Esperto a tutto tondo: Single Sign-on in Office 365: guida semplificata all'installazione
Le operazioni di installazione, configurazione e attivazione della funzionalità Single Sign-On in Office 365 rappresentano un processo particolarmente lungo, ma efficace.
Greg Shields
Office 365 potrebbe essere il vostro migliore amico. Si può scaricare una vasta gamma di compiti complessi di amministrazione. Firmare un contratto mensile unico, e gran parte del dolore di gestione di Exchange, SharePoint e Lync automaticamente diventa qualcun altro lavoro.
Molti fan di Office 365 ottenere ostacolati, tuttavia, quando si desidera implementare la funzionalità single sign-on (SSO). È possibile scaricare il Microsoft Online Services Sign-In Assistant (SIA MOS) per semplificare l'autenticazione per applicazioni client, ma non è vero SSO. Semplicemente combina le due password, che ogni utente deve: uno per Active Directory e l'altra per Office 365.
Consolidando le due password in uno richiede l'implementazione di Active Directory Federation Services (ADFS), che può sembrare complesso anormalmente. Da un'occhiata alla documentazione in linea di Microsoft per farlo, e può ottenere rapidamente impantanati nei dettagli. In questo caso, Microsoft ha fornito informazioni quasi troppo. Di conseguenza, Office 365 SSO con ADFS potrebbe sembrare più problemi che vale la pena, ma non lo è.
Se siete tra le fila del confuso quando si tratta di attivazione di Office 365 SSO, considerare questo vostra guida installazione semplificata. Esso non affrontare ogni situazione, ma è un inizio di bassa complessità, piccolo per ambienti di medie imprese (SMB).
Passo 1. Preparare il dominio Active Directory
Office 365 SSO richiede un nome di dominio Internet risolvibile da utilizzare come il suffisso nel nome di ogni utente. Non preoccupatevi, però, se il tuo nome di dominio di Active Directory non soddisfa questo requisito. La maggior parte di essi non. Si possono fare cose lavoro dando agli utenti un'alternativa principale UPN (nome utente) che corrisponde a qualsiasi nome di dominio pubblico che possedete.
Supponiamo che il tuo nome di dominio pubblico è contoso.com, ma il dominio di Active Directory all'interno un firewall è contoso. local. Non si può risolvere contoso tramite server Internet, quindi non sarà in grado di con i server DNS di Office 365. Detto questo, è possibile utilizzare la Federazione per impostare ogni utente un nome di dominio pubblicamente risolvibile e lasciarli accedere come username@contoso.com.
Mentre ogni utente potrebbe apparire come un indirizzo di posta elettronica, non ha nulla a che fare con SMTP o Session Initiation Protocol. Questa modifica mappe solo account Active Directory degli utenti con un indirizzo esterno che può capire Office 365.
Avviare Active Directory Domains and Trusts e visualizzare le proprietà del suo nodo di primo livello. Nella casella intitolata suffissi UPN alternativi, Inserisci il tuo nome di dominio pubblicamente risolvibile e fare clic su Aggiungi. Quindi avviare Active Directory utenti e computer e visualizzare le proprietà di un account utente. Sotto la scheda Account, ora è possibile impostare il nome di accesso utente per quel nome a dominio pubblicamente risolvibile. Fare questo per ciascun utente abilitato a Office 365. Essi verranno utilizzati questo come loro nome utente di Office 365 in un minuto.
Passo 2. Preparare il vostro Server e installare ADFS
È possibile installare ADFS su un altro server o un controller di dominio. È innanzitutto necessario configurare alcuni prerequisiti. I passaggi seguenti si assumono che si installa a Windows Server 2008 R2.
Utilizzando il Server Manager, installare il ruolo IIS e il Microsoft .NET Framework 3.5.1. Quindi acquistare e installare un certificato di autenticazione server da un'autorità di certificazione pubblica. Assicurarsi che si corrisponde il nome del soggetto del certificato con il nome di dominio completo del server. Avviare Gestione IIS e importare il certificato al sito Web predefinito.
Successivo, scaricare ADFS 2.0. Accettare le impostazioni predefinite di installazione, selezionare il server federativo quando richiesto. Il programma di installazione dovrebbe installare automaticamente tutti gli aggiornamenti rapidi richiesti, anche se potrebbe essere necessario installare ADFS 2.0 Update Rollup 2.
Dopo l'installazione e patching ADFS, lanciare ADFS 2.0 Management da strumenti di amministrazione. Nella pagina Panoramica, avviare la configurazione guidata Server federativo di ADFS. Creare un nuovo servizio di federazione in una distribuzione autonoma e verificare il certificato SSL che utilizza partite quello che hai importato nel sito Web predefinito di IIS. La procedura guidata richiederà anche un account di servizio. Fornire con un account di Active Directory cui password è impostata su non scadono mai.
Quando la procedura guidata si conclude, vedrai un messaggio notando che la configurazione richiesta è incompleta ed è necessario aggiungere un componente attendibile. Potrai farlo in un minuto, quindi è possibile ignorare questo messaggio.
Verificare l'installazione selezionando https://<serverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml nel tuo browser Web. Clicca attraverso eventuali errori di certificazione che si vede. Verificare che IIS è servendo con successo contenuto XML.
Passo 3. Aggiungi il tuo dominio UPN a Office 365
L'esempio precedente utilizzato un nome di dominio pubblicamente risolvibile contoso.com con un dominio di Active Directory interno di contoso. local. Vostro può essere qualsiasi cosa. Il nome di Active Directory non ha bisogno di allineare con il dominio esterno che si utilizza per gli indirizzi di posta elettronica, anche se facendo così rende più facile per gli utenti di ricordare le cose.
Se il nome di dominio pubblicamente risolvibile si sceglie non è già collegato a Office 365, farlo tramite il Portale Microsoft Online Services. Fare clic su domini nella console di amministrazione e quindi selezionare Aggiungi un dominio. La procedura guidata si chiederà il nome del dominio e poi dare una delle due opzioni per l'autenticazione di proprietà. È necessario aggiungere record MX o TXT pubblicamente accessibile server DNS del dominio.
Può richiedere da 15 minuti a 72 ore per l'aggiornamento di propagare completamente, quindi si potrebbe prendere un po prima che è possibile completare il processo di convalida. Convalida afferma a Office 365 che proprio il nome di dominio che i client utilizzerà successivamente per l'autenticazione. Non è necessario avere i server all'interno di questo dominio per la Federazione alla funzione. Tutto il necessario per completare questo passaggio è il dominio di sé che è possibile risolvere da Internet.
Passo 4. Collegare ADFS Office 365
Il passo successivo è per far sapere che si intende federare l'autenticazione utente a Office 365. Questo processo affida il dominio di Active Directory interno con l'autenticazione degli utenti, mentre lasciando Office 365 semplicemente fiducia risposta autenticazione del dominio. Questa è la magia della Federazione — nessuna password è mai trasferita tra ADFS e Office 365.
Collegando questi due è necessario richiamare alcuni comandi di Windows PowerShell. Questi a loro volta richiedono l'installazione del Microsoft Online Services Module e la creazione di una connessione a Office 365. I passaggi per ottenere questo risultato sono dettagliati in un precedente articolo, "Manage Office 365 con Windows PowerShell." Con tale connessione stabilita, eseguire questi due comandi di Windows PowerShell. Il primo crea un contesto che si collega al ADFS. Il secondo converte il dominio da autenticazione SSO:
Set-MsolAdfscontext -Computer <AD FS server FQDN> Convert-MsolDomainToFederated -DomainName <domain name>
In funzione delle sue attività, il server ADFS generare automaticamente e regolarmente, utilizzare e poi scadono i certificati autofirmati firma di token. Office 365 deve sapere quando cambiano tali certificati. Sincronizzare la loro attività scaricando il Microsoft Office 365 Federation Metadata aggiornamento automazione installazione Tool. Questo strumento arriva come uno script di Windows PowerShell, che potrai eseguire sul server ADFS. Eseguire lo script e fornire la sua richieste Active Directory e Office 365 credenziali amministrative per installare sincronizzazione.
Passo 5. Sincronizzare le informazioni di Account Active Directory utente a Office 365
Mentre la Federazione elimina la necessità di inviare le password tra Active Directory e Office 365, richiede comunque sincronizzare l'account di ogni utente. È possibile eseguire la sincronizzazione manualmente, aggiungendo gli utenti di Office 365 che corrispondono a ciascun account utente di Active Directory.
È inoltre possibile automatizzare il processo con il Lo strumento di sincronizzazione della Directory Microsoft. Questo strumento riproduce automaticamente determinate informazioni sull'account utente di Active Directory, compresi i numeri di telefono, indirizzi e dati di solito si trova in un elenco indirizzi globale di Exchange — agli account Office 365. A differenza di ADFS, però, non è possibile installare lo strumento di sincronizzazione della Directory su un controller di dominio, né si può installare sul vostro server ADFS.
In primo luogo deve attivare la sincronizzazione con uno strumento completamente separato: il Microsoft Office 365 distribuzione Readiness Tool. Lanciare questo strumento e passare a Admin | Gli utenti | Sincronizzazione con Active Directory. Sul Set up e gestire la pagina di sincronizzazione di Active Directory, fare clic su attiva in sincronizzazione attiva Active Directory.
Successivamente, potrai installare e configurare lo strumento di sincronizzazione della Directory. Scegli ora avviare configurazione guidata dopo l'installazione è completa. Verrà chiesto di fornire le credenziali di Microsoft Online Services e credenziali per un account utente con privilegi di amministrazione aziendale di Active Directory. Scegliere di sincronizzare le directory ora nella pagina finale della procedura guidata per avviare la sincronizzazione.
La sincronizzazione delle directory avviene per impostazione predefinita ogni tre ore, anche se è possibile forzare una sincronizzazione, ripetere la procedura guidata, inserendo le credenziali e nuovamente selezionando Sincronizza directory ora nella pagina finale della procedura guidata. Lo strumento offre anche un cmdlet di Windows PowerShell, Start-OnlineCoexistenceSync, per compiere la stessa funzione.
Passo 6. Regolare le impostazioni di Internet Explorer
Office 365 offre servizi attraverso una gamma di interfacce, sia - e rich client basata su Web. Un trucco di meno conosciuti, è possibile utilizzare per ottimizzare ulteriormente l'esperienza SSO è aggiungere URL servizio federativo di ADFS server (in genere https://<AD FS server fqdn >) all'area intranet locale di Internet Explorer su ogni computer client. Criteri di gruppo sono utile in questa impostazione per più macchine in una sola volta di provisioning.
Passo 7. Consentire agli utenti, convalidare la sincronizzazione e verificare la Federazione
Senza configurazioni aggiuntive, lo strumento di sincronizzazione della Directory replicheranno tutte le informazioni di account utente a Office 365. È necessario assegnare licenze di Office 365 ad account utente se utilizzare i suoi servizi. Questo ulteriore passaggio è buono, perché ti dà il potere di assegnare le licenze d'uso appropriato.
Ti consigliamo anche di convalidare la sincronizzazione della directory e prova l'esperienza SSO. Per convalidare la sincronizzazione, basta accedere al portale Microsoft Online Services e sbirciare attraverso alcuni account utente per vedere se le informazioni sono state aggiornate. Verifica della Federazione è ancora più facile. Microsoft ha istituito un sito Web che può verificare automaticamente o meno Federazione è configurato correttamente e può fornire suggerimenti quando si verificano problemi.
A volte problemi di autenticazione non sono facili da rintracciare, specialmente quando si lavora attraverso diversi sistemi. Se si è completamente bloccato, Microsoft ha scritto un eccellente Guida per la risoluzione dei problemi che si può aiutare con una gamma di situazioni problema.
Office 365 SSO, in modo semplificato
Anche queste istruzioni per l'implementazione di Office 365 SSO sono un po' prolisso. Il processo non è banale, ma non è così complicato come documentazione Microsoft suggerisce. Detto questo, la documentazione della società è completa dove questa guida non è.
ADFS supporta funzionalità aggiuntive non menzionati qui. Ci sono caratteristiche come SSO per i client basati su Internet. È possibile supportare queste implementando un proxy di ADFS nel perimetro della rete. Si può anche cluster più server ADFS insieme se alta disponibilità è un obiettivo di progettazione. Ci sono varie altre personalizzazioni anche possibile sincronizzare gli utenti e semplificare l'esperienza utente. Check out tutti i dettagli su queste e altre architetture SSO di Office 365.
.jpg)
Greg Shields, MVP, è partner di un concentrato di tecnologia. Ottenere più di 'Shields Trades e suggerimenti a ConcentratedTech.com.