gérer Exchange, SharePoint et Lync automatiquement devient quelqu'un d'autre emploi.
Cependant, Office 365 de nombreux fans obtenir bloqués lorsqu'ils cherchent à mettre en œuvre sa fonctionnalité d'authentification unique (SSO). Vous pouvez télécharger le Microsoft Online Services Sign-In Assistant (MOS SIA) pour simplifier l'authentification pour les applications clientes, mais il n'est pas vrai SSO. Simplement, il combine les deux mots de passe, que chaque utilisateur doit : un pour Active Directory et l'autre pour Office 365.
La consolidation de ces deux mots de passe dans un nécessite l'implémentation d'Active Directory Federation Services (ADFS), qui peut sembler anormalement complexes. Jetez un œil à la la documentation en ligne Microsoft de le faire, et vous pouvez rapidement obtenir embourbé dans ses détails. Dans ce cas, Microsoft a fourni presque trop d'informations. Par conséquent, Office 365 authentification unique avec ADFS peut sembler plus d'ennuis que cela vaut la peine, mais il n'est pas.
Si vous êtes parmi les rangs de la confusion lorsqu'il s'agit de l'activation de Office 365 SSO, considérez ceci votre guide d'installation simplifié. Il ne face à chaque situation, mais c'est un début de faible complexité, petit environnements de taille moyenne entreprise (PME).
Étape 1. Préparer votre domaine Active Directory
Office 365 SSO requiert un nom de domaine Internet peut pas être résolu à utiliser comme suffixe de nom d'utilisateur de chaque utilisateur. Ne vous inquiétez, cependant, si votre nom de domaine Active Directory ne répond pas à cette exigence. La plupart d'entre eux ne. Vous pouvez faire fonctionner les choses en donnant aux utilisateurs un autre nom utilisateur Principal (UPN) qui correspond à n'importe quel nom de domaine public que vous possédez.
Supposons que votre nom de domaine public est contoso.com, mais que votre domaine Active Directory à l'intérieur le pare-feu est contoso.local. Vous ne pouvez pas résoudre contoso.local via des serveurs Internet, donc vous ne serez pas capable d'avec les serveurs DNS de Office 365. Cela dit, vous pouvez utiliser la Fédération pour un nom de domaine peut être résolu publiquement la valeur UPN de chaque utilisateur et laissez-les ouvrir une session tant que username@contoso.com.
Alors que UPN chaque utilisateur peut ressembler à une adresse de messagerie, il n'a rien à voir avec SMTP ou Session Initiation Protocol. Ce changement mappe simplement les comptes Active Directory des utilisateurs dont l'adresse externe à Office 365 peut comprendre.
Lancer Active Directory Domains and Trusts et afficher les propriétés de son nœud de niveau supérieur. Dans la zone intitulée les suffixes UPN Alternative, entrez votre nom de domaine peut être résolu publiquement et cliquez sur Ajouter. Lancez ensuite le Active Directory utilisateurs et ordinateurs et afficher les propriétés d'un compte d'utilisateur. Sous l'onglet compte, vous pouvez maintenant définir le nom d'ouverture de session d'utilisateur à ce nom de domaine peut être résolu publiquement. Cette opération pour chaque utilisateur de messagerie Office 365. Ils vais utiliser cela comme leur nom d'utilisateur Office 365 dans une minute.
Étape 2. Préparer votre serveur et installer ADFS
Vous pouvez installer ADFS sur un contrôleur de domaine ou un autre serveur. Vous devrez tout d'abord configurer quelques conditions préalables. Les étapes suivantes supposent que vous installez pour Windows Server 2008 R2.
À l'aide du gestionnaire de serveur, installez le rôle IIS et Microsoft .NET Framework 3.5.1. Puis acheter et installer un certificat d'authentification serveur à partir d'une autorité de certification publique. Assurez-vous que vous faire correspondre le nom du sujet du certificat entièrement qualifié nom de domaine du serveur. Lancer le gestionnaire des services IIS et importer ce certificat au site Web par défaut.
Prochain, Télécharger ADFS 2.0. Acceptez les valeurs par défaut d'installation, sélectionner le serveur de Fédération lorsque vous y êtes invité. Le programme d'installation doit installer automatiquement tous les correctifs requis, bien que vous devrez peut-être installer ADFS 2.0 Update Rollup 2.
Après avoir installé et Patcher ADFS, lancez ADFS 2.0 gestion dans outils d'administration. Sur la page vue d'ensemble, démarrez l'Assistant de Configuration de serveur de fédération ADFS. Créer un nouveau Service de Fédération dans un déploiement autonome et vérifier le certificat SSL, qu'il est à l'aide d'allumettes celui que vous avez importés dans le site Web IIS par défaut. L'Assistant vous invite également à un compte de service. Fournir un compte Active Directory dont mot de passe est défini pour ne jamais expirer.
Lorsque l'Assistant se termine, vous verrez un message soulignant que la configuration requise est incomplète et que vous devez ajouter un tiers de confiance fiable. Vous ferez cela en une minute, alors vous pouvez ignorer ce message.
Testez votre installation en accédant à https://<serverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml dans votre navigateur Web. Parcourez les erreurs de certificat que vous voyez. Vérifier que IIS purge avec succès vers le haut contenu XML.
Étape 3. Ajoutez votre domaine UPN à Office 365
L'exemple précédent utilise un nom de domaine peut être résolu publiquement contoso.com avec un domaine Active Directory interne de contoso.local. Vôtre peut être n'importe quoi. Le nom de Active Directory n'a pas besoin de s'aligner sur le domaine externe, que vous utilisez des adresses email, bien que faisant donc rend les choses plus facile pour les utilisateurs à se souvenir.
Si le nom de domaine peut être résolu publiquement que vous choisissez n'est pas déjà associé à Office 365, faites-le via le Portail Microsoft Online Services. Cliquez sur les domaines dans la console d'administration, puis sélectionnez Ajouter un domaine. L'Assistant va vous demander le nom de domaine et puis vous donner une des deux options d'authentification de la propriété. Vous devrez ajouter un enregistrement TXT ou MX pour le serveur DNS accessible publiquement hébergement du domaine.
Elle peut durer de 15 minutes à 72 heures pour la mise à jour propager entièrement, donc il pourrait prendre un certain temps avant de pouvoir terminer le processus de validation. Validation affirme à Office 365 que vous possédez le nom de domaine, que vos clients utiliseront par la suite pour s'authentifier. Vous n'avez pas besoin d'avoir tous les serveurs dans ce domaine à la Fédération de la fonction. Vous devez compléter cette étape est le domaine lui-même que vous pouvez résoudre depuis Internet.
Étape 4. Connexion ADFS avec Office 365
L'étape suivante consiste à informer l'Office 365 que vous avez l'intention de fédérer l'authentification des utilisateurs. Ce processus confie à votre domaine Active Directory interne avec l'authentification des utilisateurs, tout en permettant de faire simplement confiance réponse d'authentification de votre domaine Office 365. C'est la magie de la Fédération — aucun mot de passe n'est toujours transférés entre ADFS et Office 365.
Reliant ces deux exige appeler quelques commandes de Windows PowerShell. Ceux-ci exigent à leur tour installer le Microsoft Online Services Module et la création d'une connexion à Office 365. Les étapes pour y parvenir sont détaillées dans une colonne précédente, "gérer Office 365 avec Windows PowerShell." Avec cette connexion établie, exécutez ces deux commandes Windows PowerShell. Le premier crée un contexte qui vous relie à ADFS. Le second convertit le domaine standard d'authentification SSO :
Set-MsolAdfscontext -Computer <AD FS server FQDN> Convert-MsolDomainToFederated -DomainName <domain name>
En fonction de ses activités, votre serveur ADFS va générer automatiquement et régulièrement, utiliser et expirent plus tard des certificats de signature de jetons auto-signé. Office 365 a besoin de savoir quand changent de ces certificats. Synchroniser leurs activités en téléchargeant le Microsoft Office 365 Federation Metadata Update automatisation Installation Tool. Cet outil arrive comme un script Windows PowerShell, que vous pourrez exécuter sur votre serveur ADFS. Exécutez le script et fournir ses références administratives demandées Active Directory et Office 365 pour installer la synchronisation.
Étape 5. Synchroniser les informations du compte utilisateur Active Directory pour Office 365
Alors que la Fédération évite d'avoir à envoyer des mots de passe entre Active Directory et Office 365, il nécessite encore synchroniser les comptes d'utilisateurs de chacun. Vous pouvez effectuer cette synchronisation manuellement, l'ajout d'utilisateurs Office 365 qui correspondent à chaque compte d'utilisateur Active Directory.
Vous pouvez également automatiser le processus avec le Outil de synchronisation d'annuaire Microsoft. Cet outil réplique automatiquement certaines informations de compte d'utilisateur Active Directory, y compris les numéros de téléphone, des adresses et des données qui se trouvent habituellement dans une liste d'adresses globale Exchange — aux comptes Office 365. Contrairement à ADFS, cependant, vous ne pouvez pas installer l'outil de synchronisation d'annuaire sur un contrôleur de domaine, ni vous pouvez l'installer sur votre serveur ADFS.
Vous devez tout d'abord activer synchronisation avec un outil tout à fait distincte : le outil de préparation du déploiement de Microsoft Office 365. Lancez cet outil et accédez à l'Admin | Utilisateurs | Synchronisation avec Active Directory. Sur le plateau et gérer la page synchronisation Active Directory, cliquez sur Activer sous synchronisation Activer Active Directory.
Ensuite, vous allez installer et configurer l'outil de synchronisation d'annuaire. Cliquez sur Démarrer l'Assistant Configuration maintenant une fois l'installation terminée. On vous demandera de fournir des informations d'identification Microsoft Online Services et les informations d'identification Active Directory pour un compte d'utilisateur avec des privilèges d'administrateur d'entreprise. Choisir de synchroniser les annuaires maintenant en dernière page de l'Assistant pour commencer la synchronisation.
Synchronisation d'annuaire se produit par défaut toutes les trois heures, mais vous pouvez forcer une synchronisation de réexécuter l'Assistant, entrer les informations d'identification et à nouveau en sélectionnant Synchroniser répertoires maintenant en dernière page de l'Assistant. L'outil fournit également une applet de commande Windows PowerShell, Start-OnlineCoexistenceSync, pour accomplir la même fonction.
Étape 6. Ajuster les paramètres d'Internet Explorer
Office 365 fournit des services dans un éventail d'interfaces, les deux - et rich client sur le Web. Un truc moins connus, vous pouvez utiliser pour simplifier davantage l'expérience SSO consiste à ajouter l'URL de Service de Fédération sur le serveur ADFS (généralement https://<AD FS serveur fqdn >) à la zone intranet Internet Explorer Local sur chaque ordinateur client. Stratégie de groupe est utile dans la mise en service de ce paramètre pour plusieurs machines à la fois.
Étape 7. Permettre aux utilisateurs, valider la synchronisation et vérifier la Fédération
Sans configuration supplémentaire, l'outil de synchronisation d'annuaire va répliquer toutes les informations de compte d'utilisateur pour Office 365. Vous devez attribuer des licences Office 365 aux comptes d'utilisateurs, si elles sont à utiliser ses services. Cette étape supplémentaire est bonne, car il vous donne le pouvoir d'attribuer des licences d'utilisation selon le cas.
Vous devez également valider la synchronisation d'annuaire et de tester l'expérience d'authentification unique. Pour valider la synchronisation, simplement ouvrir une session sur le portail Microsoft Online Services et peek par quelques comptes d'utilisateurs pour voir si leurs informations ont été mis à jour. Fédération de vérification est encore plus facile. Microsoft a mis en place un Web site qui permet de vérifier automatiquement ou non Fédération est correctement configurée et peut proposer des suggestions lorsque des problèmes surviennent.
Parfois les problèmes d'authentification ne sont pas faciles à repérer, surtout lorsque vous travaillez sur des systèmes disparates. Si vous êtes complètement bloqué, Microsoft a écrit un excellent guide de dépannage qui peut vous dépanner avec un éventail de situations problématiques.
Office 365 SSO, la manière simplifiée
Même ces instructions pour l'implémentation de bureau 365 SSO sont un peu verbeuses. Le processus n'est pas trivial, mais il n'est pas aussi compliqué, comme l'indique la documentation de Microsoft. Cela dit, la documentation de l'entreprise est complète lorsque ce guide n'est pas.
ADFS prend en charge des fonctionnalités supplémentaires non mentionnées ici. Il y a des fonctionnalités telles que SSO pour les clients basés sur Internet. Vous pouvez soutenir celles-ci en mettant en place un proxy ADFS dans le périmètre de votre réseau. Vous pouvez également regrouper les multiples serveurs ADFS si haute disponibilité est un objectif de conception. Il existe divers autres personnalisations également possible de synchroniser les utilisateurs et de simplifier l'expérience utilisateur. Check out tous les détails sur ces questions et autres architectures Office 365 SSO.
.jpg)
Greg Shields, MVP, est un partenaire à technologie concentré. Obtenez plus de Shields touche-à-tout des astuces au ConcentratedTech.com.