Windows azure 联合身份验证服务配置(SSO)

说到SSO,相信大家已经很熟悉了,SSO=单点登录,当然也有叫目录集成的说法。那在windows azure上实现SSO会有什么效果呢?如果我们的机构内部已经在使用本地的 Active Directory,则可将其与我们的 Azure AD 目录相集成,借此可自动执行基于云的管理任务,并可向用户提供更加简化的登录体验。 Azure AD 支持以下两种目录集成功能: l 目录同步 - 用于将本地目录对象(用户、组、联系人)与云同步,以帮助减小管理开 销。设置目录同步后,管理员可将本地 Active Directory 中的目录对象设置到云租户 中。 单一登录 (SSO) - 当用户登录到公司网络后访问微软云服务时,用于向用户提供更加 简化的身份验证体验。为了设置单一登录,还需要在本地部署安全令牌服务。设置单一 登录后,用户可以使用公司内部环境的 Active Directory 凭据(用户名和密码)访问 云及其现有本地资源中的服务。那具体怎么做呢,大概分为两步:1.通过dirsync工具将本地的Active Direcroy信息同步到windows azure Active Directory下。2.通过配置ADFS联合身份验证后,通过本地用户的域信息进行验证登录windows azure portal。具体见下:

我们首先打开windows azure 的portal页面,里面有一个Active Directory服务,其实这个AD服务跟本地的AD功能上相差甚远,也可以说是不在同一个层次上,也许在不久的将来就跟本地的AD就差不多了,windows azure的AD服务主要提供portal页面上的sharepoint 服务的验证,其他的也就没什么效果了。

单击仪表盘我们可以看见一些配置。我们呢,首先添加本地域名

输入本地域名,通过勾选我们计划配置此域为使用本地ACTIVE DIRECTORY进行单点登录

添加完成。

添加完成后,跳转到目录集成页面

我们首先是单击已激活该服务同步。

选择已激活,保存

警告信息。

接下来我们可以根据提示进行配置目录集成了。

https://bposast.vo.msecnd.net/dirsync/7020.0/dirsync.exe

下载安装程序:我们在本地安装一个新的操作系统。然后加域,同时下载程序。

我们知道windows 2012系统默认是安装了netframwork4.5的,所以我们需要安装netframwork3.5.1即可

安装完成

再次安装同步工具;注:使用本地的administrator账户登录,不能通过域用户登陆了

开始安装

提示安装组件

完成安装

启动配置

开始配置

我们需要输入windos azure的portal页面登录管理员

该用户必须提供公司本地的Active Directory 目录服务具有的企业管理员权限账户的凭据,次账户运行Mictosoft Azure Active Directory 同步工具的计算机所加入的Active directory林中国必须具有企业管理员权限

必须勾选同步密码,不然同步过去的用户无法登陆

开始配置:

配置完成

配置完成后,立即同步

我们再次回到windows azure portal页面

页面信息变了

我们在windows azure portal查看同步过来的用户信息

我们通过该用户信息登录尝试

我们发现可以 登录,但是登录后提示没有订阅,见到以下页面就能说明是通过本地的信息验证通过的,如果需要改用户成功登录的话,我们需要给改用户委派订阅。

单击设置---管理员

我们选择授权的用户进行添加

添加完成

最后我们查看FIMSyncadmin成员

我们查看域的状态

本地的Active Directory信息同步过去了,但是我们无法通过本地的域信息进行验证登录,所以我们还需要配置联合身份验证服务(ADFS),配置后我们可以通过本地的Active Direcroy信息进行验证登录。在此我们通过2012R2系统自带的ADFS进行配置。

通过 Windows PowerShell 安装 AD FS 服务器角色

将计算机加域,然后通过domain admins用户登录

在要配置为联合服务器的计算机上,打开 Windows PowerShell 命令窗口并运行以下命令:Install-windowsfeature adfs-federation -IncludeManagementTools

安装成功

通过添加角色和功能向导安装 AD FS 服务器角色

打开服务器管理器。为此,请在"开始"屏幕上单击"服务器管理器",或者在桌面上的任务栏中单击"服务器管理器"。在"仪表板"页上的"欢迎"磁贴的"快速启动"选项卡中,单击"添加角色和功能"。也可以在"管理"菜单中单击"添加角色和功能"

"开始之前"页上,单击"下一步"

"选择安装类型"页上,单击"基于角色或基于功能的安装",然后单击"下一步"

"选择目标服务器"页上,单击"从服务器池中选择服务器",确认目标计算机已突出显示,然后单击"下一步"

选择服务器角色页上,单击“Active Directory 联合身份验证服务,然后单击下一步

选择功能页上,单击下一步。系统已预先选择了所需的必备组件。你不需要选择任何其他功能。

“Active Directory 联合身份验证服务(AD FS)”页上,单击下一步

确认确认安装选择页上的信息后,单击安装

安装进度页上,确认已正确安装所有项目,然后单击关闭

ADFS证书申请:

因为在配置ADFS的时候需要一张证书,我们安装iis服务,然后申请证书

填写证书服务名称,我们建议按照严格的证书申请方法来申请,我们定义名称为adfs.iiosoft.com,及其他的组织信息,然后单击下一步来玩完成

我们通过内部的CA服务器进行证书申请提交

完成证书申请操作

因为我们需要一张带私钥的证书,所以我们需要导出证书文件

输入证书自定义密码

我们开始配置ADFS服务

http://technet.microsoft.com/zh-cn/library/dn528860.aspx

在服务器管理器的“仪表板”页上,单击“通知”标志,然后单击“在服务器上配置联合身份验证服务”

此时将启动Active Directory 联合身份验证服务配置向导”

“连接到 AD DS页上,指定对此计算机加入到的 AD 域拥有域管理员权限的帐户,然后单击“下一步”

选择带有私钥的证书文件;

“指定服务属性”页上执行以下操作,然后单击“下一步”

导入包含你前面获取的 SSL 证书和密钥的 .pfx 文件。如查看有关部署 AD FS 的要求的“证书要求”部分中所述,必须获取此证书并将它复制到要配置为联合服务器的计算机上。若要通过向导导入该 .pfx 文件,请单击“导入”并浏览到该文件的位置。出现提示时,请指定该 .pfx 文件的密码。

提供联合身份验证服务的名称。例如 fs.contoso.com。此名称必须与证书中的使用者名称或使用者可选名称之一匹配。提供联合身份验证服务的显示名称。例如 Contoso Corporation。将在 AD FS 登录页上向用户显示此名称。

我们选择刚才导出的带私钥的证书文件

导入成功

“指定服务帐户”页上指定一个服务帐户。可以创建或使用现有的组托管服务帐户 (gMSA),也可以使用现有的域用户帐户。如果选择创建新 gMSA 的选项,请指定新帐户的名称。如果选择使用现有 gMSA 或域帐户的选项,请单击“选择...”按钮以选择一个帐户。

使用 gMSA 的好处是可以利用它的自动协商密码更新功能。

注意:如果要使用 gMSA,则运行 Windows Server 2012 操作系统的环境中必须至少有一个域控制器。

如果禁用了 gMSA 选项并看到类似于“由于尚未设置 KDS 根密钥,因此组托管服务帐户不可用”的错误消息,可以通过在 Active Directory 域中 Windows Server 2012 或更高版本的域控制器上执行以下 Windows PowerShell 命令,在域中启用 gMSA:Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)。然后返回到向导,依次单击“上一步”按钮和“下一步”按钮以重新进入“指定服务帐户”页。现在应该已启用 gMSA,你可以选择它并输入所需的 gMSA 帐户名。

我们需要在DC上执行以下命令

因为我们本地有一个SQL 数据库的,所以我们选择了指定的数据库,其实建议选择默认的数据库即可。

先决条件检查

初始化数据库

提示错误,其实该错误可以忽略

提示错误,所以我们需要在DC上执行一个命令:我们查看ADFS相关的服务器配置信息

ADFS配置完后,我们还需要最重要的一步,需要在ADFS和Azure AD之间建立信任关系

http://technet.microsoft.com/zh-cn/library/jj205461.aspx

我们首先是在ADFS下安装azure powershell

准备好以上工作后,我们需要在本地的Active Directory和azure Active Directory之间创建信任关系了。

http://technet.microsoft.com/zh-cn/library/jj151815.aspx

Windows azure AD模块下载链接:

https://bposast.vo.msecnd.net/MSOPMW/Current/amd64/AdministrationConfig-zh-hans.msi

下载后我们开始安装:提示错误,

http://www.microsoft.com/zh-cn/download/details.aspx?id=41950

开始安装online services

完成安装

开始安装windows azure AD模块

安装完成,因为该软件非常小,所以比较快

以管理员运行:

添加域:

http://technet.microsoft.com/zh-cn/library/jj205461.aspx#BKMK_ConvertDomain

要联合的每个域必须添加为单一登录域,或者必须从标准域转换为单一登录域。添加或转换域会在 AD FS 和 Microsoft Azure Active Directory (Microsoft Azure AD) 之间建立信任。

打开 Microsoft Azure Active Directory 模块。

运行 $cred=Get-Credential。当 cmdlet 提示你输入凭据时,键入云服务管理员帐户凭据。

运行 Connect-MsolService –Credential $cred。此 cmdlet 会将你连接到 AzureAD。在运行该工具安装的任何附加 cmdlet 之前,需要创建将你连接到 Azure AD 的上下文。

运行 Set-MsolAdfscontext -Computer<AD FS primary server>,其中 <AD FS primaryserver> 是主 AD FS 服务器的内部 FQDN 名称。此 cmdlet 创建将你连接到 AD FS 的上下文。

备注:如果已在主 AD FS 服务器上安装了 Microsoft Azure Active Directory 模块,则不需要运行此 cmdlet。

运行 New-MsolFederatedDomain –DomainName<domain>,其中 <domain> 是需要添加并需要启用单一登录的域。此 cmdlet 添加将针对联合身份验证进行配置的新顶级域或子域。

备注使用 New-MsolFederatedDomain cmdlet 添加顶级域后,将无法使用 New-MsolDomain cmdlet 添加标准域(非联合)。

请使用 New-MsolFederatedDomain cmdlet 的结果提供的信息,联系域注册机构以创建所需的 DNS 记录。这将验证你是否拥有该域。请注意,这可能需要长达 15 分钟的传播时间,具体取决于注册机构。将更改传播到整个系统中可能需要长达 72 小时。有关详细信息,请参阅向任何域名注册机构验证域

再次运行 New-MsolFederatedDomain,并指定同一域名以完成此过程。

我们需要在dns上添加txt记录; txt=MS=ms94955184

我们在内部dns上添加txt记录

添加后我们再回到windows azure portal页面进行查看AD域验证信息:

转换域

将现有域转换为单一登录域时,每个许可用户将成为联合用户,并使用其现有 Active Directory 企业凭据(用户名和密码)来访问你的云服务。目前不可能执行单一登录的分阶段部署,但可以使用生产型 Active Directory 林中的一组生产用户试点单一登录。有关详细信息,请参阅Run a pilot to test single signon before setting it up(optional)

备注

最好在用户最少的时候(如周末)执行转换,以减少对用户的影响。

若要将现有域转换为单一登录域,请执行以下步骤。

打开 Microsoft AzureActive Directory 模块。

运行 $cred=Get-Credential。当 cmdlet 提示你输入凭据时,键入云服务管理员帐户凭据。

运行 Connect-MsolService –Credential $cred。此 cmdlet 会将你连接到 Azure AD。在运行该工具安装的任何附加cmdlet 之前,需要创建将你连接到 AzureAD 的上下文。

运行 Set-MsolAdfscontext -Computer <AD FSprimary server>,其中 <AD FSprimary server> 是主 AD FS 服务器的内部 FQDN 名称。此 cmdlet 创建将你连接到 AD FS 的上下文。

备注

如果已在主 AD FS 服务器上安装了 Microsoft Azure Active Directory 模块,则不需要运行此 cmdlet。

运行 Convert-MsolDomainToFederated–DomainName <domain>,其中 <domain>

是要进行转换的域。此 cmdlet 将该域从标准身份验证更改为单一登录。

备注

若要验证转换是否正常工作,请通过运行 Get-MsolFederationProperty –DomainName <domain>(其中 <domain> 是你要查看其设置的域),来比较 AD FS 服务器与 Azure AD 中的设置。如果设置不匹配,你可以运行 Update-MsolFederatedDomain –DomainName <domain> 来同步设置。

操作完成后,我们再次回到windows azure portal页面查看同步信息:

为了保证我们通过本地的AD用户验证,我们还需要在windows portal页面上添加管理员

我们在windowsazure.cn的登录页面进行登录的时候,输入本地用户名输入的时候,单击密码数据框的时候自动进行重定向

正在重定向

重定向完成,输入有效的本地AD账户信息进行验证登录

时间: 2024-10-27 12:51:27

Windows azure 联合身份验证服务配置(SSO)的相关文章

Office365 联合身份验证服务配置-单点登录(SSO)

上篇文章我们介绍了office365国际版本及office365国内版本的功能介绍,今天主要说一下office365环境内配置实现SSO,其实说到sso相信大家已经很熟悉了(我们同样在之前的文章中有介绍windows azure部署sso)单点登录,当然也有叫目录集成的说法.那在office365上实现SSO会有什么效果呢?如果我们的机构内部已经在使用本地的 Active Directory,则可将其与我们的 Azure AD 目录相集成,借此可自动执行基于云的管理任务,并可向用户提供更加简化的

Dynamics CRM 2013 试用之 配置联合身份验证服务 Active Directory Federation Services

注:本文会适当把微软英文原话复制过来(英语来自微软MSDN官网),增加大家英文阅读能力. Configure AD FS for Windows Server 2012 R2 To configure AD FS as a stand-alone federation server for Microsoft Dynamics CRM Server claims authentication, do the following: 1.Open the Windows Server 2012 R2

证明你是你——快速开启Windows Azure多重身份验证

中国版Windows Azure的多重身份验证(Multi-Factor Authentication)功能已经开放.这个功能说白了就是要“证明你是你”.目前可以支持以下几种验证方式: 手机,短信验证和语音回拨验证. 固话,语音回拨验证. 手机应用,目前只支持IOS和Windows Phone. 短信验证是我们最熟悉的一种方式,即:在登陆Windows Azure AD进行身份验证时,会向用户的手机发送一条验证码来验证用户身份:语音回拨验证在国外用的比较多,即:在登陆Windows Azure

OpenStack 控制节点基本环境和身份验证服务的安装部署

OpenStack Networking(neutron) 需要一个控制节点(controller node).一个网络节点(networknode)以及至少一个计算节点(compute node). 一.物理环境部署 1.物理环境规划 表1.1. OpenStack环境部署 二.安装前的部署 1.1配置主机名 [email protected]:~# vim  /etc/hostname controller 1.2 配置IP地址 [email protected]:~# vim  /etc/

Chapter 2 User Authentication, Authorization, and Security(1):选择Windows和SQL 身份验证

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38657111,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/38656615 前言: SQL Ser

Windows Server 2019远程桌面服务配置和授权激活

参考Windows Server 2016远程桌面服务配置和授权激活方法可适用于Windows Server 2019 Server 2016默认远程桌面连接数是2个用户,如果多余两个用户进行远程桌面连接时,系统就会提示超过连接数,可以通过添加远程桌面授权解决: 1.添加远程桌面授权服务 第一步:服务器管理 - 添加角色和功能打开添加角色和功能向导窗口,选择基于角色或给予功能安装: 第二步:添加远程桌面会话主机和远程桌面授权功能: 以上配置完成后即可使用多于2用户同时登陆,但使用期限为120天,

Windows azure中公用云服务的两个虚机FTP的设置

在Windows azure中,若两个虚机公用一个云服务,则这两个虚机对互联网的IP即外网的IP是一样. 建立FTP的时候,在此处选择指定的用户,在两个虚机里要设置不同FTP用户的账户,并同时在FTP目录中添加对应的FTP账户!     这样在通过FTP链接的时候,输入相同的IP和不同的账号,则会连接到账号对应的虚机 Windows azure中公用云服务的两个虚机FTP的设置,布布扣,bubuko.com

IIS身份验证的配置

前4者配置:localhost applicationHost.config <location path=""> 后2者配置:web.config 要点: 这6项尽管列在一起.但在应用上却不是一个级别的: 前4者属于IIS验证,当中匿名验证不须要提交usernamepassword,其它3个须要提供: Form身份验证属于ASP.NET验证,会通过web页面验证.要到达这个验证必须通过IIS验证(由于一个请求进入server后.先到IIS,然后才到Asp.Net应用程序)

Windows Azure下Exchange Server2016高可用性配置介绍

我们前一篇文章中就介绍了Azure下部署Apache高可用性服务的介绍,今天呢,主要介绍一下在Azure下如何实现Exchange2016高可用性服务的部署,说到Exchange2016的高可用部署,我们前面的文章中用也有介绍到,在本地使用Centos+LVS+Keepalived实现了Exchange2016的高可用性服务配置,如果要将Exchange2016部署到Azure下如何实现高可用配置呢,我们都知道如果在Azure下部署高可用,我们只需要将服务器放在同一运行,然后配置对应的可用性集就