Pau pra toda obra: Office 365 SSO: Um Guia de Instalação Simplificado
Instalar, configurar e ativar o logon único no Office 365é um processo longo, mas que vale a pena.
Greg Shields
O Office 365 pode ser seu melhor amigo. Você pode descarregar uma vasta gama de responsabilidades de administração complexa. Assinar um contrato mensal único, e grande parte da dor de gerenciamento Exchange, SharePoint e Lync automaticamente se torna do alguém trabalho.
Muitos fãs do Office 365 ficar frustrados, no entanto, quando eles querem implementar seu single sign-on (SSO) recurso. Você pode baixar o Microsoft Online Services Sign-In Assistant (MOS SIA) para simplificar a autenticação para aplicativos cliente, mas não é verdade SSO. Combina as duas senhas que cada usuário precisa apenas: um para o Active Directory e outra para o Office 365.
Consolidação dessas duas senhas em um requer implementação Active Directory Federation Services (ADFS), que pode parecer complexo anormalmente. Dê uma espiada na documentação online do Microsoft para fazê-lo, e você pode rapidamente obter atolada em seus detalhes. Neste caso, a Microsoft forneceu quase demasiada informação. Como resultado, o Office 365 SSO com ADFS pode parecer mais problemas do que vale a pena — mas não é.
Se você está entre as fileiras do confuso quando se trata de ativar o Office 365 SSO, considere este guia de instalação simplificada. Ele não vai resolver todas as situações, mas é um começo de baixa complexidade, pequeno para ambientes de médio porte (SMB).
Passo 1. Prepare o seu domínio do Active Directory
O Office 365 SSO requer um nome de domínio Internet resolvível para usar como o sufixo no nome de cada usuário. Não se preocupe, no entanto, se seu nome de domínio do Active Directory não cumprir este requisito. A maioria deles não. Você pode fazer coisas funciona dando aos usuários uma alternativa usuário nome Principal (UPN) que corresponde a qualquer nome de domínio público que você possui.
Vamos supor que seu nome de domínio público for contoso.com, mas o seu domínio do Active Directory dentro do firewall é contoso. Você não pode resolver contoso através de servidores de Internet, portanto você não será capaz com servidores DNS de Office 365. Dito isto, você pode usar Federação definir UPN de cada usuário para um nome de domínio público pode ser resolvido e deixá-los entrar como username@contoso.com.
Enquanto UPN cada usuário pode parecer como um endereço de email, não tem nada a ver com SMTP ou protocolo de início de sessão. Esta mudança apenas mapas contas do Active Directory dos usuários com um endereço externo que possa compreender o Office 365.
Inicie o Active Directory domínios e confianças e exibir as propriedades de seu nó de nível superior. Na caixa intitulada sufixos UPN alternativo, digite seu nome de domínio público pode ser resolvido e clique em Adicionar. Então inicie computadores e utilizadores do Active Directory e exibir as propriedades de uma conta de usuário. Sob a aba de sua conta, você pode agora definir o nome de logon do usuário para esse nome de domínio público pode ser resolvido. Faça isso para cada usuário habilitado para Office 365. Eles vai estar usando isso como seu nome de usuário do Office 365 em um minuto.
Passo 2. Preparar seu servidor e instalar ADFS
Você pode instalar ADFS em um controlador de domínio ou de outro servidor. Primeiro, você precisará configurar alguns pré-requisitos. As etapas a seguir pressupõem que você está instalando o Windows Server 2008 R2.
Usando o Gerenciador do servidor, instale o papel IIS e o Microsoft .NET Framework 3.5.1. Em seguida, comprar e instalar um certificado de autenticação do servidor de uma autoridade de certificação pública. Verifique se que você combinar o nome de assunto do certificado com o Fully Qualified Domain Name do servidor. Inicie o Gerenciador do IIS e importar esse certificado para o site da Web padrão.
Próximo, download ADFS 2.0. Aceite os padrões de instalação, selecionar o servidor de Federação, quando solicitado. O instalador deve instalar automaticamente os hotfixes necessários, embora talvez você precise instalar ADFS 2.0 Update Rollup 2.
Depois de instalar e remendar o ADFS, lançar o ADFS 2.0 gestão em ferramentas administrativas. Na página Visão geral, inicie o Assistente de configuração de servidor de Federação de ADFS. Criar um novo serviço de Federação em uma implantação autônoma e verifique se o certificado SSL é utilizar jogos que você importou para o site padrão do IIS. O assistente irá também pedir para uma conta de serviço. Fornecê-lo com uma conta do Active Directory, cuja senha é definida para nunca expiram.
Quando o assistente termina, você verá uma mensagem de notar que a configuração necessária é incompleta e você precisa adicionar uma terceira parte confiável. Você vai fazer isso em um minuto, então você pode seguramente ignorar esta mensagem.
Teste a instalação navegando para https://<serverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml no seu navegador Web. Clique em através de erros de certificado que você vê. Você está verificando que IIS está cumprindo com êxito o conteúdo XML.
Passo 3. Adicionar seu domínio UPN para o Office 365
O exemplo anterior usado nome de contoso.com domínio publicamente pode ser resolvido com um domínio do Active Directory interno da contoso. O seu pode ser qualquer coisa. O nome do Active Directory não precisa alinhar-se com o domínio externo que você usar para endereços de email, embora fazendo assim torna as coisas mais fáceis para os usuários a se lembrar.
Se o nome de domínio público pode ser resolvido você escolher já não está vinculado ao Office 365, fazê-lo através do Portal do Microsoft Online Services. Clique em domínios no Admin console e, em seguida, selecione Adicionar um domínio. O assistente irá pedir-lhe o nome de domínio e então dar-lhe uma de duas opções para autenticar posse. Você precisará adicionar registro MX ou TXT para o servidor DNS acessível ao público, Hospedagem de domínio.
Ele pode levar de 15 minutos a 72 horas para a atualização propagar totalmente, então ele pode demorar um pouco antes de concluir o processo de validação. Para o Office 365, validação afirma que possui o nome de domínio que seus clientes mais tarde irão usar para autenticar. Você não precisa ter qualquer servidores dentro deste domínio para federação para função. Tudo que você precisa para completar este passo é o domínio próprio que você pode resolver da Internet.
Passo 4. Conectar o ADFS com o Office 365
O próximo passo é informar Office 365 que pretende federar a autenticação do usuário. Este processo confia seu domínio interno do Active Directory com autenticação de usuários, ao deixar o Office 365 apenas confie em resposta de autenticação do seu domínio. Que é a magia da Federação — sem senhas nunca são transferidas entre ADFS e o Office 365.
Estes dois a conexão requer invocando alguns comandos do Windows PowerShell. Estes por sua vez exigem a instalação do Microsoft Online Services módulo e criar uma conexão para o Office 365. As etapas para realizar essa tarefa são detalhadas em uma coluna anterior, "gerenciar Office 365 com o Windows PowerShell." Com essa conexão estabelecida, execute estes dois comandos do Windows PowerShell. O primeiro cria um contexto que conecta você com ADFS. O segundo converte o domínio de autenticação padrão para SSO:
Set-MsolAdfscontext -Computer <AD FS server FQDN> Convert-MsolDomainToFederated -DomainName <domain name>
Em função de suas atividades, o servidor ADFS regularmente e automaticamente gerar, usar e depois expirar certificados auto-assinados de assinatura de token. O Office 365 precisa saber quando alterar esses certificados. Sincronizar suas atividades, transferindo o Microsoft Office 365 Federação metadados atualização ferramenta instalação de automação. Esta ferramenta chega como um script do Windows PowerShell, que você vai executar no servidor ADFS. Execute o script e fornecer seus pedidas do Active Directory e o Office 365 credenciais administrativas para instalar a sincronização.
Passo 5. Sincronizar o diretório ativo informações de conta de usuário para Office 365
Enquanto Federação elimina a necessidade de enviar senhas entre o Active Directory e o Office 365, ele ainda requer sincronização de contas de usuário de cada um. Você pode executar a sincronização manualmente, adicionando os usuários do Office 365 que correspondem a cada conta de usuário do Active Directory.
Você também pode automatizar o processo com o Ferramenta de sincronização de diretório do Microsoft. Esta ferramenta Replica automaticamente certas informações de conta de usuário do Active Directory, incluindo números de telefone, endereços e dados normalmente encontrados em uma lista de endereços Global do Exchange — para contas do Office 365. Porém, ao contrário de ADFS, você não pode instalar a ferramenta de sincronização de diretório em um controlador de domínio, nem você pode instalá-lo para o servidor ADFS.
Você deve primeiro ativar sincronização com uma ferramenta totalmente separada: o ferramenta de preparação de implantação do Microsoft Office 365. Lançar esta ferramenta e navegue até Administração | Usuários | Sincronização do Active Directory. No Set up e gerenciar página de sincronização do Active Directory, clique em ativar em sincronização de ativar o Active Directory.
Em seguida, você instalar e configurar a ferramenta de sincronização de diretório. Escolha iniciar o Assistente de configuração agora após concluir a instalação. Você será solicitado a fornecer credenciais do Microsoft Online Services e credenciais do Active Directory para uma conta de usuário com privilégios de administrador corporativo. Optar por sincronizar agora na última página do Assistente para iniciar a sincronização de diretórios.
Sincronização de diretórios acontece por padrão a cada três horas, embora você pode forçar uma sincronização de executar novamente o assistente, inserindo credenciais e novamente selecionando Sincronizar diretórios agora na página final do assistente. A ferramenta também oferece um cmdlet do Windows PowerShell, Start-OnlineCoexistenceSync, para realizar a mesma função.
Passo 6. Ajustar as configurações do Internet Explorer
O Office 365 oferece serviços através de uma gama de interfaces, ambos e rich-client-baseada na Web. Um truque de menos conhecidos, você pode usar para simplificar ainda mais a experiência SSO é adicionar a URL de serviço de Federação do ADFS servidor (normalmente https://<AD FS servidor fqdn >) à zona de intranet Local do Internet Explorer em cada máquina cliente. Diretiva de grupo é útil na configuração essa configuração para várias máquinas ao mesmo tempo.
Passo 7. Permitir que os usuários, validar a sincronização e verifique se a Federação
Sem configuração adicional, a ferramenta de sincronização de diretório serão replicadas todas as informações de conta de usuário para o Office 365. Você precisará atribuir licenças de Office 365 para contas de usuário, se eles estão a usar seus serviços. Esta etapa extra é bom, porque lhe dá o poder de atribuir licenças de uso, conforme o caso.
Você também vai querer validar a sincronização de diretórios e testar a experiência SSO. Para validar a sincronização, basta acessar o Portal do Microsoft Online Services e espreitar através de algumas contas de usuário para ver se foi atualizadas suas informações. Verificação da Federação é ainda mais fácil. Microsoft criou um Web site que pode verificar automaticamente ou não a Federação está configurada corretamente e pode fornecer sugestões quando ocorrem problemas.
Às vezes problemas de autenticação não são fáceis de rastrear, especialmente quando você está trabalhando em sistemas distintos. Se você está completamente preso, Microsoft tem escrito um excelente guia de solução de problemas que pode ajudá-lo com uma variedade de situações-problema.
O Office 365 SSO, a maneira simplificada
Mesmo estas instruções para implementar o Office 365 SSO são um pouco prolixos. O processo não é trivial, mas também não é tão complicado como sugere a documentação da Microsoft. Dito isto, documentação da companhia é abrangente onde este guia não é.
O ADFS oferece suporte a funcionalidades adicionais não mencionadas aqui. Existem recursos como SSO para clientes baseados na Internet. Você pode apoiar estas implementando um proxy do ADFS no seu perímetro de rede. Você também pode agrupar vários servidores ADFS juntos, se a alta disponibilidade é um objetivo do projeto. Existem várias outras personalizações também possível sincronizar usuários e simplificar a experiência do usuário. Confira todos os detalhes sobre estas e outras arquiteturas de Office 365 SSO.
.jpg)
Greg Shields, MVP, é um parceiro de tecnologia concentrada. Obtenha mais dos escudos faz dicas e truques em ConcentratedTech.com.