Office 365之AD FS 3.0实现SSO(四)

继续我们的实验,前面的步骤可以返回到

第一篇:http://gshao.blog.51cto.com/3512873/1788027

第二篇:http://gshao.blog.51cto.com/3512873/1788038

第三篇:http://gshao.blog.51cto.com/3512873/1788048

----------------------------------我是略污的中折线-------------------------------------

大概的思路步骤如下:

1.添加UPN,配置用户的UPN后缀(这个跟你内外域名是否一致有关系,如果一致直接错过这步骤)  
2.申请证书(公网)        
3.安装AD FS服务    
4.内部DNS服务器新建正向区域解析    
5.添加外网dns记录,配置443端口映射出去        
6.在office 365添加自定义域名,配置相关外网记录    
7.将自定义域名转换成联盟域    
8.在office 365激活目录同步,安装AAD
    
9.配置目录同步和AD FS    
10.验证用户的登陆状态

----------------------------------我是略污的中折线-------------------------------------

配置目录同步和AD FS

1.在用户登录,选择使用AD FS进行联合身份验证,点击下一步;

2.在连接到Azure AD ,输入账号和密码,点击下一步;

3.在连接目录,输入账号和密码,点击下一步;

4.点击下一步;

5.选择要同步的ou,点击下一步;

6.在唯一标识用户,点击下一步;(这个动作的意思是类似SID的概念,就是你要定义一个标识,而这个标识是不能更改的,就是SID号的概念)

7.点击下一步;(这个玩意主要是为了后面的MDM\Sway\Intune服务)

8.在可选功能,点击下一步;

9.在AD FS场,浏览到AD FS服务器,点击下一步;

(友情提示:其实这一步可以不用在AAD Connect操作的,你在AAD powershell输入Set-MsolADFSContext -computer adfsServerfqdn)

10.输入域管理员凭据,点击下一步;(其实到这一步,大家都可以发现AAD Connect 远程计算机安装AD FS服务)

11.在AD FS服务账号,点击下一步;

12.在Azure AD域,点击下一步;

13. 点击下一步;

14. 出现这种情况的错误,检查一下目录同步状态是否已激活;

15. 步骤14问题排查后,出现这个情况,是因为没开启WINRM远程管理;

16.安装完成,点击验证;(下面出现的错误是解析问题)

验证用户的登陆状态

17.在office 365管理界面,可以看到本地目录同步到office 365的用户账号信息了;

18.给本地用户分配许可证;

19.用域内用户登录域内计算机,打开Exchange Online(outlook.office.com);

20.输入对外域名后缀的邮箱地址,会自动跳转到AD FS验证;

21.可以看到成功跳转到ad fs服务器做验证,输入账号和密码,并记住我的凭据;

22.可以看到正常访问到Exchange Online OWA界面;

23.用Skype for Business 客户端登陆;

24.Skype for Business Online也可以正常登陆。

结束话:

本次实验环境大概就这样实现,因为我这次是简单的搭建,其实少了TMG或者WAP服务器做反向代理(对于做过TMG的反向代理的工程师,这个步骤不复杂),而且我们在证书申请的时候预先配置好可以导出私钥。如果大型环境就要考虑多台AD FS服务器配置NLB,组建AD FS服务器场。如果我这几篇文章有什么遗漏或者什么地方不对的,可以留言给我,也欢迎各位大神多多拍砖支持。

时间: 2024-10-10 20:32:20

Office 365之AD FS 3.0实现SSO(四)的相关文章

Office 365之AD FS 3.0实现SSO(一)

简单的介绍什么是单点登录,单点登录是企业业务应用整合的一种解决方案,通过配置单点登录,登陆用户就可以访问企业内部的应用系统.简单的说就不需要多次登录输入账号密码,凭借当前登录用户的令牌去认证各个应用系统,实现一次登陆可以同时进入各个应用系统. 其实说真的,发这篇文章之前,搭建好几次环境,也遇到不少问题,也看了不少写office 365跟AD FS实现SSO的博文.我就简单的说一下我搭建的环境以及需要配置什么步骤. -----------------------------------------

Office 365之AD FS 3.0实现SSO(二)

继续我们的实验,前面的步骤可以返回到第一篇:http://gshao.blog.51cto.com/3512873/1788027 ----------------------------------我是略污的中折线------------------------------------- 大概的思路步骤如下: 1.添加UPN,配置用户的UPN后缀(这个跟你内外域名是否一致有关系,如果一致直接错过这步骤)   2.申请证书(公网)     3.安装AD FS服务     4.内部DNS服务器新建

Office 365之AD FS 3.0实现SSO(三)

继续我们的实验,前面的步骤可以返回到 第一篇:http://gshao.blog.51cto.com/3512873/1788027 第二篇:http://gshao.blog.51cto.com/3512873/1788038 ----------------------------------我是略污的中折线------------------------------------- 大概的思路步骤如下: 1.添加UPN,配置用户的UPN后缀(这个跟你内外域名是否一致有关系,如果一致直接错过这

Office 365 Azure AD 与本地AD同步故障

在进行了Office 365 的基础AD同步之后,某天突然发现O365的AD同步不正常,如下图,默认本地AD和Office365 AD同步时间为三小时,下图中这种情况明显是有状况的. 在对上述这种情况进行Troubleshooting的时候,我在客户端要么重新安装同步工具 Azure AD Connect,要么就手动运行Azure AD 同步命令.但是这样只是一次性的触发一次同步,没有彻底的解决问题. 但是这样不是一个长久的解决办法,那就从问题的根源开始找原因. 其实Azure AD的同步也是一

易宝典文章——玩转Office 365中的Exchange Online服务 之十四 怎样管理Exchange Online的通讯组

通讯组是Exchange Online中的另一种收件人对象,主要的功能是便于向多个用户发送邮件.通讯组自身有一个邮件地址,但是没有邮箱存储.在通讯组中的所有成员均是Exchange Online的收件人对象,发送给通讯组邮件地址的邮件均被ExchangeOnline分发到其成员邮件地址. Exchange Online的通讯组有两种,分别是普通通讯组和动态通讯组.通讯组的管理均需要通过"Exchange管理中心"或PowerShell来完成.通过"Office 365管理中心

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

1.首先登录Office 365:https://login.partner.microsoftonline.cn/ 添加域:nos.hk.cn 在域名解析设置里添加TXT记录: 这里先跳过添加用户的步骤. 在域名解析中添加以上的记录: 其中:login 和 owa两条记录为了方便登录建议添加. 然后返回office 365 验证: 显示已经添加成功!! 接下来设置AD同步: 接下来 准备单一登录 环境: AD DC  windows server 2008 R2    DC08.nos.hk.

Office 365 ADFS策略设置工具

ADFS全称为Active Directory Federation Services,即活动目录联合服务,我们主要用来做账号登录认证. 为了方便对其策略进行配置,写了下面的脚本,必须在ADFS主服务器运行. #------------------------------------------------------------------------------ # # Copyright  2012 Microsoft Corporation.  All rights reserved.

Office 365将切换到使用TLS 1.2加密

在2018年10月31号之后,office 365将迁移所有在线服务使用TLS 1.2及其以上版本,下面是原文,请关注我加粗的部分 As previously communicated in MC126199 in December of 2017, to provide best-in-class encryption, and to ensure our service is more secure by default, we are moving all of our online se

Office 365实现单点登录系列(3)—使用Azure AD Connect 进行目录同步

Hello 小伙伴们,我回来了~ 2017年底中招了流感,还得了结膜炎,我也是无奈的···但使命感驱使我还是要把文章更完(这么敬业还不点赞关注(*^__^*) ) 我们接着上一篇文章继续说,上一篇已经和大家介绍了安装Azure AD Connect的方法,现在我们可以开始同步Active Directory到Azure AD. 打开Azure AD Connect,选择"Customize synchronization Options"来自定义同步的选项. 输入 Office 365