Office 365之AD FS 3.0实现SSO(一)

简单的介绍什么是单点登录,单点登录是企业业务应用整合的一种解决方案,通过配置单点登录,登陆用户就可以访问企业内部的应用系统。简单的说就不需要多次登录输入账号密码,凭借当前登录用户的令牌去认证各个应用系统,实现一次登陆可以同时进入各个应用系统。

其实说真的,发这篇文章之前,搭建好几次环境,也遇到不少问题,也看了不少写office 365跟AD FS实现SSO的博文。我就简单的说一下我搭建的环境以及需要配置什么步骤。

--------------------------------------------我是略污的中折线-----------------------------------------------------------------

本次Demo Azure环境 : Global Azure

本次Demo DNS解析商如下:


DNS提供商、域名
添加纪录

万网(测试域名:gshcloud.com)
1.关于Office 365的记录我这边就不多阐述,具体可以看在Office 365管理控制界面-域里面的相关记录

2.添加ADFS的记录
内部域名:gshinternel.com

本次Demo Azure环境云虚拟机列表如下:


服务器名
备注

AzureAD0604
活动目录、DNS服务(WindowsServer2012R2)

adfs0604
AD FS 3.0(WindowsServer2012R2)\AAD(Azure AD Connect)

整个实验环境拓扑(来自Channel 9的视频)

本次实验环境(Windows Azure)

(题外话:如果在企业内部部署,建议增加一台TMG或者WAP服务器(Web Application Proxy),将AD FS的443端口反向代理到外网,不然直接把AD FS放在外网是不安全的,我这边是简单环境所以不考虑安全性问题。)

至于这两台服务器的部署动作(新建服务器、装AD服务、ADFS加入域),我就不多阐述了。

--------------------------------------------我是略污的中折线-----------------------------------------------------------------

大概的思路步骤如下:

1.添加UPN,配置用户的UPN后缀(这个跟你内外域名是否一致有关系,如果一致直接错过这步骤)  
2.申请证书(公网)    
3.安装AD FS服务    
4.内部DNS服务器新建正向区域解析    
5.添加外网dns记录,配置443端口映射出去    
6.在office 365添加自定义域名,配置相关外网记录    
7.将自定义域名转换成联盟域    
8.在office 365激活目录同步,安装AAD    
9.配置目录同步和AD FS    
10.验证用户的登陆状态

--------------------------------------------我是略污的中折线-----------------------------------------------------------------

添加UPN,配置用户的UPN后缀(这个跟你内外域名是否一致有关系,如果一致直接错过这步骤)

1.打开Active Directory域和信任关系,右键,点击属性;

2.在UPN后缀添加gshcloud.com(提示:这个是我对外的域名);

3.打开Active Directory用户和计算机,选择要测试账号,右键属性-账号,更改UPN后缀;

申请证书(公网)

4.在运行符输入:certlm.msc,点击确定;

5.在个人-证书,右键,选择所有任务(K)-高级操作(A)-创建自定义请求(C);

6.在证书注册界面,点击下一步;

7.在证书注册界面,点击自定义请求的不使用注册策略继续,点击下一步;

8.在自定义请求,模板选择(无模板)旧密钥,请求格式为PKCS#10,点击下一步;

9.在证书信息,点击属性;

10.在常规填写友好名称和描述(这个意思是对外的AD FS服务器FQDN);

11.在使用者,添加公用名为adfs.gshcloud.com(其他的信息看你个人)

12.在私钥,点击加密服务提供程序(C),去除Microsoft Strong Cryptographic Provider(签名)的选项,勾选Microsoft RSA SChannel Cryptographic Provider(加密);

13.在密钥选项,密钥大小为2048,勾选使私钥可以导出(此步骤是为了TMG和WAP服务);

14.配置完上述的设置,就继续点击下一步;

15.将证书请求保存在文件夹,文件格式为Base 64,点击完成;

16.可以在证书注册申请列表看到我们刚才申请的请求;

17.在网上申请免费SSL证书,输入域名:adfs.gshcloud.com(高能提示:这个地方必须为对外ADFS的FQDN地址,不能填写域名)(

https://buy.wosign.com/free/FreeSSL.html#apply

18.在我的订单,点击提交CSR;

19.将步骤15保存的文件打开,复制里面的代码;

20.选择方式二:自己提交CSR,张贴刚才复制的代码,点击检测CSR,然后点击提交;

21.申请完毕,将证书附件下载下来;

22.将证书附件里面的证书解压,并复制到AD FS服务器上;

23.在个人-证书,右键所有任务(K)-导入(I);

24.在证书导入向导,点击下一步;

25.在要导入的文件,点击下一步;

26.在证书存储,点击下一步;

27.在正在完成证书导入向导,点击完成;

28.在个人-证书,看到申请的公网证书已导入完毕;

时间: 2024-10-12 11:23:09

Office 365之AD FS 3.0实现SSO(一)的相关文章

Office 365之AD FS 3.0实现SSO(四)

继续我们的实验,前面的步骤可以返回到 第一篇:http://gshao.blog.51cto.com/3512873/1788027 第二篇:http://gshao.blog.51cto.com/3512873/1788038 第三篇:http://gshao.blog.51cto.com/3512873/1788048 ----------------------------------我是略污的中折线------------------------------------- 大概的思路步骤

Office 365之AD FS 3.0实现SSO(二)

继续我们的实验,前面的步骤可以返回到第一篇:http://gshao.blog.51cto.com/3512873/1788027 ----------------------------------我是略污的中折线------------------------------------- 大概的思路步骤如下: 1.添加UPN,配置用户的UPN后缀(这个跟你内外域名是否一致有关系,如果一致直接错过这步骤)   2.申请证书(公网)     3.安装AD FS服务     4.内部DNS服务器新建

Office 365之AD FS 3.0实现SSO(三)

继续我们的实验,前面的步骤可以返回到 第一篇:http://gshao.blog.51cto.com/3512873/1788027 第二篇:http://gshao.blog.51cto.com/3512873/1788038 ----------------------------------我是略污的中折线------------------------------------- 大概的思路步骤如下: 1.添加UPN,配置用户的UPN后缀(这个跟你内外域名是否一致有关系,如果一致直接错过这

Office 365 Azure AD 与本地AD同步故障

在进行了Office 365 的基础AD同步之后,某天突然发现O365的AD同步不正常,如下图,默认本地AD和Office365 AD同步时间为三小时,下图中这种情况明显是有状况的. 在对上述这种情况进行Troubleshooting的时候,我在客户端要么重新安装同步工具 Azure AD Connect,要么就手动运行Azure AD 同步命令.但是这样只是一次性的触发一次同步,没有彻底的解决问题. 但是这样不是一个长久的解决办法,那就从问题的根源开始找原因. 其实Azure AD的同步也是一

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

1.首先登录Office 365:https://login.partner.microsoftonline.cn/ 添加域:nos.hk.cn 在域名解析设置里添加TXT记录: 这里先跳过添加用户的步骤. 在域名解析中添加以上的记录: 其中:login 和 owa两条记录为了方便登录建议添加. 然后返回office 365 验证: 显示已经添加成功!! 接下来设置AD同步: 接下来 准备单一登录 环境: AD DC  windows server 2008 R2    DC08.nos.hk.

Office 365 ADFS策略设置工具

ADFS全称为Active Directory Federation Services,即活动目录联合服务,我们主要用来做账号登录认证. 为了方便对其策略进行配置,写了下面的脚本,必须在ADFS主服务器运行. #------------------------------------------------------------------------------ # # Copyright  2012 Microsoft Corporation.  All rights reserved.

Office 365将切换到使用TLS 1.2加密

在2018年10月31号之后,office 365将迁移所有在线服务使用TLS 1.2及其以上版本,下面是原文,请关注我加粗的部分 As previously communicated in MC126199 in December of 2017, to provide best-in-class encryption, and to ensure our service is more secure by default, we are moving all of our online se

Office 365实现单点登录系列(3)—使用Azure AD Connect 进行目录同步

Hello 小伙伴们,我回来了~ 2017年底中招了流感,还得了结膜炎,我也是无奈的···但使命感驱使我还是要把文章更完(这么敬业还不点赞关注(*^__^*) ) 我们接着上一篇文章继续说,上一篇已经和大家介绍了安装Azure AD Connect的方法,现在我们可以开始同步Active Directory到Azure AD. 打开Azure AD Connect,选择"Customize synchronization Options"来自定义同步的选项. 输入 Office 365

使用Azure上的Azure AD服务管理Office 365账户(无缝打通Azure和Office 365)

Office 365的各个组件运行在Azure AD服务至上,但是在Office 365上面,对账户底层的访问,操作权限有限,整合Azure服务.Office 365.企业内部系统看上去会很困难. 通过这一篇我们,我们可以发现在Azure上面直接调用Office 365的目录服务,无需开发就可以达到Azure上面的应用,都可以访问并使用Office 365账户,只需要将Office 365 和本地做ADFS联盟服务,这样就将Azure上.企业内.和Office 365上所有的应用全部打通了,都基