一.概述
本文章主要介绍如何配置AAD和ADFS
1.AAD(Azure Active Directory)
AAD的作用是想线下的用户信息同步到Office 365中,他可以上传用户信息甚至密码到O365中,在混合部署中AAD的作用是非常重要的。
2.ADFS(Active Directory Federation Services)
ADFS是Windows Server的SSO服务,这个服务很冷门但是在混合部署中他的角色是最重要的,承担了O365到显现AD的密码验证功能,在本次部署中只是做了单机配置在生产环境尤其的大型用户中建议将此服务做成高可用,本次部署中使用ADFS原因有以下几点。
1.用户所有的认证包括其他业务认证都是基于线下AD的
2.AAD虽然有同步密码到O365的功能,但是在用户基数大的情况下AAD同步密码起码要30分钟,且本次同步没有完成的情况下无法重新发起同步,而用户规模大的情况下这是完全不可接受的。
二.配置AAD
1.安装AAD工具
首先下载AAD工具,登录O365中搜索’同步’关键字即可找到AAD的下载链接
找1台加域的Server 012 R2或者Server 2016系统,安装AAD工具
2.同步AD用户到Office 365
注意密码同步这里,我们后期用ADFS认证因此密码可以不同步,但是先临时选择密码同步。
3.检查同步结果
同步状态可以通过AAD安装目录中的【miisclient.exe】工具检查
打开后如下图所示
登录Office 365看到活动用户中已经有了新用户只是没有分配许可而已,这里不要分配许可留着以后用
三.部署ADFS
1.安装ADFS
本次使用的是Server 2012 R2系统来部署
2.配置ADFS
我们使用的单台ADFS,在大型企业中可以做成后端SQL Always on,前端多个服务器场的高可用。
此处输入域管理员账号,不是O365的
申请公网证书,我是在阿里云申请的免费证书
在这里卡主了,托管账户创建失败。是因为域控制器只有2008 R2的系统。因此在制作方案的时候要关注一下这里的细节
3.验证ADFS安装
先验证公网和内网的DNS记录
登录系统,使用浏览器打开https://adfs.qianbaocard.top/adfs/ls/idpinitiatedsignon验证一下是否可以运行。
4.将O365用户配置为ADFS认证
下载工具 https://www.microsoft.com/zh-cn/download/details.aspx?id=41950 后安装
安装MSonline工具,在Server 2016中可以直接使用 Install-Module MSonline安装,但是我用的是2012 R2的系统,微软已经没有此下载的连接因此我开了21V的工单要了一份,客服还帮忙帮登录助手的安装包一起打包发给我了
如果是Windows Server 2016或者Windows 10系统直接运行命令Install-Module MSonline安装就可以
运行Import-Module MSonline命令导入刚刚安装MSOnline模块,然后定义O365的账号密码,注意是O365的,我下张图就输入错了
然后使用Connect-MsolService 连接到O365
使用Set-MsolADFSContext命令设置ADFS,由于我直接在ADFS上使用的因此没有弹出用户密码验证,要是在别的机器上直接还需要验证一下域的用户名和密码
使用Convert-MsolDomainToFederated -DomainName将自己的域名转换为联合域名
5.验证ADFS配置
若有收获,就点个赞吧
0 人点赞
